Mag PostNL het nummer van mijn identiteitsbewijs overnemen bij een afhaling?

Via Twitter:

Als ik een pakketje ophaal, moet ik me legitimeren. Logisch. Maar waarom moet het @PostNL-punt mijn documentnummer dan intypen en opslaan? Dat is behoorlijk gevoelige informatie die ik helemaal niet af wil geven.

Waarop PostNL reageert: “Dit doen we op verzoek van de afzender om bij claims en navragen te kunnen controleren aan wie de zending is uitgereikt. Het is wettelijk toegestaan om het documentnummer over te nemen. Deze gegevens worden 90 dagen bewaard.” Wat een tikje gek klinkt, want als ik pakketjes verzend wordt me nooit gevraagd of ik van de ontvanger het documentnummer wil. Sterker nog, bij mijn PostNL punt werd me net verteld dat ik vanwege de privacy dat nummer niet mag hebben. (“Ja meneer de AVG he, heeft u misschien van gehoord.”)

Dat gezegd hebbende, heeft PostNL wel een punt (haha). Want “wettelijk toegestaan” is een tikkeltje kortaf geformuleerd, maar het klopt denk ik wel. Bij pakketjes is het redelijkerwijs noodzakelijk dat je de ontvanger identificeert, om te voorkomen dat zendingen aan de verkeerde persoon meegegeven worden. Daarmee samen hangt het punt dat je achteraf wilt kunnen nagaan hoe die identificatie is verlopen (logging) en dat je bij problemen (zoals een vermist pakketje) genoeg informatie hebt om bijvoorbeeld aangifte te doen.

De meest logische manier is om na een identificatie het nummer van de identificatiekaart te registreren. Dat nummer kun je eigenlijk alleen weten als je die kaart net gezien hebt, en de medewerker zal het pas opschrijven als de persoon genoeg lijkt op de foto op de kaart. Daarmee heb je een stevige verslaglegging (logging) van het proces, en kun je eenvoudig het documentnummer aan politie of andere instanties verschaffen.

Omdat het documentnummer an sich nergens voor te gebruiken is (het is geen bsn), lijkt het risico me zeer laag als dat nummer lekt. Ik zie dan ook geen reden om alternatieven te overwegen. Je zou bijvoorbeeld kunnen zeggen, noteer slechts de laatste drie cijfers van dat nummer en/of de geboortedatum. Dan zijn mensen ook redelijk uniek vastgelegd, zodat de politie met die gegevens alsnog de persoon kan vinden. Maar dat is foutgevoeliger want twee achternaamgenoten kúnnen dezelfde geboortedatum hebben of zelfs dezelfde drie tegens van het documentnummer.

Belangrijker voor mij is dat een heel documentnummer verzinnen (om een persoon zonder identificatiekaart toch het pakket te geven) iets lastiger is dan drie cijfertjes intypen. Je moet dan het goede formaat weten, en elke keer net wat anders bedenken zodat het niet te snel opvalt. (Er zit geen elfproef of iets dergelijks in die nummers, dat maakt dit argument iets zwakker.) Daarom vooral zie ik geen echt alternatief dan dat nummer noteren.

Arnoud

16 reacties

  1. Hoe veel fout gevoeliger is het? Stel je hebt 3 personen met dezelfde laatste 3 cijfers op dezelfde geboortedatum, hoe groot is de kans dat je niet kunt achterhalen wie het geweest is als de ene in Amsterdam, de andere in Groningen en de derde in Maastricht woont, en ze tegelijkertijd niet van elkaars bestaan af kunnen weten?

  2. De persoon die zich identificeert hoeft niet altijd de geaddresseerde te zijn (ik kan een pakketje voor mijn partner ophalen/aannemen).

    Dus Naam+geboortedatum+3 laatste cijfers is veel privacygevoeliger dan alleen mijn paspoort of rijbewijsnummer.

      1. Er zijn voor iedere geboortedatum grofweg 600 mensen met dezelfde geboortedatum. De kans dat er een tweede is met dezelfde 3 slotcijfers is dan ongeveer 60%

        Dus geboortedatum+3 cijfers is niet te herleiden tot een enkel persoon.

        1. Dat klopt, en dat is ook wat Arnoud zegt, en dat is zelfs wat ik zeg in mijn eerste post.

          Maar er zijn nog aanvullende gegevens zoals bijvoorbeeld het adres waar het naar gestuurd is. Stel dat het bezorg adres in Breda is, en van de 8 mensen die dezelfde geboortedatum en eindcijfers wonen er 7 niet in Breda, dan heb je al een aardig idee aan wie je wel, en aan wie je geen aandacht moet schenken toch? Zelfs als er 2 personen in de omgeving van Breda wonen heb je nog een aardig goede richting waar je het zoeken moet.

