Ik moet mijn paspoort uploaden en voor de camera dansen om mijn game-account op te heffen

| AE 13302 | Ondernemingsvrijheid, Privacy | 18 reacties

jackmac34 / Pixabay

Een lezer vroeg me:

Een jaar geleden meldde ik me aan bij een game site. Nu wil ik mijn account verwijderen. De helpdesk zegt dat ik dan via een externe partij een foto van mijn ID en een filmpje van mezelf moet aanleveren ter bevestiging van mijn nationaliteit. Dit omdat ze alleen accounts verwijderen in landen waar dat wettelijk verplicht is. Is dit net zo raar als het klinkt?
In Europa is dit heel erg raar, ja. Onder de AVG kwalificeert een account bij een online dienst als een verwerking van persoonsgegevens. Je accountnaam, mogelijk meer personalia, loginggegevens of betalingsinformatie en dergelijke zijn immers allemaal gegevens over jou, ook als ze niet je echte naam hebben.

De AVG geeft je het recht zo’n account te laten verwijderen wanneer de dienstverlening afgelopen is. (Enkele administratieve gegevens mogen ze bewaren, bijvoorbeeld vanuit een fiscale bewaarplicht, maar dat is NIET hetzelfde als het account bevriezen. Het account moet weg, die fiscale gegevens bewaar je maar lekker ergens anders.)

Natuurlijk moet de dienstverlener bij zo’n verzoek om verwijderen vaststellen dat hij met de juiste persoon te maken heeft. Maar je mag daarvoor niet eisen dat iemand diens paspoort laat zien, of via een externe dienst zo’n bewijs van overheidsidentiteit levert. Dat is immers niet nodig: wie in het account kan inloggen, is de persoon om wie het gaat en dus de persoon die een verwijderverzoek mag doen. Klaar.

Helaas zijn er vele dienstverleners die baat hebben bij “al X miljoen mensen spelen bij ons” in de reclame, en daarom verzonnen argumenten er met de haren bij slepen om dit niet te hoeven doen. Dit is een mooi voorbeeld. Er is – ook los van de AVG – geen legitieme reden om een account te laten bestaan als de houder het op wil heffen.

“Wij willen uw paspoort zien want als u Braziliaan bent dan doen wij dit niet” komt bij mij niet door de giecheltoets. Er zijn genoeg manieren om eenvoudig vast te stellen uit welke regio iemand komt. Een GeoIP database bijvoorbeeld, of gewoon het vragen (en dat alleen op verzoek laten wijzigen, hoe vaak emigreren mensen immers) is al een stuk veiliger en goed genoeg.

Arnoud

Mag een bedrijf vragen om een kopie van je ID bij een inzageverzoek?

| AE 9803 | Privacy, Security | 23 reacties

Een lezer vroeg me:

Wanneer je je wettelijk recht op inzage of verwijdering van je persoonsgegevens wilt uitoefenen, wordt steeds vaker gevraagd of je een kopie van je identiteitsbewijs wilt opsturen. Is dat eigenlijk wel toegestaan?

Onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming (AVG of GDPR) heb je het recht om inzage te krijgen in alle persoonsgegevens die een bedrijf of instantie over je heeft, en ook het recht om daarin correcties aan te brengen of deze te laten verwijderen (mits niet meer relevant).

Dat laatste recht heet onder de AVG ook wel het recht te worden vergeten, maar dat is meer een marketingterm dan iets anders. Het gaat gewoon om het recht om irrelevante of verouderde gegevens te laten verwijderen uit bestanden.

Het recht van inzage wordt onder de AVG verder nog uitgebreid: je hebt dan recht op een elektronische kopie in een gebruikelijk bestandsformaat, zodat je de data elders kunt hergebruiken. (Wel met de beperking dat de data dan wordt verwerkt met jouw toestemming of krachtens een overeenkomst.)

Organisaties moeten binnen vier weken reageren op het verzoek. Natuurlijk moeten ze daarbij zorgvuldig omgaan met je gegevens, en onderdeel daarvan is verifiëren of jij wel echt de persoon bent om wie het gaat. Dit met een identiteitsbewijs nagaan is dus een logische manier.

In principe mag een bedrijf dus vragen om een kopie ID, hoewel men dan wel natuurlijk zorgvuldig om moet gaan met die kopie. Je zou voor de grap eens kunnen informeren welke beveiligingsmaatregelen men daarbij neemt, want ook dat is deel van je inzagerecht (informatierecht).

