Een leuke in dit kader is dan natuurlijk ook om te controleren of bij de gegevens, die je van de organisatie hebt gekregen, ook dat kopie van het ID zit. Dat hebben ze en zouden ze dus moeten aanleveren.

Peter

Wil je dat derden, door het ontbreken van een controle, jouw gegevens kunnen opvragen, of laten verwijderen, bij instanties ? Het lijkt mij dat het controleren van identiteit niet enkel is toegestaan, maar ook een verplichting is. En terecht.

Niet als je er vanuit gaat dat ze deze kopie na controle dienen te vernietigen. Je lijkt er vanuit te gaan dat men alles moet bewaren. Je reactie is wat dat betreft een beetje kort door de bocht.

Kopieën kun je ook downloaden of via hacks binnen harken, dus zo'n kopie -ID geeft geen enkele garantie dat het om dezelfde persoon gaat. Als je daarnaast nog een e-mail account aanmaakt met de naam van degenen van wie je de kopie-ID bemachtigd hebt stromen alle gegevens daar gewoon op binnen want ik neem aan de bedrijven deze gegevens gewoon op aanvraag naar het 'bekende' mail adres toesturen. In feite zie ik wel iets voor een soort overheidsloket als tussen persoon waar men met het digid inlogt en aangeeft van welke organisatie men informatie wil hebben waarna het loket zorgt voor de communicatie tussen burger en organisatie. Uiteraard moeten hiervoor een aantal zaken worden beslecht omdat de overheid in principe ook inzage krijgt in gegevens die een webwinkel van burgers heeft opgeslagen dus daar zit nog wel een privacy brugje dat genomen moet worden.

Kopietje legitimasie blijft behelpen en is eigenlijk [x] ongeschikt voor "de digitaal". Maarja, stoffige ambtenaren die denken dat elektroniese papiertjes heen-en-weer schuiven al "digitale tranformasie" is, dan ook nog proberen te vertellen dat daar toch echt iets moet verbeteren? Dat gaat'm niet wordun.

Daar zou een goede ICT jurist met visie op security gehakt van maken.
Het verschil tussen identificatie en authenticatie brengt met zich mee dat een kopietje id helemaal niets zegt of het wel de juiste persoon is.

Het komt in de praktijk nog wel eens voor dat bedrijven geld vragen voor het uitvoeren van dergelijke handelingen (je persoonsgegevens verzamelen/verwijderen etc.). In hoeverre is dit gerechtvaardigd, en wat kan je hier als klant tegen doen?

Nu kan ik dit, in sommige gevallen, begrijpen (bijvoorbeeld wanneer je gegevens opvraagt bij een instantie waarbij gegevensverwerking een groot onderdeel is van hun primaire dienstverlening (denk bijv. aan een bedrijf dat SaaS-boekhoudsoftware levert)). In een dergelijk geval kan ik begrijpen dat het compleet gratis aanleveren van een complete administratie van een klant die gestopt is met betalen voor de dienst, een ongewenste situatie is. Hij kan op die manier namelijk toch nog de vruchten plukken van een bepaalde dienstverlening, simpelweg omdat hij daar op een bepaald moment klant was en zijn administratie heeft doordrongen met zijn eigen persoonsgegevens.

In andere gevallen vind ik het nogal kwalijk als bedrijven, zeker daar waar persoonsgegevensverzamelen vooral in hun eigen belang is, en niet die van de klant, geld vragen om je inzagerecht, wijzigingsrecht, verwijderingsrecht etc. te kunnen 'gebruiken'.

Geef je nou aan dat het *niet* verstandig is om van een kopie van je ID het BSN door te strepen en het doel van het kopie erop te zetten? Want waar maakt jouw ICT jurist precies gehakt van?

Ja maar het leveren van een kopie ID is geen controle van de identiteit... dus waarom moet dat dan?

Er is een app van de overheid speciaal gemaakt om digitale kopieen te maken van je ID om op te sturen. Hiermee komt er een watermerk op en kun je wegstrepen wat nodig is.
KopieID is te downloaden van normale app Store.

