Ik wil niet dat mijn klanten mijn identiteitsbewijs scannen!

Een lezer vroeg me:

Als ik als IT-medewerker een bepaalde klant bezoek, moet ik me identificeren aan de deur. Fair enough, maar sinds kort moet mijn identiteitsbewijs in een scanner “ter verificatie”. Ik heb daar vraagtekens bij want als bezoeker kun je niet controleren wat de hardware en software (“Paspoort scanner” en een standaard Windows PC) wel en niet doet. Men zegt dan wel dat alles in het apparaat gebeurt en niets wordt opgeslagen, maar hoe controleer je dat? En mijn werkgever zegt dat ik gewoon naar binnen moet. Wat moet ik nu doen?
Een identiteitscontrole van een bezoeker kan gerechtvaardigd zijn, ik denk dat daar weinig discussie over bestaat. En dat je dan wil controleren of het ID-bewijs van die bezoeker echt is, dat snap ik ook. Daar zijn diverse kastjes voor, op de markt vaak bekend onder de term “ID scanner”. Die kunnen echtheidskenmerken controleren en gegevens uitlezen, en soms zelfs daar meteen een bezoekerspas mee maken.

Inzet van zo’n kastje lijkt me op zich geen probleem. Dat ondersteunt de taak die je toch al hebt, en past binnen de goede uitvoering van die noodzakelijke identiteitscontrole. Je had toch al onderbouwd (op papier) waarom je die controle moest doen, nietwaar?

Het is natuurlijk lastig te zien voor mensen wat er gebeurt met hun gegevens. Zelfs als het los kastje met alleen een stroomkabeltje is, dan nog zou deze via wifi van alles door kunnen geven. Dat mag niet als daar geen goede reden voor is.

Er zijn bedrijven die online identiteitsverificatie / ID controle doen; het kastje is dan alleen een scanner en verzendapparaat naar de dienstverlener die dan de resultaten teruggeeft. Als dat is hoe het bedrijf werkt, dan kan dat (dat bedrijf is dan een verwerker immers) maar dat moet dan wel duidelijk uitgelegd worden.

Dat is dan ook het theoretische antwoord: er mag niets dat niet duidelijk is toegelicht, dus op zijn minst moet je kunnen vragen wat er gebeurt en moet de beveiliger/portier/receptionist hier adequaat antwoord op kunnen geven. Bijvoorbeeld met een folder met toelichting.

Voel je je daar niet prettig bij, of heb je twijfels over of het allemaal wel klopt, dan heb je niet zo heel veel mogelijkheden ben ik bang. Je kunt als individu geen DPIA afdwingen, en eisen dat de AP langskomt is ook niet zo kansrijk ben ik bang.

De enige optie die ik zie is dat je naar je werkgever gaat. Die heeft immers een zorgplicht: een goed werkgever laat de privacy van zijn personeel niet in gevaar komen. Die moet dus bij die klant nadere informatie en/of waarborgen eisen, of misschien zelfs wel een ander protocol verzinnen. Ik heb zelf wel eens een klant geadviseerd om de standaardmonteurs een vaste bezoekerspas te geven. Dat is dan eenmalig een handmatige controle van identiteit, en daarna toegang met die pas.

Arnoud

20 reacties

  1. Ik verbaas me regelmatig over hoe gemakkelijk je bepaalde dingen accepteert en normaal vindt, terwijl ik dat helemaal niet vind. Ik reageer daar meestal op door de stelling te bestrijden, maar eigenlijk is dat gewoon een vraag om toelichting, want ik geloof best dat jij er meer van weet dan ik.

    Hier hebben we weer zo’n geval: ‘Als dat is hoe het bedrijf werkt, dan kan dat (dat bedrijf is dan een verwerker immers) maar dat moet dan wel duidelijk uitgelegd worden.’

    Ik zie dat niet. Als er ook losstaande kastjes zijn, en die werken net zo goed als zo’n online kastje, dan moet zo’n bedrijf, vanwege zijn plicht om de privacyimpact te minimaliseren, toch zo’n losstaand apparaat gebruiken. Ze kunnen dan toch never nooit niet de noodzaak van een online-systeem rondkrijgen?

    En zelfs zo’n kastje… is dat wel nodig? Het kan toch ook handmatig door de portier gebeuren?

    Het is wat flauw om dan te zeggen…’ja maar er zijn valse IDs in omloop, daar is die portier niet voor getraind. Zal best zijn, maar als iemand diverse wetten overtreedt om met een valse ID proberen binnen te komen bij jou, dan is hij er zo op gebrand om binnen te komen dat het hem toch wel zal lukken, is het niet op deze manier, dan wel op een andere manier. (inbreken bij een medewerker om een toegangsbadge te krijen, meeliften in een koeriersbusje,…). Dan heb je het al over geheime diensten en professionele bendes.

