Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Wil je weten wat onder de AVG nu wel en niet is toegestaan of zit je met andere gerelateerde dilemma's? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Vraag: Er is een nieuwe versie van de KopieID app, las ik. Heel handig, maar waarom staat de overheid het überhaupt toe dat organisaties kopieën maken van identiteitsbewijzen? Kan die app niet gewoon een limitatieve lijst tonen van organisaties die hiertoe wettelijk bevoegd zijn, en bij alle anderen een rood scherm tonen zodat ik kan zeggen "Sorry, dit mag niet?"
Antwoord: De KopieID app is een hele handige oplossing voor het probleem dat veel mensen bij organisaties tegenkomen: die willen een kopie van je identiteitsbewijs, en slaan daarmee allerlei overbodige en risicovolle gegevens op, zoals je pasfoto of je burgerservicenummer. Deze app komt je dan te hulp, je kunt dan een kopie inleveren met een watermerk (waarmee vaststaat wie de data lekte) en niet-nodige gegevens netjes uitgebalkt (zodat de impact van een datalek minder is). En ik kom zowaar steeds vaker organisaties tegen die dat accepteren, een digitale kopie via deze app in plaats van "geef nou maar gewoon je rijbewijs, of wil je die auto niet".
De hamvraag voor mij blijft echter altijd, hoezo moet je überhaupt een kopie van mijn rijbewijs, paspoort of identiteitsbewijs maken? Daar komt meestal geen antwoord op, of het is "dat is nu eenmaal het proces" of tegenwoordig de nog leukere "dat moet van de AVG, u weet wel die privacywet, misschien heeft u er van gehoord". Ik moet me dan altijd héél erg inhouden met uitleg waarom dat helemaal niet moet van de AVG.
Want nee, als hoofdregel kun je prima zeggen dat de AVG noch andere wetgeving van organisaties eist dat ze een kopie van je identiteitsbewijs bewaren. Verreweg de meesten doen het omdat ooit intern bedacht is dat het handig is als check of een identiteitscontrole goed is uitgevoerd, en omdat je achteraf dan dat kopietje kunt laten zien aan politie of rechtbank als bewijs. En dat is leuk en aardig maar natuurlijk zwaar overdreven. In veel gevallen kun je prima volstaan met het nummer van de identiteitskaart noteren. Daarmee is de identiteit terug te halen, wat genoeg moet zijn bij een aangifte.
Dat gezegd hebbende, er zijn natuurlijk organisaties (met name banken) die verplicht een kopie moeten hebben, maar die kunnen daar een specifieke wettelijke regel over aanwijzen. De app zou daar inderdaad een lijst (of wizard of iets dergelijks) over kunnen beheren, maar een hele berg uitzoekwerk is dat wel want de wetgeving hierover is niet centraal beheerd of zelfs maar ooit geïndexeerd op deze eis.
En zelfs als je die lijst hebt, dan is het dus niet zo dat de rest nooit een kopie mag maken. Ze mogen het wel, maar moeten dan een rechtvaardiging daarvoor hebben én irrelevante informatie weglaten op de kopie. Ik zie niet goed hoe je dat in een checklist in een app kunt controleren.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.