Je kunt dat voor aantonen misbruik makkelijk even doen. Als anderen scannen zoals de bank dan gaat dat niet. Die ander moet eigelijk aantonen dat jij het was. Niet dat jij moet aantonen dat je het niet was. Rechtsprincipe je bent onschuldig tenzij.

Kijk dat is de goede vraag van die Anoniem.
Het lijkt erop dat het met je bsn het Rechtsprincipe omgedraaid is. Zie maar te bewijzen dat je het niet was. Schuldig tenzij.

Er lijkt een bepaalde mate van tunnelvisie te zijn.
Het nare van tunnelvisie is dat het zo geaccepteerd wordt.

Dus zodra het bedrijf mijn kopie-paspoort heeft, kunnen zij als mij bij andere bedrijven mijn gegevens opvragen, laten wijzigen of verwijderen?

Het kunnen aanleveren van een kopie van een identiteitsbewijs zegt helemaal NIETS over de identiteit van de aanleveraar. Door het maken van zo'n afdek-app, waarmee gesuggereerd wordt dat een kopie-paspoort enige waarde heeft, werkt onze overheid identiteitsfraude in de hand.

Helemaal juist. Een kopie van een identiteitsbewijs is enkel en alleen zinvol als bewijsstuk, dat een identiteitscontrole met het echte document heeft plaatsgevonden. Echter is over het algemeen het noteren van het paspoortnummer net zo goed als bewijs te gebruiken. Voor zover ik weet hebben alleen banken een wettelijke verplichting een kopie van het identiteitsbewijs te maken.

De grote vraag blijft dan, hoe een organisatie op afstand de identiteit kan controleren. Als de gebruiker een account op de website heeft, kan dat natuurlijk online gebruikt worden. Maar offline bestaat er eigenlijk geen echte mogelijkheid. Wellicht is de kopie van een identiteitsbewijs (met watermerk etc.) dan beter dan helemaal niets te controleren.

Ja daar is onze overheid een beetje in de middeleeuwen blijven steken...
In Belgie heeft men dat al jaren goed voor elkaar (je weet wel dat land waar volgens Rutte de verkeerde beslissingen
genomen zijn): men heeft daar een identiteitskaart met chip die gebruikt kan worden om met een certificaat de identiteit
vast te stellen op afstand, als je een USB chipkaartlezer hebt. En die schijnen de meeste Belgen dan te hebben, omdat
ze dit gebruiken zoals wij DigiD gebruiken.

Daar bestaan veelgebruikte alternatieven voor. Als een e-mail adres van het individu bekend is bij de organisatie waar het verzoek (opvragen/wijzigen/verwijderen) is binnengekomen, kan een e-mail naar het e-mail adres uit de database (geen reply natuurlijk) worden gestuurd met de vraag of gegevenstoegang daadwerkelijk van dat individu afkomstig is (voor extra zekerheid iets van een random gegenereerd getal er in) welke het individu moet beantwoorden om gegevenstoegang te verkrijgen - de oorspronkelijke mail bijsluitend natuurljk.

Dat is onjuist. Als een telefoonnummer van het individu in de database staat, kan de organisatie dat bellen ter verificatie. Als een adres bekend is, kan de organistie daar een brief naartoe sturen op vergelijkbare wijze als de e-mail hierboven.

De methodes die ik hierboven noem zijn niet onfeilbaar en adres/telefoon/e-mail gegevens kunnen bovendien ondertussen gewijzigd zijn, maar bieden m.i. betere garanties tegen identiteitsfraude (vooral voor het individu zelf) dan het verzenden van paspoort-kopiën. Het individu kan namelijk zelf zorgen voor een degelijk e-mail wachtwoord en haar/zijn adresgegevens bij organisaties up-to-date houden. Met een kopie-paspoort heb je als eigenaar de risico's niet in de hand en het is naïef om te denken dat er geen criminelen bestaan en dat die niet bij de organisaties werken waar jij jouw gegevens verwijderd wilt hebben (bijv. de meeste spammers draaien hun hand niet om voor identiteitsfraude, en als zij kopiën van paspoorten kunnen verkopen, zullen ze dat vast niet nalaten).

