Mag een bedrijf vragen om een kopie van je ID bij een inzageverzoek?

Een lezer vroeg me:

Wanneer je je wettelijk recht op inzage of verwijdering van je persoonsgegevens wilt uitoefenen, wordt steeds vaker gevraagd of je een kopie van je identiteitsbewijs wilt opsturen. Is dat eigenlijk wel toegestaan?

Onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming (AVG of GDPR) heb je het recht om inzage te krijgen in alle persoonsgegevens die een bedrijf of instantie over je heeft, en ook het recht om daarin correcties aan te brengen of deze te laten verwijderen (mits niet meer relevant).

Dat laatste recht heet onder de AVG ook wel het recht te worden vergeten, maar dat is meer een marketingterm dan iets anders. Het gaat gewoon om het recht om irrelevante of verouderde gegevens te laten verwijderen uit bestanden.

Het recht van inzage wordt onder de AVG verder nog uitgebreid: je hebt dan recht op een elektronische kopie in een gebruikelijk bestandsformaat, zodat je de data elders kunt hergebruiken. (Wel met de beperking dat de data dan wordt verwerkt met jouw toestemming of krachtens een overeenkomst.)

Organisaties moeten binnen vier weken reageren op het verzoek. Natuurlijk moeten ze daarbij zorgvuldig omgaan met je gegevens, en onderdeel daarvan is verifiëren of jij wel echt de persoon bent om wie het gaat. Dit met een identiteitsbewijs nagaan is dus een logische manier.

In principe mag een bedrijf dus vragen om een kopie ID, hoewel men dan wel natuurlijk zorgvuldig om moet gaan met die kopie. Je zou voor de grap eens kunnen informeren welke beveiligingsmaatregelen men daarbij neemt, want ook dat is deel van je inzagerecht (informatierecht).

Natuurlijk is het altijd verstandig om op zo’n kopie je foto en BurgerServiceNummer door te strepen en over de kopie de naam te schrijven van het bedrijf waar je deze heen stuurt. Dat voorkomt identiteitsfraude en beperkt de impact van datalekken.

Arnoud

Europese Hof: overheid mag vingerafdruk in paspoort verplichten

pixelated-fingerprint-gepixeld.pngDe overheid mag burgers verplichten hun vingerafdruk af te geven bij het aanvragen van een identiteitskaart, las ik bij Tweakers. Een Duitse burger had bezwaar gemaakt tegen deze eis, en de Duitse rechter vroeg daarop aan het Europese Hof hoe dat nu eigenlijk zit met vingerafdrukken binnen het Europese privacyrecht. Het Hof bepaalt nu dat dit in principe mag, mits uitsluitend voor het doel van paspoortcontroles.

In Nederlandse paspoorten zitten sinds een tijd vingerafdrukken in een chip (en nee, die mag je niet frituren). De vingerafdrukken staan ook alléén in die chip. Het onzalige plan om ze allemaal centraal op te slaan is gelukkig niet doorgegaan. En wie wil reizen zonder vingerafdruk, kan dat met het identiteitsbewijs maar is dan wel beperkt in het aantal landen.

Het opslaan van vingerafdrukken valt onder de Wet bescherming persoonsgegevens, en dat is Europese regelgeving. Het Hof van Justitie heeft daarover het laatste woord. Wanneer nationale rechters niet zeker weten hoe het zit met Europese regelgeving, kunnen ze “prejudiciële vragen” stellen aan dit Hof. De uitleg is dan bindend voor die rechter maar uiteindelijk ook voor alle andere Europese rechters. (Dit Hof is dus alleen een vraagbaak en geen hoger beroep boven bv. de Hoge Raad.)

In deze uitspraak (C-291/12) ging het niet om zomaar een uitleg maar om de vraag of de Europese Verordening over vingerafdrukken überhaupt wel rechtsgeldig was. Mág de EU wel bepalen dat de privacy van alle burgers geschonden moet worden door vingerafdrukken in het paspoort?

Ja dat mag, zegt het Hof, mits onder strenge voorwaarden: er moet een legitiem doel zijn en de maatregel moet passen bij dat doel en zo beperkt mogelijk zijn. Het legitieme doel wordt hier gevonden in het verifiëren van de echtheid van paspoorten, en indirect daarmee samenhangend het tegenhouden van illegale bezoekers van een land. Dat de maatregel niet 100% perfect werkt, is geen argument: zolang het ‘aanzienlijk’ beter werkt dan de oude methode, is het in principe legitiem.

Maar gaat het niet te ver? Is het middel wel proportioneel, is er geen andere minder ernstige oplossing voor dit probleem? Volgens het Hof is er geen reëel alternatief: een irisscan is complexer en duurder, en iets anders wist geen van de partijen te verzinnen.

