Mag Linkedin wel je paspoort via nfc uitlezen om je een vinkje te geven?

Photo by Mohamed_hassan on Pixabay

Menig lezer vroeg me:

LinkedIn vraagt om de identiteit van gebruikers te verifiëren door via de NFC-chip van een identiteitsbewijs gegevens op te vragen, zoals de volledige naam, geboortedatum en het BSN. Is dit juridisch gezien wel in lijn met de wet, zoals de AVG? Hotels mogen niet zomaar je paspoort kopiëren, waarom LinkedIn dan wel?
Dit systeem is door sociaal netwerk LinkedIn ingevoerd om meer vertrouwen te introduceren. Zaken doen (toch min of meer het doel van dit netwerk) gaat beter als je weet wie je tegenover je hebt. En hoewel je natuurlijk prima kunt werken onder pseudoniem of artiestennaam, ligt het wel erg voor de hand om dat te verbinden aan de naam aan je overheidsidentificatiedocument.

De uitvoering is uitbesteed aan het bedrijf Persona Identities, een Amerikaans bedrijf dat zich hierin specialiseert. Dat heeft praktische voordelen, zoals dat zij het veiliger en sneller kunnen. Ook aan AVG compliance is gedacht:

Persona is GDPR and CCPA compliant, which means we’ve implemented a robust privacy program that includes secure data transfer and processing practices. We also achieved SOC 2 Type II at the end of 2019. We have an intake process for data subject rights requests, continuous privacy impact assessments, secure data transfer and storage, and privacy and cookie policies reviewed by external legal counsel. We also maintain records of processing as both a controller and processor.
Men opereert – in de dienstverlening naar LinkedIn – als een verwerker: LinkedIn moet zeggen welke gegevens moeten worden uitgelezen en aan haar gegeven, waarna het sociaal netwerk bepaalt wat daarmee gebeurt. Meer informatie hierover zul je bij Persona dus niet vinden, en moeten we bij LinkedIn zijn:
  • Your name as it appears on your government issued ID
  • The type of ID document you’ve submitted to Persona to verify your identity (i.e., passport)
  • The issuer of that ID document
  • A hashed, unique identifier generated by Persona during the ID verification process (“UID”)
  • Your RequestID
  • … LinkedIn doesn’t receive your biometric data or photos, numbers, or expiry or issue dates associated with your government issued ID (e.g. passport).
Het is dus zeker mogelijk dat Persona het bsn uitleest als deel van de chipleesactie (hoewel ik dacht dat het bsn niet op de chip stond), maar dat gaat dus niet naar LinkedIn. Hetzelfde zal gelden voor andere informatie. En ja, je moet ze op hun woord geloven maar dat heb je altijd.

Blijft over de vraag: mag LinkedIn dit zo doen? Het antwoord is ja, gezien de beperkte uitvraag van je ID-kaart en het feit dat het volledig vrijwillig is. Je krijgt niet meer of minder functionaliteiten door je identiteit te verifiëren, je wordt niet afgesloten en je komt niet hoger of lager in algoritmische overzichten.

Arnoud

 

 

16 reacties

  1. Het BSN was tot voorkort opgenomen in de “Machine Readable Zone” (de twee regels onderaan met OCR’bare tekst). Deze heb je nodig als sleutel als je de NFC wilt uitlezen. Dat betekent dat je bij alle ID’s uitgegeven t/m 2021 (de meerderheid dus) het BSN dus moet lezen om de chip te lezen.

    Ook al is dat vluchtig en kun je het direct na het uitlezen van de chip weer weggooien, je hebt het BSN dan dus wel in het werkgeheugen gehad. Voor onze organisatie (niet BSN-gerechtigd) was het reden om NFC-lezen van ID’s niet in te voeren en op zoek te gaan naar een andere oplossing voor id-verificatie.

    1. Waarom zo negatief over Amerikaanse bedrijven? Als je leest wat Persona zelf zegt:

      Persona is GDPR and CCPA compliant,
      En zoals Arnoud zegt
      En ja, je moet ze op hun woord geloven, maar dat heb je altijd.
      Dat “op hun woord geloven” geldt ook voor bedrijven in de EU.

      Ik werk persoonlijk liever met een bedrijf uit de US dat beweert “GDPR compliant” te zijn dan een bedrijf uit de EU die een dergelijke garantie niet geeft.

      1. Ik werk persoonlijk liever met een bedrijf uit de US dat beweert “GDPR compliant” te zijn dan een bedrijf uit de EU die een dergelijke garantie niet geeft.

        Alleen is dat bedrijf in de EU gebonden aan de Europese regelgeving, en is dat bedrijf in de VS dat niet. Sterker nog, dat bedrijf moet verplicht aan diverse Amerikaanse regelgeving voldoen waar ze niet zoveel hebben met rechten van niet-Amerikanen. Wat dat betreft gaat mijn voorkeur altijd uit naar een Europees bedrijf.

        En als je dan naar Persona kijkt, die slechts verwerker zouden zijn voor LinkedIn, dan zie je in hun eigen policy (specifiek voor LinkedIn) dat ze toch echt niet alleen als verwerker optreden: https://withpersona.com/legal/idv-privacy-policy

        Voor hun eigen gerechtvaardigd belang gebruiken ze je data gerust voor ‘research’ of fraudedetectie. Ze delen het ook gerust met ongespecificeerde ‘data partners’ en ‘affiliates’ en kunnen je eigenlijk niet vertellen hoe lang ze die data bewaren (‘actual retention periods will vary’).

