image

Juridische vraag: Waarom heeft de nieuwe KopieID app niet gewoon een lijst van organisaties die een kopie ID mogen maken?

woensdag 17 juli 2019, 11:05 door Arnoud Engelfriet, 15 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Wil je weten wat onder de AVG nu wel en niet is toegestaan of zit je met andere gerelateerde dilemma's? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Er is een nieuwe versie van de KopieID app, las ik. Heel handig, maar waarom staat de overheid het überhaupt toe dat organisaties kopieën maken van identiteitsbewijzen? Kan die app niet gewoon een limitatieve lijst tonen van organisaties die hiertoe wettelijk bevoegd zijn, en bij alle anderen een rood scherm tonen zodat ik kan zeggen "Sorry, dit mag niet?"

Antwoord: De KopieID app is een hele handige oplossing voor het probleem dat veel mensen bij organisaties tegenkomen: die willen een kopie van je identiteitsbewijs, en slaan daarmee allerlei overbodige en risicovolle gegevens op, zoals je pasfoto of je burgerservicenummer. Deze app komt je dan te hulp, je kunt dan een kopie inleveren met een watermerk (waarmee vaststaat wie de data lekte) en niet-nodige gegevens netjes uitgebalkt (zodat de impact van een datalek minder is). En ik kom zowaar steeds vaker organisaties tegen die dat accepteren, een digitale kopie via deze app in plaats van "geef nou maar gewoon je rijbewijs, of wil je die auto niet".

De hamvraag voor mij blijft echter altijd, hoezo moet je überhaupt een kopie van mijn rijbewijs, paspoort of identiteitsbewijs maken? Daar komt meestal geen antwoord op, of het is "dat is nu eenmaal het proces" of tegenwoordig de nog leukere "dat moet van de AVG, u weet wel die privacywet, misschien heeft u er van gehoord". Ik moet me dan altijd héél erg inhouden met uitleg waarom dat helemaal niet moet van de AVG.

Want nee, als hoofdregel kun je prima zeggen dat de AVG noch andere wetgeving van organisaties eist dat ze een kopie van je identiteitsbewijs bewaren. Verreweg de meesten doen het omdat ooit intern bedacht is dat het handig is als check of een identiteitscontrole goed is uitgevoerd, en omdat je achteraf dan dat kopietje kunt laten zien aan politie of rechtbank als bewijs. En dat is leuk en aardig maar natuurlijk zwaar overdreven. In veel gevallen kun je prima volstaan met het nummer van de identiteitskaart noteren. Daarmee is de identiteit terug te halen, wat genoeg moet zijn bij een aangifte.

Dat gezegd hebbende, er zijn natuurlijk organisaties (met name banken) die verplicht een kopie moeten hebben, maar die kunnen daar een specifieke wettelijke regel over aanwijzen. De app zou daar inderdaad een lijst (of wizard of iets dergelijks) over kunnen beheren, maar een hele berg uitzoekwerk is dat wel want de wetgeving hierover is niet centraal beheerd of zelfs maar ooit geïndexeerd op deze eis.

En zelfs als je die lijst hebt, dan is het dus niet zo dat de rest nooit een kopie mag maken. Ze mogen het wel, maar moeten dan een rechtvaardiging daarvoor hebben én irrelevante informatie weglaten op de kopie. Ik zie niet goed hoe je dat in een checklist in een app kunt controleren.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (15)
17-07-2019, 11:23 door Anoniem
Elke werkgever is verplicht een kopie ID van zijn personeel te hebben liggen in de personeelsdossiers.

Hoe lang moet die lijst dan worden?
Je kunt zelf opzoeken welke branches wel of geen kopie ID mogen verlangen. 1 klik verwijderd op het internet.
17-07-2019, 14:37 door Anoniem
De Autoriteit Persoonsgegevens heeft een uitleg hoe zij in de wedstrijd zitten (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs). Hun standpunt verhardt van tijd tot tijd. Ze staan het nu nog tandenknarsend toe als je geen wettelijke verplichting hebt (hoewel ze al aangeven: "Liever gewoon de gegevens overschrijven als je daar al genoeg aan hebt"), maar hoe lang nog? In ieder geval zijn ze onderhand stevig tegen onbeschreven kopieën, ook bij een wettelijke verplichting. Al is er in de loop der jaren zoveel in deze pagina veranderd dat het zichzelf af en toe op details tegenspreekt. Dan is het standpunt op het ene punt verhard (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs#mag-een-organisatie-een-beschreven-kopie-van-mijn-identiteitsbewijs-weigeren-6705) en op het andere punt nog niet (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs#wat-kan-ik-doen-als-een-organisatie-een-kopie-of-scan-van-mijn-identiteitsbewijs-wil-maken-5144, onderaan).

