Overheid lanceert nieuwe versie van KopieID-app

| AE 11383 | Privacy, Security | 14 reacties

De Rijksdienst voor Identiteitsgegevens heeft een nieuwe versie van de KopieID-app gelanceerd die het eenvoudiger voor gebruikers moet maken om een kopie van hun identiteitsdocument te maken. Dat meldde Security.nl vorige week. Er zijn de nodige verbeteringen doorgevoerd; zo is het et doorstrepen nu eenvoudiger gemaakt en is het watermerk beter leesbaar. Ook kan de kopie nu worden opgeslagen voor later gebruik en is het versturen vergemakkelijkt. Allemaal mooie stappen binnen het gegeven “men wil een kopie van mijn ID, hoe maak ik dat veiliger” maar ik erger me dood dat het nodig is. Zeker in combinatie met dit bericht dat “we” onze identiteitsbewijzen kwijtraken en dat “we” dus beter op moeten letten. Dat is toch de wereld op zijn kop?

De KopieID app is een hele handige oplossing voor het probleem dat veel mensen bij organisaties tegenkomen: die willen een kopie van je identiteitsbewijs, en slaan daarmee allerlei overbodige en risicovolle gegevens op, zoals je pasfoto of je burgerservicenummer. Deze app komt je dan te hulp, je kunt dan een kopie inleveren met een watermerk (waarmee vaststaat wie de data lekte) en niet-nodige gegevens netjes uitgebalkt (zodat de impact van een datalek minder is). En ik kom zowaar steeds vaker organisaties tegen die dat accepteren, een digitale kopie via deze app in plaats van “geef nou maar gewoon je rijbewijs, of wil je die auto niet”.

De hamvraag voor mij blijft echter altijd, hoezo moet je überhaupt een kopie van mijn rijbewijs, paspoort of identiteitsbewijs maken? Daar komt meestal geen antwoord op, of het is “dat is nu eenmaal het proces” of tegenwoordig de nog leukere “dat moet van de AVG, u weet wel die privacywet, misschien heeft u er van gehoord”. Ik moet me dan altijd héél erg inhouden met uitleg waarom dat helemaal niet moet van de AVG.

Want nee, als hoofdregel kun je prima zeggen dat de AVG noch andere wetgeving van organisaties eist dat ze een kopie van je identiteitsbewijs bewaren. Er zijn bedrijven (met name banken) die verplicht een kopie moeten hebben, maar die kunnen daar een specifieke wettelijke regel over aanwijzen. Verreweg de meesten doen het omdat ooit intern bedacht is dat het handig is als check of een identiteitscontrole goed is uitgevoerd, en omdat je achteraf dan dat kopietje kunt laten zien aan politie of rechtbank als bewijs. En dat is leuk en aardig maar natuurlijk zwaar overdreven. In veel gevallen kun je prima volstaan met het nummer van de identiteitskaart noteren. Daarmee is de identiteit terug te halen, wat genoeg moet zijn bij een aangifte.

En oh ja, dat andere bericht. In 2018 zijn in Nederland bijna 340.000 officiële identiteitspapieren als vermist of gestolen opgegeven, las ik bij de NOS. “Veel mensen zijn zich niet bewust van de risico’s. Mijn advies is: let op uw identiteitsbewijzen”, aldus staatssecretaris Knops. De boodschap begrijp ik, maar ik mis wel heel erg de focus op de bedrijven die identiteitsbewijzen bewaren of kopiëren. Dáár zitten toch de risico’s?

Kunnen we niet vanuit de overheid eens zeggen, als u een kopie ID maakt dan bent u strafbaar tenzij? Of heel simpel, in die app eerst een checklistje met drie vragen doorlopen en dat een filmpje van Knops dan zegt “Hoho bedrijfje, dit mag u helemaal niet van de AVG!”

Arnoud

Mag je als sociale bezorgdienst een ID verlangen van klanten?

| AE 11210 | Ondernemingsvrijheid | 18 reacties

Een lezer (hoi Wim) wees me op sociale bezorgdienst Homerr dat zichzelf als de “toekomst van pakketbezorging” afficheert. Kern van het concept is dat iedereen, zowel particulier als bedrijf, zich kan aanmelden als pakketontvanger binnen zelfgekozen tijden. Je krijgt dan pakketjes van de logistieke dienst, waarna de werkelijke ontvangers -die in jouw buurt wonen natuurlijk- deze dan kunnen afhalen. En per pakketje krijg je betaald. Daarbij moeten die mensen zich identificeren, wat natuurlijk vragen oproept omtrent privacywetgeving. Mag dat eigenlijk wel, als pakketdienst eisen dat je een ID te zien krijgt? Of dat je daar een kopie van maakt?

Het concept is op zich best slim. Lang niet iedereen kan de hele dag thuis zijn, maar af en toe thuis zijn en dan een pakketje aannemen – tegen betaling, overigens – is voor veel mensen wel te doen. Omgekeerd heb je als webwinkelshopper zo ineens veel meer ruimte om een pakketje ergens te laten bezorgen dat op loopafstand is en open is wanneer jij daar tijd voor hebt, wat zeker in een buitenwijk erg fijn kan zijn.