    1. Volgens mij is het best mogelijk om de noodzaak van een online verwerker aan te tonen, bijvoorbeeld omdat goede waarborgen zijn getroffen, de verwerker in de EU zit en de prijs zo gunstig is dat het gewoon een reëel alternatief is. Noodzaak is volgens mij niet hetzelfde als maar één oplossing mogelijk zijn.

      1. Sorry, je gebruikt een omgekeerde redenering. Die locatie en goede voorwaarden zijn sowieso nodig, maar zijn geen verantwoording. Goedkoper dan standalone…. is mogelijk, maar lijkt me sterk. En dan nog, is de privacy van jou bezoekers niet een paar euro waard?

    2. Ik reageer daar meestal op door de stelling te bestrijden, maar eigenlijk is dat gewoon een vraag om toelichting
      Ik beeld me daarbij in dat je in de stad bij elke winkelcamera roept “Dat mag niet van de AVG, jullie zijn in overtreding!”

  2. De ID-kaart wordt elektronisch gescand om vervolgens automatisch geanalyseerd te worden. Is dit dan geen verwerking en dus AVG? De scanner heeft een grote glazen plaat waar de ID-kaart opgelegd wordt en de foto is dus niet afgeschermd. Zover ik weet is de foto een bijzonder persoonsgegeven waar je niks mee mag doen behalve als het echt niet anders kan. Aangezien er een alternatief mogelijk is, handmatig controleren door een mens, zou ik denken dat dit dan niet mag.

    De scanner variant die in mijn ogen dan wel mag is een apparaat dat draadloos de digitale chip kan uitlezen en de informatie daarvan weergeeft op het scherm. Een gebruiker kan dan vervolgens die gegevens controleren met wat er op de buitenkant van de ID-kaart zelf staat.

    1. De scanner variant die in mijn ogen dan wel mag is een apparaat dat draadloos de digitale chip kan uitlezen en de informatie daarvan weergeeft op het scherm.
      Kopie of scan identiteitsbewijs

      Een organisatie mag uitsluitend een volledige kopie of scan, dat wil zeggen waarbij alle persoonsgegevens zichtbaar zijn, van iemands identiteitsbewijs maken als de organisatie daartoe wettelijk verplicht is.

      Dit geldt ook voor het scannen van het identiteitsbewijs waarbij een organisatie persoonsgegevens van iemands identiteitsbewijs ‘inleest’. Een organisatie mag dit alleen doen als zij daartoe wettelijk verplicht is.

      bron: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs

        1. Deze tekst zou eigenlijk dus duidelijk op het identiteitsbewijs zelf moeten staan, gecomplementeerd met een bijzondere coating die ondoorzichtig wordt als het soort licht dat in zo’n scanner zit erop straalt. Dan kan een mens zien of de foto past bij het gezicht van de persoon die het toont.

          Voor het controleren van de echtheid van het pasje zelf zou je op de achterkant van het ID een QR-code moeten maken die een aantal fysieke kenmerken van het pasje beschrijft die voortvloeien uit het productieprocess van zo’n pasje die niet eenvoudig te vervalsen zijn, zoals bijvoorbeeld (bij ouderwets papier) de structuur van de vezels, gecombineerd met een digitale handtekening van de uitgevende instantie. Dan kun je geheel off-line, en zonder persoonskenmerken te kopieren het pasje controleren. (Bij plastic stel ik voor dat je in een proces een paar kleuren plastic door elkaar roert, zodat je een patroon krijgt zoals bij gemarmerde vellen papier, zoals je die wel eens ziet in antieke boeken, dat zal dan random en voor elke pas anders zijn.)

          Omdat dit technisch prima mogelijk is, lijkt me er geen goede reden meer zijn om persoonsgegevens te scannen of pasjes on-line te controleren.

          1. Makkelijker is wat ze waarschijnlijk ook doen. Je kunt van een paspoort vrij gemakkelijk de chip uitlezen. Het is versleuteld, maar de sleutel can afgeleid worden van de visuele passpoortinformatie (de twee regels onderaan volgens ISO standaard). Voor Android is er een app dat dat doet, met je eigen paspoort. De gegevens die vervolgens uit de app komen zijn netjes ondertekend met de private key van de Nederlandse overheid, maar bevatten vrij veel informatie inclusief vingerafdrukken, handtekening en foto.

            Een beveiligingspas kan volgens hetzelfde principe werken (maar dan met minder gegevens). Zolang verificatie altijd digitaal is, dan is een digitale handtekening veiliger (en goedkoper/gemakkelijker) dan echtheidskenmerken. Echtheidskenmerken zijn dan eigenlijk alleen maar tot nut om een kopie van de pas moeilijk te maken. Uiteraard betekend een en ander alleen dat het een geldig pasje is, niet dat de persoon met het pasje ook werkelijk de persoon is die beschreven wordt op/in het pasje.