Wel stelt het Hof de harde grens dat de vingerafdruk alléén in de chip mag zitten (dus niet ook nog ergens centraal) en alléén mag worden gebruikt om na te verifiëren of de houder van het paspoort werkelijk de persoon is die daarin vermeld staat (overweging 56). Een identiteitscontrole uitvoeren en dan meteen even de vingerafdruk matchen met de Nationale Opsporingslijst (onze FBI Most Wanted) is dus niet toegestaan.

Bij Webwereld wijzen ze er nog op dat nu onze aankomende Paspoortwet stuk is: artikel 4b daarvan voorziet in de oprichting van een centrale reisdocumentenadministratie met vingerafdrukregister. Dat register is dus nu in strijd met de Europese wetgeving. De vraag is dus: herkent de minister zich niet in deze uitspraak of gaan we een stukje window dressing toevoegen om ons centrale register toch legaal te krijgen?

Arnoud

Mag See Tickets bij Kraftwerkconcertkaartjes wel vragen om het nummer van je identiteitsbewijs?

kraftwerk-evoluonWe hadden het er vorige week al over: wie naar het Kraftwerkconcert in Eindhoven wil, moet zijn BSN afgeven. Dat gaf de nodige commotie, dus nu is dat het ‘identificatiebewijsnummer’ geworden want “wat een hoop idioten niet weten, is dat dat allemaal precies hetzelfde nummer is”, aldus de organisatie. Eh. Juist.

Nee, natuurlijk is het serienummer van je identiteitskaart of rijbewijs een ander nummer dan je BurgerServiceNummer. Maar mag je die nummers dan wél gebruiken? Het BSN valt onder het verbod van art. 24 Wbp: “een nummer dat ter identificatie van een persoon bij wet is voorgeschreven” mag alléén worden gebruikt als in de wet staat dat (en waarvoor) dat mag. Dit geldt zowel voor overheden als voor private partijen, en dit is dus de reden dat een ‘kopietje paspoort’ bij een private organisatie niet mag tenzij men het BSN afdekt bij het kopiëren.

Zo moeten opkopers van metalen tegenwoordig hun klanten zich laten legitimeren, en dat is wettelijk verplicht in verband met koperdiefstal. Ook bij de Rijkspas mocht het BSN niet worden genoteerd. De Richtsnoeren ‘Kopietje paspoort’ bevatten meer voorbeelden.

Maar een paspoort- of ID-nummer is niet bij wet voorgeschreven om mij als persoon te identificeren. Het identificeert vooral dat legitimatiebewijs, en alleen indirect mijzelf. Daarom valt dat niet onder het strenge verbod van artikel 24. Je komt dan terug op de hoofdregels uit de wet: er moet (weigerbare) toestemming zijn, het moet nodig zijn voor de uitvoering van de overeenkomst, of er moet een dringende noodzaak zijn die rechtvaardigt dat je niet kúnt vragen om toestemming. Verder moet je duidelijk informeren wát je doet met die gegevens.

Dan het privacystatement er maar eens bij gepakt. Ah, dat begint goed, ze zijn netjes aangemeld:

SEE heeft haar verwerking van persoonsgegevens gemeld bij het College Bescherming Persoonsgegevens te Den Haag op 21 augustus 2002 onder het nummer m1053015.

Alleen, eh, huh, wat idioot:

resultaat-cbp-see-tickets

Ergens ook wel te verwachten dat er tussen 2002 (datum registratie) en 2013 iets veranderd zou zijn in wat men verwerkt. Het is maar goed dat zij “tijdens onze bedrijfsprocessen speciale aandacht besteden” aan privacy en dus dit soort dingen actualiseren.

Dan maar even op naam gezocht, en See Tickets Nederland BV blijkt een melding te hebben gedaan (m1413603, ach ja typefoutje in het nummer zullen we maar zeggen) voor ticketlevering en de daarbij onvermijdelijke op de persoon afgestemde directmarketingactiviteiten. Volgens de privacyverklaring verzamelt men niet meer dan NAW-gegevens, emailadres en telefoonnummer. Je identiteitskaartnummer is volgens mij toch echt geen NAW-gegeven of telefoonnummer.

Hebben ze nu een formeel probleem? Tsja. Het hóórt in de privacyverklaring zulke informatie. Anderzijds, door het expliciet bij het bestelproces te melden informeer je mensen ook dus misschien is dit nog wel netter dan in een privacyverklaring onder artikel 12.