Natuurlijk wil je niet dat mensen pakketjes aan de verkeerde meegeven. Ik zie dan ook geen bezwaar tegen het verlangen van het tonen van een identiteitsbewijs zodat de pakketontvanger naam en foto kan vergelijken met de persoon voor hem, en met het pakketje. Ik zou AVG-technisch dat gewoon een logische invulling noemen van de grondslag “uitvoering overeenkomst”.

Kopietjes maken van die identiteitsbewijzen ligt natuurlijk anders. Dan kom je in een mijnenveld terecht: er staan allerlei gegevens op die jij als pakketjesuitleveraar helemaal niet nodig hebt, zoals een pasfoto of een burgerservicenummer. Of een geboortedatum. Of een woonplaats. Of een, ja noem maar op. Want eigenlijk is de vraag algemener: waarom máák je überhaupt dat kopietje, wat wil je daarmee doen?

De enige reden die ik kan bedenken (naast de beperkte en niet niet van toepassing zijnde wettelijke plichten over kopietjes bewaren) is dat je bewijs wilt bewaren dat je het identiteitsbewijs hebt gezien. Een kopie van iets hebben bewijst immers onomstotelijk dat je het origineel hebt gezien.

Maar is het nódig? Als jij een proces hebt waarbij je identiteitsbewijzen ziet en daarna het nummer noteert, dan lijkt me dat bewijstechnisch prima in orde. Dat is ook de procedure die Homerr hanteert overigens. Prima in orde dus, wat mij betreft.

Zullen we gewoon afspreken dat we stoppen met kopietjes van identiteitsbewijzen maken? Gewoon, iedereen (behalve werkgevers en banken/verzekeraars want die moeten het). Dus ook hotels, autoverhuurders en anderen wiens werkprocessen dit voorschrijven of die denken dat een ISO-gedocumenteerd proces met deze stap erin het een wettelijke plicht maken?

Arnoud

Mag een bedrijf vragen om een kopie van je ID bij een inzageverzoek?

| AE 9803 | Privacy, Security | 23 reacties

Een lezer vroeg me:

Wanneer je je wettelijk recht op inzage of verwijdering van je persoonsgegevens wilt uitoefenen, wordt steeds vaker gevraagd of je een kopie van je identiteitsbewijs wilt opsturen. Is dat eigenlijk wel toegestaan?

Onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming (AVG of GDPR) heb je het recht om inzage te krijgen in alle persoonsgegevens die een bedrijf of instantie over je heeft, en ook het recht om daarin correcties aan te brengen of deze te laten verwijderen (mits niet meer relevant).

Dat laatste recht heet onder de AVG ook wel het recht te worden vergeten, maar dat is meer een marketingterm dan iets anders. Het gaat gewoon om het recht om irrelevante of verouderde gegevens te laten verwijderen uit bestanden.

Het recht van inzage wordt onder de AVG verder nog uitgebreid: je hebt dan recht op een elektronische kopie in een gebruikelijk bestandsformaat, zodat je de data elders kunt hergebruiken. (Wel met de beperking dat de data dan wordt verwerkt met jouw toestemming of krachtens een overeenkomst.)

Organisaties moeten binnen vier weken reageren op het verzoek. Natuurlijk moeten ze daarbij zorgvuldig omgaan met je gegevens, en onderdeel daarvan is verifiëren of jij wel echt de persoon bent om wie het gaat. Dit met een identiteitsbewijs nagaan is dus een logische manier.

In principe mag een bedrijf dus vragen om een kopie ID, hoewel men dan wel natuurlijk zorgvuldig om moet gaan met die kopie. Je zou voor de grap eens kunnen informeren welke beveiligingsmaatregelen men daarbij neemt, want ook dat is deel van je inzagerecht (informatierecht).

Natuurlijk is het altijd verstandig om op zo’n kopie je foto en BurgerServiceNummer door te strepen en over de kopie de naam te schrijven van het bedrijf waar je deze heen stuurt. Dat voorkomt identiteitsfraude en beperkt de impact van datalekken.

Arnoud

Europese Hof: overheid mag vingerafdruk in paspoort verplichten

| AE 6045 | Privacy | 72 reacties

De overheid mag burgers verplichten hun vingerafdruk af te geven bij het aanvragen van een identiteitskaart, las ik bij Tweakers. Een Duitse burger had bezwaar gemaakt tegen deze eis, en de Duitse rechter vroeg daarop aan het Europese Hof hoe dat nu eigenlijk zit met vingerafdrukken binnen het Europese privacyrecht. Het Hof bepaalt nu dat… Lees verder

Mag See Tickets bij Kraftwerkconcertkaartjes wel vragen om het nummer van je identiteitsbewijs?

| AE 5762 | Privacy, Security | 24 reacties

We hadden het er vorige week al over: wie naar het Kraftwerkconcert in Eindhoven wil, moet zijn BSN afgeven. Dat gaf de nodige commotie, dus nu is dat het ‘identificatiebewijsnummer’ geworden want “wat een hoop idioten niet weten, is dat dat allemaal precies hetzelfde nummer is”, aldus de organisatie. Eh. Juist. Nee, natuurlijk is het… Lees verder