    2. Het BSN staat ook op die pagina en dat is maar zeer beperkt te gebruiken. Volgens mij niet ter controle monteur?

      Artikel 46. Verwerking nationaal identificatienummer 1Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de desbetreffende wet dan wel voor doeleinden bij de wet bepaald.

      2Bij algemene maatregel van bestuur kunnen andere dan in het eerste lid bedoelde gevallen worden aangewezen waarin een daarbij aan te wijzen nummer als bedoeld in het eerste lid, kan worden gebruikt. Daarbij kunnen nadere regels worden gegeven over het gebruik van een zodanig nummer.

  3. ICT’er. Wat zou er gebeuren bij weigering om je paspoort te laten scannen, behalve als men alle AVG documenten vooraf kan aanleveren? De kans is nu groot dat het bedrijf op vele punten niet AVG comform is en wil je daar als IT’er aan meewerken.

    Er is een tekort aan IT’ers: Ofwel blijkt het plotseling niet verplicht te zijn, maar vrijwillig. (Zelf ooit meegemaakt.) Ofwel moet je de vraag stellen of je daar überhaupt wil werken.

    Het scannen van een ID geeft weinig meerwaarde zolang je geen achtergrond info hebt van de betrokkene. Laat ons stellen dat dat AVG gewijs een iets zwaarder “issue” is.

    Mijn ervaring is dat er 4 soorten bedrijven zijn : – Het doet er niet toe en ze weten dat er iemand komt van je bedrijf -> ok (99% bedrijven) – Het doet er wel toe, maar het is zeer pragmatisch, geen probleem maar je geraakt echt niet ver binnen het bedrijf waar je niet moet zijn. Simpele procedure waar over nagedacht is echt geen scans, wel zelf veel badgen in het bedrijf zodat er audit spoor is. –> ok – Het doet er echt toe en dat weet je ook wel. Vaak controle vooraf door “overheid”. –> ok – Wij denken belangrijk te zijn, of willen het laten uitschijnen en hebben verder geen idee. –> probleem

    1. Ik ben als “bezoeker” op plaatsen geweest waar je niet zo makkelijk binnenkomt (en ze hoefden de reden niet uit te leggen). Ik liep daar met twee begeleiders rond die ieder over een schouder keken naar wat ik in die ruimte op hun computer uitvoerde. De beveiliging zat hier duidelijk niet in de identiteitscontrole.

  4. quote/ Ik heb zelf wel eens een klant geadviseerd om de standaardmonteurs een vaste bezoekerspas te geven. Dat is dan eenmalig een handmatige controle van identiteit, en daarna toegang met die pas./ end quote

    En vervolgens is die monteur in de tussentijd ontslagen en komt hij met de pas toch binnen. Bij banken bijvoorbeeld. Baas vergeet pas in te nemen, of op staande voet maar nog in het veld

      1. De bage kan je wel intrekken maar hoe weet de klant / bank dat? Dat werkt allen voor de eigen vestigingen en niet voor de klanten waar de field engineer zich moet indentificeren voor zowel de klant als zijnde daadwerkelijk werken voor dat bedrijf.

        Dus de standaard werkwijze is niet in orde.

          1. Tuurlijk, leg dan eens uit hoe je dat doet bij een ‘op staande voet’. Want een op staande voet ontslag weet je niet van te voren en moet je die klanten allemaal achteraf gaan informeren. En ben je dus te laat met je standaard en is de schade al gebeurd.

            Eentje uit mijn praktijk: ik ben bezig bij een bank maar tijdens mijn werkzaamheden blijkt dat ik even terug moet naar mijn auto voor extra materiaal en gereedschap, normaal bij dit soort werkzaamheden, maar bij terug komst moet ik mij opnieuw identificeren en werd er met mijn werkgever gebeld of ik nog wel in dienst was. Uiteraard liepen om die reden de werkzaamheden uit terwijl er in de bank een honderdtal klanten aanwezig zijn die staan te wachten op service. De bank kon dus sluiten voor die die dag en de rekening gaat dan naar wie? in jouw standaard?

            1. Op je praktijkvoorbeeld heb ik geen antwoord, maar bij een staandevoet mag je wel degelijk even tijd nemen voor noodzakelijke maatregelen. Zoals het blokkeren van passen of informeren van klanten (of het raadplegen van een advocaat of het wel écht staande voet is). Ik zou dus zeggen dat zodra je het besluit neemt, je eerst de pas blokkeert en dan het ontslag aanzegt.

              Gebeurt het “in the heat of the moment” dan is die persoon fysiek bij je en kun je eisen dat de pas hier en nu op tafel komt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.