Menig lezer vroeg me:
LinkedIn vraagt om de identiteit van gebruikers te verifiëren door via de NFC-chip van een identiteitsbewijs gegevens op te vragen, zoals de volledige naam, geboortedatum en het BSN. Is dit juridisch gezien wel in lijn met de wet, zoals de AVG? Hotels mogen niet zomaar je paspoort kopiëren, waarom LinkedIn dan wel?Dit systeem is door sociaal netwerk LinkedIn ingevoerd om meer vertrouwen te introduceren. Zaken doen (toch min of meer het doel van dit netwerk) gaat beter als je weet wie je tegenover je hebt. En hoewel je natuurlijk prima kunt werken onder pseudoniem of artiestennaam, ligt het wel erg voor de hand om dat te verbinden aan de naam aan je overheidsidentificatiedocument.
De uitvoering is uitbesteed aan het bedrijf Persona Identities, een Amerikaans bedrijf dat zich hierin specialiseert. Dat heeft praktische voordelen, zoals dat zij het veiliger en sneller kunnen. Ook aan AVG compliance is gedacht:
Persona is GDPR and CCPA compliant, which means we’ve implemented a robust privacy program that includes secure data transfer and processing practices. We also achieved SOC 2 Type II at the end of 2019. We have an intake process for data subject rights requests, continuous privacy impact assessments, secure data transfer and storage, and privacy and cookie policies reviewed by external legal counsel. We also maintain records of processing as both a controller and processor.Men opereert – in de dienstverlening naar LinkedIn – als een verwerker: LinkedIn moet zeggen welke gegevens moeten worden uitgelezen en aan haar gegeven, waarna het sociaal netwerk bepaalt wat daarmee gebeurt. Meer informatie hierover zul je bij Persona dus niet vinden, en moeten we bij LinkedIn zijn:
- Your name as it appears on your government issued ID
- The type of ID document you’ve submitted to Persona to verify your identity (i.e., passport)
- The issuer of that ID document
- A hashed, unique identifier generated by Persona during the ID verification process (“UID”)
- Your RequestID
- … LinkedIn doesn’t receive your biometric data or photos, numbers, or expiry or issue dates associated with your government issued ID (e.g. passport).
Blijft over de vraag: mag LinkedIn dit zo doen? Het antwoord is ja, gezien de beperkte uitvraag van je ID-kaart en het feit dat het volledig vrijwillig is. Je krijgt niet meer of minder functionaliteiten door je identiteit te verifiëren, je wordt niet afgesloten en je komt niet hoger of lager in algoritmische overzichten.
Arnoud
Het BSN was tot voorkort opgenomen in de “Machine Readable Zone” (de twee regels onderaan met OCR’bare tekst). Deze heb je nodig als sleutel als je de NFC wilt uitlezen. Dat betekent dat je bij alle ID’s uitgegeven t/m 2021 (de meerderheid dus) het BSN dus moet lezen om de chip te lezen.
Ook al is dat vluchtig en kun je het direct na het uitlezen van de chip weer weggooien, je hebt het BSN dan dus wel in het werkgeheugen gehad. Voor onze organisatie (niet BSN-gerechtigd) was het reden om NFC-lezen van ID’s niet in te voeren en op zoek te gaan naar een andere oplossing voor id-verificatie.
https://www.rijksoverheid.nl/onderwerpen/paspoort-en-identiteitskaart/vraag-en-antwoord/wat-is-een-elektronisch-reisdocument-en-welke-gegevens-bevat-de-chip-hierin
Alleen het feit dat een Amerikaans bedrijf dit verzorgt, zou al een waarschuwing moeten zijn. De Amerikaanse overheid heeft geen problemen om persoonsgegevens van niet US-ingezetenen in te kijken en/of te gebruiken.
Waarom zo negatief over Amerikaanse bedrijven? Als je leest wat Persona zelf zegt:
En zoals Arnoud zegt Dat “op hun woord geloven” geldt ook voor bedrijven in de EU.Ik werk persoonlijk liever met een bedrijf uit de US dat beweert “GDPR compliant” te zijn dan een bedrijf uit de EU die een dergelijke garantie niet geeft.
Alleen is dat bedrijf in de EU gebonden aan de Europese regelgeving, en is dat bedrijf in de VS dat niet. Sterker nog, dat bedrijf moet verplicht aan diverse Amerikaanse regelgeving voldoen waar ze niet zoveel hebben met rechten van niet-Amerikanen. Wat dat betreft gaat mijn voorkeur altijd uit naar een Europees bedrijf.
