Hoe navigeer je tussen werkbare procedures en de omstandigheden van het geval?

| AE 11547 | Informatiemaatschappij | 3 reacties

Mijn oog viel op deze tweet van de Engelse toezichthouder, waar ik een tikje van opkeek:

Hi, orgs should not look to adopt a blanket approach in asking for ID when responding to a SAR [inzageverzoek onder de AVG]. They should consider each request on a case by case basis and identify which form of ID is most proportionate if required.

De tweet was een reactie op een vraag van de onvolprezen privacyvoorvechter Pat Walshe, die constateerde dat je bij het vragen van een kopie van je persoonsgegevens bij Engelse politieke partijen altijd een kopie ID moet meesturen. Uit de reactie valt op te maken dat dat niet mag, en dat een organisatie dus per verzoek moet kijken of de persoon duidelijk geïdentificeerd is als de betrokkene en zo nee wat in dat geval het handigste is.

Mijn wenkbrauwen fronsen bij zo’n benadering, omdat ik net daarvoor dit onderzoek las over waarom organisaties regels schenden. Iets dat voor juristen vaak moeilijk te vatten is. Het staat toch in de wet dat dat niet mag, opgelost slotje. Maar voor organisaties werkt dat niet zo:

Because organizations rely on routines for following rules, complex rules would require complex routines, which would be harder to execute reliably. As expected, both types of rule complexity increased noncompliance. The two also reinforced one another such that having many components and connections made it far more likely that the rule would be broken.

Met name die eerste zin springt in het oog natuurlijk: organisaties werken altijd met routines, met procedures. Dat is de enige manier om het werkbaar te houden voor de mensen die het moeten doen. Elk geval toetsen op de individuele merites is ongelofelijk kostbaar en geeft veel ruimte voor onduidelijkheid. Het voelt dan ook wat onwerkbaar wat de ICO hier zegt.

Natuurlijk is het niet perse zo dat je altijd een kopie ID kunt vragen en anders stomeenvoudig zeggen, uw verzoek wordt afgewezen. Je moet een controle hebben die past bij de situatie. Als mensen bijvoorbeeld zich online aanmelden voor je dienst (zoals bij de bekende “Mijn Dinges” portalen) dan is een aanvullende identificatie niet nodig. En staan ze aan de balie, dan kun je gewoon hun ID bekijken zonder dat een kopie nodig is. Dat zijn prima procedures.

Maar écht maatwerk, dat zou de uitzondering moeten zijn. Ik vrees dat het juist eerder misgaat als ieder geval als maatwerk wordt behandeld. Dat duurt langer, leidt tot willekeur en fouten.

Arnoud

Deel dit artikel

  1. De uitspraak van de toezichthouder lijkt me correct. Onbekwaamheid of luiheid is geen reden om de wet niet toe te passen. Geloof me vrij, in de meeste organisaties zijn veel zeer complexere procedures in gebruik. Dit is peanuts.

    Er wordt nu veel te veel een kopie ID geëist, terwijl dat absoluut niet nodig is. Het is zelfs zeer zelden nodig. Het is echter vaak een reden om extra grendels op te leggen, je moet meer persoonsgegevens geven dan de organisatie reeds heeft. Net zoals bedrijven het moeilijker maken om te vertrekken dan te komen. Om klant te worden, wordt quasi nooit een kopie ID gevraagd. Dat laatste lijkt me dan ook een goed criterium als basis om het al dan niet te doen.

    Zo stel ik me de vraag met alles met wat naar het -door de organisatie zelf- gekende adres van de vrager wordt gestuurd een kopie ID enige meerwaarde heeft. In het slechtste geval krijgt iemand ongevraagd een stapel papier toe. Ok bij een palletlevering documenten kan ik dat begrijpen, maar bij aankopen ook dan nooit een kopie ID moeten geven. In de limiet werk je via een aangetekend schrijven en dan ben je zeker dat alleen de juiste betrokkene de informatie zal krijgen.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS