De Rijksdienst voor Identiteitsgegevens heeft een nieuwe versie van de KopieID-app gelanceerd die het eenvoudiger voor gebruikers moet maken om een kopie van hun identiteitsdocument te maken. Dat meldde Security.nl vorige week. Er zijn de nodige verbeteringen doorgevoerd; zo is het et doorstrepen nu eenvoudiger gemaakt en is het watermerk beter leesbaar. Ook kan de kopie nu worden opgeslagen voor later gebruik en is het versturen vergemakkelijkt. Allemaal mooie stappen binnen het gegeven “men wil een kopie van mijn ID, hoe maak ik dat veiliger” maar ik erger me dood dat het nodig is. Zeker in combinatie met dit bericht dat “we” onze identiteitsbewijzen kwijtraken en dat “we” dus beter op moeten letten. Dat is toch de wereld op zijn kop?
De KopieID app is een hele handige oplossing voor het probleem dat veel mensen bij organisaties tegenkomen: die willen een kopie van je identiteitsbewijs, en slaan daarmee allerlei overbodige en risicovolle gegevens op, zoals je pasfoto of je burgerservicenummer. Deze app komt je dan te hulp, je kunt dan een kopie inleveren met een watermerk (waarmee vaststaat wie de data lekte) en niet-nodige gegevens netjes uitgebalkt (zodat de impact van een datalek minder is). En ik kom zowaar steeds vaker organisaties tegen die dat accepteren, een digitale kopie via deze app in plaats van “geef nou maar gewoon je rijbewijs, of wil je die auto niet”.
De hamvraag voor mij blijft echter altijd, hoezo moet je überhaupt een kopie van mijn rijbewijs, paspoort of identiteitsbewijs maken? Daar komt meestal geen antwoord op, of het is “dat is nu eenmaal het proces” of tegenwoordig de nog leukere “dat moet van de AVG, u weet wel die privacywet, misschien heeft u er van gehoord”. Ik moet me dan altijd héél erg inhouden met uitleg waarom dat helemaal niet moet van de AVG.
Want nee, als hoofdregel kun je prima zeggen dat de AVG noch andere wetgeving van organisaties eist dat ze een kopie van je identiteitsbewijs bewaren. Er zijn bedrijven (met name banken) die verplicht een kopie moeten hebben, maar die kunnen daar een specifieke wettelijke regel over aanwijzen. Verreweg de meesten doen het omdat ooit intern bedacht is dat het handig is als check of een identiteitscontrole goed is uitgevoerd, en omdat je achteraf dan dat kopietje kunt laten zien aan politie of rechtbank als bewijs. En dat is leuk en aardig maar natuurlijk zwaar overdreven. In veel gevallen kun je prima volstaan met het nummer van de identiteitskaart noteren. Daarmee is de identiteit terug te halen, wat genoeg moet zijn bij een aangifte.
En oh ja, dat andere bericht. In 2018 zijn in Nederland bijna 340.000 officiële identiteitspapieren als vermist of gestolen opgegeven, las ik bij de NOS. “Veel mensen zijn zich niet bewust van de risico’s. Mijn advies is: let op uw identiteitsbewijzen”, aldus staatssecretaris Knops. De boodschap begrijp ik, maar ik mis wel heel erg de focus op de bedrijven die identiteitsbewijzen bewaren of kopiëren. Dáár zitten toch de risico’s?
Kunnen we niet vanuit de overheid eens zeggen, als u een kopie ID maakt dan bent u strafbaar tenzij? Of heel simpel, in die app eerst een checklistje met drie vragen doorlopen en dat een filmpje van Knops dan zegt “Hoho bedrijfje, dit mag u helemaal niet van de AVG!”
Arnoud
Hear! Hear! Zelden zo volledig eens met je Arnoud!
Ook ik ben het met je eens en de oplossing is vaak nog eenvoudiger dan je zelf kunt bedenken. Ik heb heel onlangs een nieuwe auto gekocht. Voor het vrijwaringsbewijs en de tenaamstelling had de dealer mijn rijbewijs nodig. In mijn aanwezigheid (alleen dat al vond ik sterk) werd er een kopie gemaakt op een malletje dat mijn foto en bijzondere gegevens afdekte. Dus als er geen sprake is van contact of een overeenkomst op afstand: banken en andere bedrijven of instellingen, neem deze procedure over. Het scheelt gelijk extra security maatregelen.
De drie vragen zijn volgens mij: 1. Bent u dienstverlener in de zorg, en vraagt de persoon om zorg binnen het Nederlandse zorgverzekeringstelsel? 2. Bent u een bank, en wil de persoon een bankrekening openen of lening verkrijgen? 3. Bent u werkgever, en wil de persoon bij u aan de slag? In alle andere gevallen zou het gewoon verboden moeten zijn, met een stevige boete. Op termijn zou de overheid gewoon een digitale attestatie service kunnen instellen, zodat al dit gedoe overbodig wordt.
Volgens mij is het lijstje iets langer. Denk aan de notaris, levensverzekeraars en opsporingsambtenaren. En die zorgverlener mag vragen je te legitimeren maar niet kopiëren, als ik het goed heb. Ik weet het domweg niet uit mijn hoofd, maar je kunt het opzoeken bij de Autoriteit Persoonsgegevens.
Erkende zorgverleners kunnen na legitimatie gewoon je gegevens ophalen uit de GBA, etc., dus die hebben buiten je BSN verder geen details nodig. Banken en werkgevers mogen dat niet.
Dat lijstje is inderdaad blijkbaar ingewikkelder dan je zou willen. Met name omdat de overheid zelf niet eens eenduidig kon aanwijzen wanneer je nu wel of niet een kopie van je ID mag vorderen en wat daar wel of niet in zichtbaar moet zijn.