Lees goed. Er staat "kopietje ID". Dat kan iedereen opsturen. Juist omdat dit gevoelige gegevens betreft, zou je de identiteit moeten vaststellen en geen genoegen moeten nemen met een kopietje. Hier is het originele ID document vereist die je dan persoonlijk moet tonen. Ik ben het dan ook niet met Arnold eens dat een kopietje volstaat als deugdelijke identificatie.

Geen kritiek op jou Briolet, want zo te zijn zijn wij het eens.

De kernvraag die Arnoud tracht te beantwoorden, is of het is toegestaan dat organisaties van jou eisen dat je hen een fotokopie of scan van jouw identiteitsbewijs stuurt.

In zijn anwoord stelt Arnoud: Arnoud schrijft niet "de logische manier" m.a.w. ik durf hieruit niet te concluderen dat hij dit de verstandigste methode vindt.

Eigenlijk vind ik het een slechte juridische vraag. Interessanter zou ik vinden "Mag ik weigeren om een kopie van mijn identiteitsbewijs op te sturen?" ongeacht wie daarom vraagt.

Redenen:
1) Een kopie van mijn identiteitsbewijs bevat diverse identificerende gegevens, waarvan ik de -kennelijk- benodigde gegevens ook kan overtikken. Wat de organisatie aan gegevens heeft die zij reeds hebben ontgaat mij. Hen aanvullende gegevens verstrekken dient zeker geen enkel doel, en is bij een verwijderverzoek zeer ongewenst als je dat verzoek doet omdat je de organisatie niet voor 100% vertrouwt;
2) Zodra iemand zeker wil weten dat ik niet iemand anders ben, en stelt dat een kopie van een identiteitsbewijs geschikt is ter authenticatie, bewijst die persoon zijn eigen ongelijk. Want straks heeft hij die kopie en kan zich voordoen als mij. En dat er bij organisaties verdachte types kunnen werken, staat vast (voorbeeld, uit [1], waarbij ik niet stel dat zij ook paspoortfraude in hun dossier hebben: "Deze twee verdachten waren als onderaannemer in dienst bij Ziggo");
3) We houden hiermee een aantoonbaar krankzinnig systeem in de stand. Sterker, met het in omloop brengen van elke kopie van een paspoort vergroten we de risico's voor een individu. Maar ook de risico's voor de maatschappij, door de suggestie dat een kopie-paspoort een authenticatiemiddel vormt, in stand te houden.

[1] https://www.security.nl/posting/539289/Politie+haalt+netwerk+van+gekloonde+modems+uit+de+lucht

Een kopie van een identiteitsbewijs mag nooit meer waard zijn dan de combinatie van de (niet afgedekte) identificerende gegevens die erop staan, en het is nooit geschikt als authenticatiemiddel - o.a. omdat het veel te eenvoudig vervalst kan worden.

Zo denk ik niet dat het mij veel moeite kost om een valse kopie-paspoort van Arnoud te "photoshoppen" (het zal gimpen worden want ik heb geen photoshop). Het zou mij niet verbazen als zo'n kopie-paspoort door een organisatie wordt geaccepteerd waar ik zijn gegevens opvraag, zelfs als ik een paspoortnummer kopieer van een op internet gevonden kopie-paspoort en ik er een foto van een heel andere man in plak. Sterker, het aanpassen van enkele gegevens als naam en geboortedatum op een op internet gevonden kopie-paspoort van een andere man zou wel eens kunnen volstaan. Misschien een leuke POC voor een journalist?

Het is gewoon het verhaal van de journalist Kevin Goes.
Daar werd volgehouden dat een vervalst Id met duidelijk andere foto als echt bewijs van de verkeerde persoon is.
Brenno zal het niet meer willen doen.

@karma4: dank voor de naam Kevin Goes, die zaak heb ik gemist (een samenvatting vond ik zojuist in https://www.nrc.nl/nieuws/2016/09/28/ik-ben-niet-de-man-die-jullie-zoeken-4504936-a1523787).

