Een lezer vroeg me:
Ik las dat er bij mijn vorige werkgever mogelijk digitale kopieën van identiteitsbewijzen zijn buitgemaakt in het kader van een recent datalek. Ik ben nog in het bezit van mijn fysieke identiteitsbewijs, maar vermoed dat een digitale kopie van dit document in verkeerde handen is geraakt. Mijn vraag is: kan ik in dit geval mijn identiteitsbewijs als “gestolen” opgeven, ook al heb ik het fysieke exemplaar nog?Van diefstal van je identiteitsbewijs is geen sprake, want zoals de vraagsteller zelf aangeeft is het fysieke ding nog in zijn bezit. Dus nee, formeel gaat dat niet.
De reden om het als zodanig op te geven, is natuurlijk dat je dan gratis een nieuw krijgt. Dat is belangrijk, omdat zaken als het paspoortnummer dan veranderen zodat het oude niet meer bruikbaar is bij bijvoorbeeld het online openen van een bankrekening. Vraag je zomaar een nieuw paspoort aan, dan kost dat een slordige 165 euro.
Vanuit de rijksoverheid bezien is er niets gebeurd met dat paspoort, dus als je dan een nieuw opvraagt dan zul je moeten betalen. Dat voelt wrang want jij kon niets doen aan dat datalek. Maar in dit specifieke geval moet niet jij maar die ex-werkgever die kosten dragen.
Meestal is het bij datalekken vrij lastig om aan te geven wat je schade is, want op dat moment is er nog geen aanwijsbaar gevolg van het onbevoegd kennisnemen of wissen van persoonsgegevens. Hier is dat er wel: met een kopie paspoort worden allerlei vormen van identiteitsdiefstal mogelijk. De enige reële manier om die tegen te gaan, is het paspoort ongeldig te laten worden. En dat doe je door een nieuw aan te vragen.
Omdat het datalek te wijten is aan de ex-werkgever, heeft deze in juridische zin onrechtmatig gehandeld. De daardoor ontstane schade moet dan worden vergoed, oftewel de prijs van dat paspoort kun je bij die ex-werkgever declareren.
(Heel juridisch bekeken: als het datalek te classificeren is als overmacht – de werkgever had alles gedaan dat redelijkerwijs mogelijk was in haar situatie en tóch werd ze gedatalekt – dan is de werkgever niet schadeplichtig. Maar ik durf wel te zeggen dat de categorie “datalek met overmacht” een buitengewoon kleine is.)
Arnoud
Hoe ga je hier als goed ex-werkgever mee om? Voor je huidige medewerkers is het simpel: die betaal je gewoon een extra bedrag uit om de kosten te dekken en misschien een paar uur verlof om het paspoort te vervangen. Maar hoe ga je je ex-werknemers traceren? De contact informatie die je hebt kunnen achterhaald zijn. Een brief sturen naar het laatst bekende adres mag vast niet van de AVG, je weet immers niet wie dan de persoonsgegevens in de brief onder ogen krijgen. Maar wachten tot iemand om een vergoeding komt vragen is ook niet netjes, dus hoe pak je dit proactief aan?
Je moet de betrokkene al informeren dat data gelekt is dus er is al contact toch?
Maar hoe kan inderdaad een uitdaging zijn. Maar er is wellicht nog een oud prive adres. “Neem even contact op” dan lek je niets maar zet je wel de deur open.
Eigenlijk zou dit een taak voor de overheid moeten zijn.
De werkgever maakt een lijst van de bsn’s en paspoortnummers van zijn ex-werknemers en levert die aan de overheid. Het zou vervolgens simpel moeten zijn daar de overledenen en verlopen paspoorts uit te filteren. De mensen die vervolgens overblijven krijgen een bericht in hun berichtenbox dat ze binnen x tijd een nieuw paspoort moeten aanvragen en de kosten hiervoor kunnen declareren bij hun ex-werkgever. Misschien zou je zelfs een systeem kunnen maken waarbij de kosten automatisch bij de werkgever worden verhaald door de gemeente.
Dat zou helemaal geen taak moeten zijn van de overheid. De werkgever is verantwoordelijk voor het datalek dus ook verantwoordelijk voor de verdere afhandeling.
Anders zou de overheid verantwoordelijk worden voor de verdere afhandeling van mensen die niet binnen x tijd reageren, mensen zonder berichtenbox, invorderingstraject door individuele gemeenten bij niet-betalende werkgevers, enz. enz.
Je geeft helaas niet aan of er nog een verplichting van de werkgever is om over de kopie te beschikken nu de werknemer is vertrokken. De werkgever hoeft namelijk dit niet langer te bewaren dan nodig, dus als hij dat wel doet is dat laakbaar.
Ook is onduidelijk of het verplicht is de kopie digitaal te hebben. Als dat niet zo is, was het een keuze van de werkgever om dat digitaal te doen. Voldeed een kopie in een dikke kluis niet?
De werkgever moet die kopie tot vijf jaar na uitdiensttreding bewaren, dit is een wettelijke verplichting voor de Belastingdienst.
Een ondernemer moet van de belastingdienst zijn/haar administratie zeven jaar bewaren. Waar het gaat om de verplichte kopie paspoort mag dat op papier in een map, maar een scan van het paspoort in een elektronisch werknemersdossier mag ook.
De keuze tussen op papier en elektronisch is aan de werkgever, maar grotere bedrijven kiezen vaak voor het elektronische dossier omdat dat een efficiëntere toegang biedt aan personeelszaken. (Geen gezoek naar een dossier dat op het bureau van een collega twee kamers verderop ligt.)
Ongeveer 20 jaar geleden is mijn paspoort gestolen. Maar als ik me goed herinner heb ik toch moeten betalen voor een nieuw paspoort.
Misschien in jouw gemeente, maar in mijn gemeente moet ik er gewoon voor betalen..