          Met alleen eindcijfers en geboortedatum kunnen de meeste mensen helemaal niets, instanties kunnen echter het aantal mensen terug brengen van ongeveer 5.000 (per geboortedag) naar ongeveer een hand vol of minder, en met aanvullende gegevens zoals de bestemming zelfs tot ongeveer 1…

          Anoniem genoeg om door een bedrijf in een database vast te leggen zonder gelijk last te hebben van de AVG, maar specifiek genoeg voor instanties te gebruiken voor opsporing of onderzoek indien dat nodig is.

          Er van uitgaande dat de aangifte niet meteen in het ronde archief terecht komt natuurlijk, het blijft Nederland…

            1. Maar je moet rekening houden met de mogelijkheid dat er iets misgaat. Als achteraf onduidelijkheid bestaat of en door wie een pakketje is aangenomen, kom je met dergelijke combinaties niet ver. Maar met het nummer van een identiteitsbewijs kunnen – als het ernstig/belangrijk genoeg is – de juiste autoriteiten wél de houder achterhalen.

              Voor die use case lijkt me zo’n documentnummer precies het minimaal benodigde (het voldoet aan de subsidiariteitseis) en erop gelet dat je met zo’n nummer weinig anders kunt en deze route dus weinig privacy-impact heeft, ook verdedigbaar (voldoet ook aan de eis van proportionaliteit).

  3. Even terug naar de vraag of het ‘mag’ om het paspoortnummer vast te leggen. Voor ‘gerechtvaardigd belang’ wordt al uitgebreid gediscussieerd over mogelijke manieren om fraude makkelijker te kunnen aanpakken.

    Ik denk dat vastleggen niet nodig is – vaststellen of ik een rechtmatige ontvanger ben lijkt mij een prima alternatief.

    • Als ik de enige ben die het pakketje mag afhalen dan is het voldoende dat de medewerker het paspoort controleert (is het de persoon die voor me staat, en staat de juiste naam op het paspoort) – de medewerker kan dan aangeven dat e.e.a. gecontroleerd is. Aangezien de medewerker het pakket niet mag afgeven aan iemand anders dan de geaddresseerde ligt de verantwoordelijkheid bij de medewerker, die daarmee ook voldoende vertrouwen zou moeten genieten om deze taak correct uit te kunnen voeren.
    • als iemand anders het pakketje op mag halen dan zal die persoon het afhaalbericht moeten hebben, wat betekent toegang tot de brievenbus van de ontvanger – dat zou dan toch ook voldoende moeten zijn? De medewerker kan dan aangeven dat het afhaalbewijs is gepresenteerd. Eventueel kan dat zelfs worden ingenomen.

    In beide gevallen zijn er goede alternatieven voor registratie, dus lijkt mij geen gerechtvaardigd belang te bestaan voor enige registratie, of die nu wel of niet makkelijk te herleiden is naar een persoon.

    ‘registreren om jezelf in te kunnen dekken als je een fout zou hebben gemaakt’ komt wat mij betreft niet door de giecheltoets.

    1. Verschil tussen roepnaam en officiële naam/namen? Voornaam/roepnaam hoeft niet eens voor te komen in doopnamen. Wat als ik een pakket ophaal voor een gezinslid of huisgenoot? Wat als ik een pakket onder een fake-naam laat opsturen? Het afhaalbewijs kan onderweg naar het pakketpunt verloren worden, waarna een ander het pakket zou kunnen ophalen (volgens jouw theorie is de vinder dan de rechtmatige ontvanger, want afhaalbewijs in bezit). Allemaal niet sluitend.

      1. Hoe ver wil je gaan?

        Als het doel is om het poststuk alleen maar af te geven aan de door de verzender bedoelde ontvanger dan is het toch heel simpel? Je controleert en geeft af. Daar is nul registratie voor nodig, want de controle heeft plaatsgevonden en was blijkbaar op dat moment in orde want het poststuk is afgegeven.