De vraag is hoe we de rest van Nederland ervan kunnen doordringen dat je om identiteitsfraude smeekt zodra je authenticerende eigenschappen toekent aan een kopie van een identiteitsbewijs, of zelfs aan de kennis van een (veelgebruikt) kort nummer als een BSN?

Bitwiper ik heb nog zouter gezien. Er is een overheidsmeldpunt fraudebestrijding. (bezetting 4 personen)
https://www.rvig.nl/fraudebestrijding/centraal-meldpunt-identiteitsfraude-en--fouten Het valt onder BZK ofwel dezelfde verantwoording die voor het paspoort moet zorgen.
Bij de genoemde presentaties krijg je namen en met die namen kun je .... Dat zegt ook dat de zelfde lijn die voor iets deugdelijks moet zorgen tevens uitdraagt dan het de schuld van de slachtoffers is.

In een grote organisatie krijg je de zelfde tegenspraak. Een Privacy gegevens functionaris moet voor zichtbaar zijn als je hem wil aanspreken. Maar wat er gebeurt is dat ze wegens de privacy onzichtbaar willen zijn.

De enige reden om een kopie te maken, is om later te kunnen bewijzen dat je het originele document gezien hebt. Dat is ook de reden dat banken en notarissen zelf een kopie van het paspoort maken. Je kunt het nummer wel opschrijven, maar alleen een nummer kan een bank of notaris nog achteraf in zijn administratie toevoegen.

Als je ergens een kopietje naar toe stuurt heeft dat dus helemaal geen autenticatiewaarde. Sterker, je kunt nu ook niet meer beweren dat die andere kopietjes wel van zelf gecontroleerde papieren zijn.

Bij een goede autenticatie verschijn je zelf. En als de afstand te groot is, doe je dat via een authenticatie op het gemeentehuis. Op alle gemeentehuizen kun je een document laten 'legaliseren' door met je identiteitspapieren langs te gaan.

De website van Amsterdam beschrijft deze procedure: https://www.amsterdam.nl/veelgevraagd/?caseid=%7B7BE351E7-9E5C-4346-9B19-633342E2E812%7D, maar geeft ook aan dat dit in alle gemeenten kan gebeuren. In Amsterdam kan dat zelfs thuis, als je slecht ter been bent.

Dank voor jouw bijdrage, dit wist ik niet! Best logisch als je erover nadenkt en prima voor de situatie als je het originele, door de ambtenaar mede ondertekende en gedateerde, document per post opstuurt.

Een scan per e-mail is een stuk minder sterk (makkelijker te vervalsen), maar nog altijd veiliger dan een kopie van een paspoort.

Goed om te weten!

Anoniem schreef: " Voor zover ik weet hebben alleen banken een wettelijke verplichting een kopie van het identiteitsbewijs te maken."

Nee hoor. Overheidsinstantie en een notaris bijvoorbeeld ook. https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf

De autoriteitpersoongegevens is hier duidelijk over. Het is vreemd en onnodig om om een id te vragen bij opheffen account als bij registratie dit ook niet gevraagd is.De autoriteitpersoonsgegevens zegt dit:

Soms is het nodig voor een organisatie om iemands identiteit vast te stellen, zoals van een klant. Bijvoorbeeld om fraude te voorkomen. Een organisatie kan dit op verschillende manieren doen. Welke manier is toegestaan, hangt af van de toepasselijke wet en van de noodzaak.
Identiteitsbewijs niet altijd nodig

Een organisatie mag niet zomaar aan iemand vragen om zijn identiteitsbewijs te laten zien. Of een kopie maken van het identiteitsbewijs. Kan de organisatie de identiteit van deze persoon ook op een andere, minder vergaande manier vaststellen? Dan moet de organisatie voor die manier kiezen.

Bijvoorbeeld als een klant zijn gegevens wil inzien bij een webshop. Dan heeft de webshop meestal genoeg aan het klantnummer in combinatie met naam en adres om de identiteit van de klant te controleren. Of als de klant zijn account wil verwijderen bij de webshop. De klant kan dan inloggen en aangeven dat hij zijn gegevens wil verwijderen.