Wel kun je je serieus afvragen of dat nu écht nodig is, een nummer van een legitimatiebewijs vastleggen. En die vraag moet je je altijd stellen bij verwerking van persoonsgegevens, want dingen die je niet nodig hebt mag je niet vragen, ook niet als mensen best bereid zijn die te geven. Het doel van See is tickethandel tegen te gaan, dat doel willen ze bereiken door persoonsgebonden tickets uit te geven en dus is een koppeling nodig tussen de koper en de persoon die bij het concert verschijnt.

Maar volgens mij kun je dan best volstaan met een naam op laten geven en bij de ingang checken of die naam op het legitimatiebewijs staat (en of de foto matcht met de persoon). Wat voegt een extra nummer toe bij die verificatie? Als daar geen reden voor is, dan mag je dat nummer niet vragen. Dan moet je het houden bij vergelijken naam.

Opmerkelijk is nog dat de privacyverklaring afgezien van tutoyeren en de bedrijfsnaam 99,9% identiek is aan de privacyverklaring van Ticketpoint, waarbij ik echter vermoed dat die laatste ‘m geleend heeft omdat er wél over melding gesproken wordt maar zonder meldingsnummer (en ik geen melding kan vinden van Ticketpoint BV). Maar dat terzijde.

Arnoud

Het idee van een paspoort met een chip

chip-paspoort.jpgRegelmatig krijg ik mails van mensen die hun idee willen beschermen, of zich afvragen wat het ze oplevert om het idee vast te laten leggen bij bv. het Benelux-Bureau voor de IE, de Belastingdienst of een commerciële instantie. Niet zo heel veel, antwoord ik dan: een idee of concept is in abstracto niet beschermd. Octrooi- en auteurswetten eisen een behoorlijke mate van uitwerking of concretisering voordat een concept beschermd kan worden.

Het idee opschrijven en ergens deponeren (‘vastleggen’) biedt maar zeer weinig bescherming. Het bewijst dat het idee bestond op die tijd, en daarmee sta je iets sterker als er ruzie komt over wie het als eerste bedacht heeft. Maar als het opgeschreven idee niet meer is dan een tekst als “Een first person-paardrijspel op de computer”, dan verlies je het nog steeds als iemand je gedeponeerde idee steelt.

In een vonnis van een tijdje terug speelde iets vergelijkbaars. Een uitvinder had in 1997 de Nederlandse Staat een idee gepresenteerd van een paspoort met een chip erin. Daar bleek na enig onderzoek geen interesse voor, maar in 2003 verschenen er toch ineens paspoorten met chips. Mijn idee is gestolen, zo concludeerde deze uitvinder(*), en stapte naar de rechter.

De Staat meldde dat er al diverse systemen bestonden die werkten met chips in paspoorten. Zo bleek er een rapport met de voor ambtenaren gebruikelijke humoristische titel “Een haalbare card” uit 1996 te zijn. Maar dat argument is op zich niet genoeg: van het algemene idee “paspoort met chip ter identificatie” is het wel degelijk mogelijk een eigen uitwerking te doen die voor octrooi of auteursrecht in aanmerking komt.

Echter, dan moet je wel een octrooiaanvraag indienen of een creatieve tekst geven die ook als zodanig wordt overgenomen. En dat was hier niet het geval. De uitvinder had niet veel meer dan zakelijke teksten en enkele technische uitwerkingen en specificaties. Daar zit geen auteursrecht op. Een dergelijke uitwerking moet via een octrooi beschermd worden, en dat was er niet.

Daar komt bij dat als je al een auteursrechtelijk beschermde methode zou hebben, de wederpartij wel jouw creatieve elementen uit die methode moet hebben gebruikt. En ook daar was hier geen sprake van:

Weliswaar maakt de Staat ook gebruik van een op een chip opgeslagen foto in het paspoort, maar die enkele overeenkomst is onvoldoende om ontlening aan te nemen. De door de Staat gebruikte methode voor beveiliging en fraudepreventie van paspoorten is voor het overige immers geheel verschillend van de door [“] bedachte methode. De essentiële verschillen tussen de methode van [“] en het systeem van de Staat overheersen naar het oordeel van de rechtbank. (“)

Ik begin steeds meer te neigen naar het standpunt: registreren van een idee is praktisch waardeloos. Vraag octrooi aan (als dat kan) of regel iets met een geheimhoudingsovereenkomst, maar vertrouw niet op dat papiertje bij een registrerende instantie. Alle opmerkingen over ‘claim uw intellectueel eigendom’ of ‘bescherm uw rechten’ ten spijt.

Arnoud<br/> (*) Iets heel anders: vanwaar de neiging van journalisten om in elk artikel over uitvinders de naam “Willie Wortel” te noemen? Als ik elke journalist “Kuifje” of “razende reporter” zou noemen, zou men daar vrij snel genoeg van krijgen.