Ik herken me overigens enorm in het volgende:

Ik moet me dan altijd héél erg inhouden met uitleg waarom dat helemaal niet moet van de AVG.

Met name onbeschreven kopieën zijn een eeuwige steen des aanstoots.

Mijn advies rondom (onbeschreven) kopieën ID bestaat uit drie stappen:
1. Probeer het met het bedrijf uit te praten (maar houd de eer aan jezelf en ga naar stap 2 als dit in oeverloos geargumenteer gaat verkeren).
2. Als dat niet lukt, stap dan naar de Functionaris Gegevensbescherming van dat bedrijf (als ze die hebben). Meestal staan er contactgegevens in de Privacyverklaring. Bedrijven baseren zich daarbij op de informatieverplichting in Artikel 13 lid 1b of artikel 14 lid 1b, https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=celex%3A32016R0679, dus dat is een redelijk betrouwbare standaardlocatie om te zoeken.
3. Als je er dan nog niet uitkomt, dien een klacht in bij de Autoriteit Persoonsgegevens en stuur een kopie van de klacht aan de FG (of aan het bedrijf). Dan mag de AP het verder uitzoeken.

Eventueel kan je dezelfde drie stappen volgen met een meningsverschil over wel of niet een kopie überhaupt.
17-07-2019, 15:37 door Anoniem
Door Anoniem: Elke werkgever is verplicht een kopie ID van zijn personeel te hebben liggen in de personeelsdossiers.

Hoe lang moet die lijst dan worden?
Je kunt zelf opzoeken welke branches wel of geen kopie ID mogen verlangen. 1 klik verwijderd op het internet.

Dus gewoon categoriën in de app, werkgever, bank, e.d.
1 klik ? , en wat typewerk zeker ?
Of staat jouw browser standaard op website die daar naar toe linkt.
17-07-2019, 16:55 door Anoniem
Door Anoniem: De Autoriteit Persoonsgegevens heeft een uitleg hoe zij in de wedstrijd zitten (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs). Hun standpunt verhardt van tijd tot tijd. Ze staan het nu nog tandenknarsend toe als je geen wettelijke verplichting hebt (hoewel ze al aangeven: "Liever gewoon de gegevens overschrijven als je daar al genoeg aan hebt"), maar hoe lang nog? In ieder geval zijn ze onderhand stevig tegen onbeschreven kopieën, ook bij een wettelijke verplichting. Al is er in de loop der jaren zoveel in deze pagina veranderd dat het zichzelf af en toe op details tegenspreekt. Dan is het standpunt op het ene punt verhard (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs#mag-een-organisatie-een-beschreven-kopie-van-mijn-identiteitsbewijs-weigeren-6705) en op het andere punt nog niet (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs#wat-kan-ik-doen-als-een-organisatie-een-kopie-of-scan-van-mijn-identiteitsbewijs-wil-maken-5144, onderaan).

Ik herken me overigens enorm in het volgende:

Ik moet me dan altijd héél erg inhouden met uitleg waarom dat helemaal niet moet van de AVG.

Met name onbeschreven kopieën zijn een eeuwige steen des aanstoots.

Mijn advies rondom (onbeschreven) kopieën ID bestaat uit drie stappen:
1. Probeer het met het bedrijf uit te praten (maar houd de eer aan jezelf en ga naar stap 2 als dit in oeverloos geargumenteer gaat verkeren).
2. Als dat niet lukt, stap dan naar de Functionaris Gegevensbescherming van dat bedrijf (als ze die hebben). Meestal staan er contactgegevens in de Privacyverklaring. Bedrijven baseren zich daarbij op de informatieverplichting in Artikel 13 lid 1b of artikel 14 lid 1b, https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=celex%3A32016R0679, dus dat is een redelijk betrouwbare standaardlocatie om te zoeken.
3. Als je er dan nog niet uitkomt, dien een klacht in bij de Autoriteit Persoonsgegevens en stuur een kopie van de klacht aan de FG (of aan het bedrijf). Dan mag de AP het verder uitzoeken.