  2. Dit dus

    https://noyb.eu/en/23-years-illegal-data-transfers-due-inactive-dpas-and-new-eu-us-deals EU Commission overtook the DPAs. For many of the remaining complaints, three years after filing, it is still unclear whether the competent DPAs will ever reach a decision or just try to sit out the issue. In the meanwhile, the EU Commission and the USA have gone to work. In mid-July this year, they agreed on a “new” Trans-Atlantic Data Privacy Framework (“TADPF”) which is largely a copy of its predecessor. EU citizens still don’t have constitutional rights in the United States which allows intelligence agencies like the NSA to use their data for surveillance purposes. At the same time, the new Framework gives DPAs the opportunity to suspend active proceedings to wait and see if the CJEU will invalidate the adequacy decision for the third time. Marco Blocher, Data Protection Lawyer at noyb: “We basically have 23 years of back-to-back illegal transfer deals or non-enforcement. It is amazing that every normal person gets a fine if they violate the law, just when it comes to the GDPR there is simply no consequence – even after two CJEU judgments.”
  3. Er is een ander, groot probleem met dit systeem van LinkedIn. Mijn voornaam is niet Wim, maar Wilhelm. En nog een tweede naam. Ik wil deze namen niet in mijn LinkedIn account hebben. Maar ze staan wel als dusdanig in mijn paspoort. En dan moet ik in LinkedIn mijn voornaam aanpassen om door de validatie heen te komen. En na de verificatie kan ik mijn voornaam niet terug veranderen want dan gaat de verigficatie weer verloren.

    En het gevolg is dus dat ik mijn account niet van een vinkje kan voorzien zonder mijn volledige naam te delen. En dat wil ik dus niet!

    En wat belangrijker is, is dat niemand mij kent onder mijn volledige naam. Ik ben gewoon ‘Wim’.

    1. De theorie:

      Name matching: The name on your government issued ID (e.g. passport) must match the name on your LinkedIn profile. If you have a LinkedIn profile in another language, the name on your government issued ID also needs to match the name on your secondary language profile. Your verification won’t be added to your LinkedIn profile unless they match.

      Mijn roepnaam komt ook niet overeen met de eerste naam in mijn paspoort, maar validatie slaagde wel degelijk (zonder dat mijn paspoort-voornaam op mijn profiel stond of verscheen). Valideren ze misschien alleen de achternaam?

      1. Geen idee, maar (en dit is pure speculatie), als ik zoiets zou moeten ontwerpen zou ik een tabel opnemen met gebruikelijke variaties op de naam in het paspoort en die ook goedkeuren. Denk aan Sebastiaan – Bas, Hendrik – Henk e.d.

        Geen idee of ze zoiets doen natuurlijk maar het zou niet vreemd zijn.

        1. Misschien kun jij in het Nederlands nog wel een dergelijke tabel opstellen, maar die zal nooit compleet zijn, en dan nog…. iemand die zich anders wil noemen dan in jouw tabel staat, moet die dan maar door een paar extra hoepels springen?

          En wat doe je met namen in andere talen?

    2. Dit, en het feit dat ik het volkomen overbodig vind om mijn paspoort uit te lezen voor zoiets als verificatie op LinkedIn, maakt dat ik ook geen gebruik maak van deze functionaliteit. Het is een heel rigide systeem, dat dus onhandig is. En ik heb zo mijn twijfels over wat er met de persoonsgegevens gebeurt of kan gebeuren. Het feit dat ik een LinkedIn-profiel heb is al inbreuk genoeg.

  4. en wat te zeggen van mensen die beroepshalve hun id ge gevens niet mogen blootstellen aan mogelijke id-theft? dan met name diegenen die door LI zijn weggewerkt en hun account pas weer terugkrijgen na volledige overdracht van alle paspoortgegevens? Eerder is DPG in het ongelijk gesteld voor het opvragen van excessieve data, beboet door de AP, waarna door de rechter schuld is bevestigd maar de boete miest worden ingetrokken als BSN…..

  5. Een paspoort ‘werkt’ alleen als de te identificeren persoon ernaast staat. Dat zou het uitgangspunt in elke discussie over het kopiëren en opsturen van kopieën van paspoorten moeten zijn. Daarom staat er ook een foto in; die moet ik kunnen vergelijken met de persoon, die voor me staat.

    1. Dat is denk ik te simpel geredeneerd. Voor de meest complete check wel, maar je kunt niet zomaar iemands paspoort fysiek in bezit krijgen. Mensen passen hier goed op en geven die niet zomaar weg. Iemands paspoort bemachtigen én die kunnen gebruiken voor een ID-verificatie is een niet triviale hobbel om te nemen als je je voor iemand anders wilt uitgeven. Waarschijnlijk voorkom je hiermee dus wel degelijk de overgrote meerderheid van de moedwillige impersonaties.

      Overigens is hier wel precedent voor. Bij het stemmen via een machtiging moet je een kopie paspoort meenemen van degene namens wie je stemt. Daar kan dus ook geen foto vergeleken worden, maar omdat zomaar over een kopie van iemands paspoort beschikken naast iemands stempas je niet zomaar voor elkaar krijgt, heeft het ook hier een redelijk goede preventieve waarde, zonder perfect sluitend te hoeven zijn tegen alle vormen van fraude.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.