Daar heb ik me bij implementatie van de eerste versie van de app nog erg over verbaasd. Sindsdien verbaas ik me niet meer over dat soort dingen; de vragenlijst had prima met gespecialiseerde machine learning en AI (lees: goede if/else structuur) opgezet kunnen worden en daarna verbeterd naarmate de klachten binnenkomen.
Ik zou het zelf ook heel handig vinden als ik een goeie bron zou hebben, waar ik gemakkelijk kan vinden welke organisaties wel of niet een kopie paspoort/ID/rijbewijs mogen vragen. Bedrijven met wettelijke grond mogen van mij best een met watermerk voorzien kopie ID/paspoort hebben.
Er zijn voorbeelden die voor mij heel duidelijk zijn: De mediamarkt, die mijn BSN noteert bij het ophalen van een bestelling, die besteld was via de webshop, is natuurlijk duidelijk niet de bedoeling. Ik heb daar dan ook direct gevraagd naar vernietiging van de gegevens en daarna ook maar de overeenkomst geannuleerd en het de webshop en het AP hiervan op de hoogte gesteld. Het product heb ik daarna maar bij BCC gehaald.
Aannemer, die een kopie ID wil voor zekerheid dat een opdracht aan hem wordt verstrekt, krijgt van mij netje een kopie zonder ongeveer alle gegevens, die de aannemer nog niet had. In dit geval bleef alleen naam, geslacht blijf ongeveer over. Die kopie werd zonder verdere vragen overigens geaccepteerd.
Er zijn voorbeelden die voor mij niet duidelijk zijn: Hoe zit dat met bijvoorbeeld de KVK? Mag de KVK naar een kopie paspoort vragen? KVK geeft zelf aan dat je de nationaliteit en foto zwart mag maken, maar hebben zij de rest (BSN bijvoorbeeld) wel nodig? En hebben de wettelijke basis om daarnaar te vragen?
En zoals eerder genoemd in reacties: De notaris? Mag ik hem zomaar laten weglopen met mijn paspoort?
En dat Spaanse hotel? Mag die een kopie hebben?
Het AP legt op deze pagina best een hoop uit, maar er staat volgens mij nergens een mooie lijst van (soort) organisaties met wettelijke verplichtingen of een lijst van wettelijke verplichtingen, die mijn identiteitsbewijs aangaan. En ja, als burger zou ik de wet moeten kennen, maar er zijn nogal wat boeken.
Vrij exact de dingen waar ik zonder succes voor gelobbyd heb, toen ik de eerste versie van de app aan het maken was voor ze. Goed dat ze een aantal functionele aspecten hebben verbeterd (het makkelijker maken om te wissen en het betere watermerk. Jammer dat de vragenlijst nog steeds niet erdoor is gekomen.
Wel heb ik mijn twijfels over het kunnen opslaan van een (wel al uitgewiste) ID. Er werd vaak om gevraagd, maar destijds is er voor gekozen om dat niet te doen omdat de winkel in kwestie nog steeds een verificatieplicht heeft. Leuk, dat je een potentieel gefotoshopte kopie kan inleveren; maar is dat wel jouw ID? Tevens, als iemand je telefoon in handen heeft, heeft die behalve alle andere gevoelige informatie, ook nog eens een hoge resolutie kopie van je ID.
Hopen dat dat losloopt.
Heel leuk die Nederlandse regels over identiteitsbewijzen en BSN, maar daar heb je weinig aan in het buitenland. Gaan kopieën van een paspoort gemaakt met deze app geaccepteerd worden in het buitenland (vooral buiten de EU)? Of krijg je daar de keus: maak een complete kopie of slaap op straat.
In mijn recente reis door Europa heb ik elke ‘hotelmedewerker’ netjes het ID nummer over zien typen en werd er geen kopie meer gemaakt. Slechts in een geval dat de check-in niet face to face was werd om een foto gevraagd. Daarbij heb ik de (blijkbaar vorige versie van de) KopieID app gebruikt. Dat was geen enkel probleem.
Nou is de wereld natuurlijk groter dan ongeveer een derde van de Europese landen die ik bezocht heb. Maar met een beetje uitleg lijkt het mij dit vaak geen probleem.
Die uitleg lijkt me nogal moeilijk in het Thais of Japans
En de vraag is ook of de hotelmedewerker daar wel discretie in heeft. Deze moet aan interne werkinstructies of de lokale wet voldoen, en wil liever bij twijfelgevallen aan de veilige kant zitten.
Precies. Maar wat moet je dan als bezoeker, hoe escaleer je dat terwijl je óók gewoon je kamer wil?
Je paspoort afgeven. Nederlandse wetten en regels zijn leuk, maar als bezoeker van Thailand heb je je aan de Thaise wet te houden, ook als die onredelijk is. Je enige alternatief is Thailand mijden (en eventueel verzet plegen en de consequenties ondergaan. Maar ik denk dat de straat beter slaapt dan een Thaise cel..)
Op basis van wat wilde je escaleren?
De AVG is van toepassing bij verwerkingen door verwerkers in de EU, of die betrekking hebben op personen die zich in de EU bevinden. Dus niet in een Thais hotel?
Superhandige app die inderdaad wel een update kon gebruiken. Heb zelf bij de rijksoverheid gesolliciteerd en toen zij om een kopie van mijn ID vroegen heb ik ze er eentje gestuurd via deze app, om vervolgens geweigerd te worden door het HR systeem. Ze konden niet een ID met watermerk verwerken uit zo’n app, die ze notabene zelf gemaakt hebben…