En als je dan naar Persona kijkt, die slechts verwerker zouden zijn voor LinkedIn, dan zie je in hun eigen policy (specifiek voor LinkedIn) dat ze toch echt niet alleen als verwerker optreden: https://withpersona.com/legal/idv-privacy-policy
Voor hun eigen gerechtvaardigd belang gebruiken ze je data gerust voor ‘research’ of fraudedetectie. Ze delen het ook gerust met ongespecificeerde ‘data partners’ en ‘affiliates’ en kunnen je eigenlijk niet vertellen hoe lang ze die data bewaren (‘actual retention periods will vary’).
Dat zou in mijn DPIA al reden genoeg zijn om tot ‘rejected’ te komen. Toch zijn er Amerikaanse bedrijven die prima door mijn DPIA heen komen.
Dit dus
Er is een ander, groot probleem met dit systeem van LinkedIn. Mijn voornaam is niet Wim, maar Wilhelm. En nog een tweede naam. Ik wil deze namen niet in mijn LinkedIn account hebben. Maar ze staan wel als dusdanig in mijn paspoort. En dan moet ik in LinkedIn mijn voornaam aanpassen om door de validatie heen te komen. En na de verificatie kan ik mijn voornaam niet terug veranderen want dan gaat de verigficatie weer verloren.
En het gevolg is dus dat ik mijn account niet van een vinkje kan voorzien zonder mijn volledige naam te delen. En dat wil ik dus niet!
En wat belangrijker is, is dat niemand mij kent onder mijn volledige naam. Ik ben gewoon ‘Wim’.
De theorie:
Mijn roepnaam komt ook niet overeen met de eerste naam in mijn paspoort, maar validatie slaagde wel degelijk (zonder dat mijn paspoort-voornaam op mijn profiel stond of verscheen). Valideren ze misschien alleen de achternaam?
Geen idee, maar (en dit is pure speculatie), als ik zoiets zou moeten ontwerpen zou ik een tabel opnemen met gebruikelijke variaties op de naam in het paspoort en die ook goedkeuren. Denk aan Sebastiaan – Bas, Hendrik – Henk e.d.
Geen idee of ze zoiets doen natuurlijk maar het zou niet vreemd zijn.
Misschien kun jij in het Nederlands nog wel een dergelijke tabel opstellen, maar die zal nooit compleet zijn, en dan nog…. iemand die zich anders wil noemen dan in jouw tabel staat, moet die dan maar door een paar extra hoepels springen?
En wat doe je met namen in andere talen?
Dit, en het feit dat ik het volkomen overbodig vind om mijn paspoort uit te lezen voor zoiets als verificatie op LinkedIn, maakt dat ik ook geen gebruik maak van deze functionaliteit. Het is een heel rigide systeem, dat dus onhandig is. En ik heb zo mijn twijfels over wat er met de persoonsgegevens gebeurt of kan gebeuren. Het feit dat ik een LinkedIn-profiel heb is al inbreuk genoeg.
en wat te zeggen van mensen die beroepshalve hun id ge gevens niet mogen blootstellen aan mogelijke id-theft? dan met name diegenen die door LI zijn weggewerkt en hun account pas weer terugkrijgen na volledige overdracht van alle paspoortgegevens? Eerder is DPG in het ongelijk gesteld voor het opvragen van excessieve data, beboet door de AP, waarna door de rechter schuld is bevestigd maar de boete miest worden ingetrokken als BSN…..
Een paspoort ‘werkt’ alleen als de te identificeren persoon ernaast staat. Dat zou het uitgangspunt in elke discussie over het kopiëren en opsturen van kopieën van paspoorten moeten zijn. Daarom staat er ook een foto in; die moet ik kunnen vergelijken met de persoon, die voor me staat.
Dat is denk ik te simpel geredeneerd. Voor de meest complete check wel, maar je kunt niet zomaar iemands paspoort fysiek in bezit krijgen. Mensen passen hier goed op en geven die niet zomaar weg. Iemands paspoort bemachtigen én die kunnen gebruiken voor een ID-verificatie is een niet triviale hobbel om te nemen als je je voor iemand anders wilt uitgeven. Waarschijnlijk voorkom je hiermee dus wel degelijk de overgrote meerderheid van de moedwillige impersonaties.
Overigens is hier wel precedent voor. Bij het stemmen via een machtiging moet je een kopie paspoort meenemen van degene namens wie je stemt. Daar kan dus ook geen foto vergeleken worden, maar omdat zomaar over een kopie van iemands paspoort beschikken naast iemands stempas je niet zomaar voor elkaar krijgt, heeft het ook hier een redelijk goede preventieve waarde, zonder perfect sluitend te hoeven zijn tegen alle vormen van fraude.
Sinds vorige week is mijn LinkedIn account “out of the blue” geblokkeerd en moet ik me via “persona” verifiëren om weer toegang te krijgen. Vind dat behoorlijk vergaande dwang.