Natuurlijk is het altijd verstandig om op zo’n kopie je foto en BurgerServiceNummer door te strepen en over de kopie de naam te schrijven van het bedrijf waar je deze heen stuurt. Dat voorkomt identiteitsfraude en beperkt de impact van datalekken.

Arnoud

Europese Hof: overheid mag vingerafdruk in paspoort verplichten

| AE 6045 | Privacy | 72 reacties

pixelated-fingerprint-gepixeld.pngDe overheid mag burgers verplichten hun vingerafdruk af te geven bij het aanvragen van een identiteitskaart, las ik bij Tweakers. Een Duitse burger had bezwaar gemaakt tegen deze eis, en de Duitse rechter vroeg daarop aan het Europese Hof hoe dat nu eigenlijk zit met vingerafdrukken binnen het Europese privacyrecht. Het Hof bepaalt nu dat dit in principe mag, mits uitsluitend voor het doel van paspoortcontroles.

In Nederlandse paspoorten zitten sinds een tijd vingerafdrukken in een chip (en nee, die mag je niet frituren). De vingerafdrukken staan ook alléén in die chip. Het onzalige plan om ze allemaal centraal op te slaan is gelukkig niet doorgegaan. En wie wil reizen zonder vingerafdruk, kan dat met het identiteitsbewijs maar is dan wel beperkt in het aantal landen.

Het opslaan van vingerafdrukken valt onder de Wet bescherming persoonsgegevens, en dat is Europese regelgeving. Het Hof van Justitie heeft daarover het laatste woord. Wanneer nationale rechters niet zeker weten hoe het zit met Europese regelgeving, kunnen ze “prejudiciële vragen” stellen aan dit Hof. De uitleg is dan bindend voor die rechter maar uiteindelijk ook voor alle andere Europese rechters. (Dit Hof is dus alleen een vraagbaak en geen hoger beroep boven bv. de Hoge Raad.)

In deze uitspraak (C-291/12) ging het niet om zomaar een uitleg maar om de vraag of de Europese Verordening over vingerafdrukken überhaupt wel rechtsgeldig was. Mág de EU wel bepalen dat de privacy van alle burgers geschonden moet worden door vingerafdrukken in het paspoort?

Ja dat mag, zegt het Hof, mits onder strenge voorwaarden: er moet een legitiem doel zijn en de maatregel moet passen bij dat doel en zo beperkt mogelijk zijn. Het legitieme doel wordt hier gevonden in het verifiëren van de echtheid van paspoorten, en indirect daarmee samenhangend het tegenhouden van illegale bezoekers van een land. Dat de maatregel niet 100% perfect werkt, is geen argument: zolang het ‘aanzienlijk’ beter werkt dan de oude methode, is het in principe legitiem.

Maar gaat het niet te ver? Is het middel wel proportioneel, is er geen andere minder ernstige oplossing voor dit probleem? Volgens het Hof is er geen reëel alternatief: een irisscan is complexer en duurder, en iets anders wist geen van de partijen te verzinnen.

Wel stelt het Hof de harde grens dat de vingerafdruk alléén in de chip mag zitten (dus niet ook nog ergens centraal) en alléén mag worden gebruikt om na te verifiëren of de houder van het paspoort werkelijk de persoon is die daarin vermeld staat (overweging 56). Een identiteitscontrole uitvoeren en dan meteen even de vingerafdruk matchen met de Nationale Opsporingslijst (onze FBI Most Wanted) is dus niet toegestaan.

Bij Webwereld wijzen ze er nog op dat nu onze aankomende Paspoortwet stuk is: artikel 4b daarvan voorziet in de oprichting van een centrale reisdocumentenadministratie met vingerafdrukregister. Dat register is dus nu in strijd met de Europese wetgeving. De vraag is dus: herkent de minister zich niet in deze uitspraak of gaan we een stukje window dressing toevoegen om ons centrale register toch legaal te krijgen?

Arnoud

Mag See Tickets bij Kraftwerkconcertkaartjes wel vragen om het nummer van je identiteitsbewijs?

| AE 5762 | Privacy, Security | 24 reacties

We hadden het er vorige week al over: wie naar het Kraftwerkconcert in Eindhoven wil, moet zijn BSN afgeven. Dat gaf de nodige commotie, dus nu is dat het ‘identificatiebewijsnummer’ geworden want “wat een hoop idioten niet weten, is dat dat allemaal precies hetzelfde nummer is”, aldus de organisatie. Eh. Juist. Nee, natuurlijk is het… Lees verder