        Dat de controle niet altijd eenvoudig is staat volledig los van wel of niet registreren – want zelfs als je een paspoortnummer noteert dan zie ik nog niet hoe PostNL daar iets mee kan aanvangen: “Mijn medewerker heeft een fout gemaakt en het poststuk aan een verkeerde persoon meegegeven, we willen nu graag het adres van de persoon die het poststuk heeft opgehaald zodat we verhaal kunnen halen”. Ik ben benieuwd hoe met dat argument een verzoek wat binnenkomt tot het verkrijgen van de adresgegevens van de ‘afhaler’ zal worden behandeld. Ik denk dat het eerder een verzekeringskwestie wordt voor PostNL dan dat het tot een effectieve aangifte zal kunnen komen (want fout ligt immers overduidelijk bij PostNL of haar ‘medewerkers’)

        Kortom, je krijgt dit alleen sluitend als PostNL het poststuk op het adres van de geaddresseerde aflevert. Dat is ook de opdracht die PostNL heeft aangenomen. Niet bij de buren afleveren, niet op een afhaalpunt laten afleveren, maar gewoon, aan de deur afgeven of door de brievenbus. Alle andere zaken die het voor PostNL alleen maar ‘eenvoudiger’ maken om ‘van een poststuk af te komen’ en die niet als resultaat hebben dat het poststuk op de aangegeven bestemming aankomt voldoen niet aan de opdracht, en zijn ook niet in het belang van de geaddresseerde (die dan moeite moet doen om het poststuk vervolgens in handen te krijgen) Terugsturen naar de afzender als bij herhaling niemand het poststuk kan aannemen vind ik dan weer wel bij de opdracht horen. Al was het alleen maar omdat er binnen alle redelijkheid niet van PostNL verwacht kan worden (binnen de gestelde opdracht) dat ze eindeloos blijven proberen iets afgeleverd te krijgen. Niet altijd fijn voor de geaddresseerde, maar dat is stennis moeten maken om je poststuk te krijgen bij een afhaalpunt ook niet. En als puntje bij paaltje komt krijg je het dan ook niet altijd mee, dus dat komt op hetzelfde neer als terugsturen.

        1. Zelfs als ik de deur opendoe en het pakket aanneem is er nog een probleem. Want juist in die gevallen wordt er helemaal niet gecontroleerd of ik wel de geadresseerde ben. Het hele traject roept eigenlijk enkel maar vragen op. – moet je specifiek aan geadresseerde afleveren en hoe check je dat?

  4. Dit is compleet onzinnig.

    a) PostNL gaat er vanuit dat de betrokken medewerkers onbetrouwbaar zijn of minstens zo zullen gecategoriseerd worden bij een conflict. –> PostNL is daardoor volgens mij een onbetrouwbare bezorgdienst die te vermijden is.

    b) Het is zo dat klanten vaak meerdere keren bij dezelfde afhaallocatie spullen afhalen. Gelet op a) is het zeer goed mogelijk dat de betrokken medewerker het documentnr de vorige keer heeft genoteerd. Lijkt me trouwens een handige werkwijze van de betrokken medewerker. –> nr noteren is onzinnig.

    Geboortedatum is nog gevaarlijker, want dat is een veel gevoeliger gegeven.

    Oh ja, als er iemand een pakketje voor de buren bij ons tracht af te geven wordt er enkel het huisnr genoteerd, als dat al gebeurd.

  5. Iedere willekeurige lapzwans kan mijn voordeur openen en ieder pakketje dat aan mij gericht is aannemen. Zet lukraak een krabbel en de buit is binnen. Ga als verzender dan maar aantonen dat het pakket specifiek -mij- bereikt heeft.

    En hoe waterdicht is dat registreren eigenlijk? Ik laat weleens iets bij mijn ouders bezorgen, dat is toch echt aan mij gericht gezien de naam. Toch kan kennelijk iemand anders uit de familie het pakje wel ophalen bij het postkantoor. Dus zolang jij dat briefje maar in handen krijgt, kan je het zo ophalen, no questions asked, enkel wordt er een nummer opgeslagen. Dan ga je toch achter de feiten aanlopen als dat niet de bedoeling is?

  6. Is dat werkelijk nodig dan? Laatste keer (en dat is nog maar kort geleden!) dat ik een pakketje ophaalde op het afhaalpunt (waar ik nog nooit geweest was, dus de medewerkster kende me niet) pakte ik mijn id-kaart en zei de medewerkster “nee, die hoef je niet te tonen”.

  7. Misschien is het noteren van het ID door PostNL niet zo erg, maar wat doet het bedrijf vervolgens met de gegevens? PostNL kwam in het verleden negatief in het nieuws wegens illegale handel in persoonsgegevens (https://www.consumentenbond.nl/nieuws/2018/postnl-stopt-met-stiekem-doorspelen-van-adresgegevens). Als ik me goed herinner is er in Duitsland een rel geweest rondom datahandel door het postbedrijf daar. Dus de grote vraag is: wat doet PostNL met de ID-gegevens. Gooien ze het netjes na een maand weg, of gaat het in een grote bak met alle Nederlanders er in? Het zou het eerste moeten zijn.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.