Eventueel kan je dezelfde drie stappen volgen met een meningsverschil over wel of niet een kopie überhaupt.
Dat werkt natuurlijk alleen in Nederland of de EU. Die hotelmanager in Zuid-America zal zijn schouders ophalen en vragen of je die volgens locale wet verplichte kopie laat maken of dat je op straat wil slapen.
18-07-2019, 07:58 door Anoniem
Het bgaat dus fout op het feit dat we als makke schapen maar gewoon een copie geven als iemand er om vraagt. En dit is een lapmiddel.
Moet je eens opletten hoe snel die autoverhuurder overstag is als iedereen weigert en hij geen auto meer verhuurt...
18-07-2019, 08:44 door Anoniem
Er is een nieuwe versie van de KopieID app, las ik. Heel handig, maar waarom staat de overheid het überhaupt toe dat organisaties kopieën maken van identiteitsbewijzen? Kan die app niet gewoon een limitatieve lijst tonen van organisaties die hiertoe wettelijk bevoegd zijn, en bij alle anderen een rood scherm tonen zodat ik kan zeggen "Sorry, dit mag niet?"

Topicstarter: Bepaal je *zelf* dan helemaal niets, bij de vraag wie wel/geen kopie mag hebben van jouw identificatie bewijs ? De app is een hulp middel. En ik neem aan dat jij ook een eigen wil hebt. Een app kan die keuze niet namens *jou* maken.
18-07-2019, 08:48 door Anoniem
Mijn advies rondom (onbeschreven) kopieën ID bestaat uit drie stappen:
1. Probeer het met het bedrijf uit te praten (maar houd de eer aan jezelf en ga naar stap 2 als dit in oeverloos geargumenteer gaat verkeren).
2. Als dat niet lukt, stap dan naar de Functionaris Gegevensbescherming van dat bedrijf (als ze die hebben). Meestal staan er contactgegevens in de Privacyverklaring. Bedrijven baseren zich daarbij op de informatieverplichting in Artikel 13 lid 1b of artikel 14 lid 1b, https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=celex%3A32016R0679, dus dat is een redelijk betrouwbare standaardlocatie om te zoeken.
3. Als je er dan nog niet uitkomt, dien een klacht in bij de Autoriteit Persoonsgegevens en stuur een kopie van de klacht aan de FG (of aan het bedrijf). Dan mag de AP het verder uitzoeken.

Mag een organisatie een beschreven kopie van mijn identiteitsbewijs weigeren?

Nee, dat mag niet. Wanneer die organisatie een wettelijke grondslag heeft om een volledig kopie van het identiteitsbewijs te verwerken, dan is een beschreven kopie hiervoor genoeg.

U kunt er dus voor kiezen om op de kopie te schrijven. Dat is ook aan te raden, want zo beschermt u de kopie tegen identiteitsfraude.

Let op: Alle persoonsgegevens (zoals de foto en het BSN) op de beschreven kopie moeten leesbaar zijn. Ook de foto moet voldoende zichtbaar zijn om u te kunnen identificeren. Wat u op de kopie schrijft, mag dus geen afbreuk doen aan de identificerende functie van de kopie. Gebruik dus bijvoorbeeld een dunne pen en geen dikke stift om op de kopie te schrijven.

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs

Verder is er geen enkele geldige reden waarmee een HR medewerker kan onderbouwen, waarom een *onbeschreven* kopie nodig zou zijn. Naast dat ze het je niet mogen verplichten.
18-07-2019, 10:00 door Anoniem
Door Anoniem: Het bgaat dus fout op het feit dat we als makke schapen maar gewoon een copie geven als iemand er om vraagt. En dit is een lapmiddel.
Moet je eens opletten hoe snel die autoverhuurder overstag is als iedereen weigert en hij geen auto meer verhuurt...
Je huurt doorgaans een auto omdat je anders niet uit de voeten kunt. Vanuit die positie zullen niet veel mensen weigeren.
18-07-2019, 10:54 door Anoniem
Aan deze app heb je geen reet aan, bijvoorbeeld als jij apps hebt geïnstalleerd op je telefoon, die toegang heeft tot je camera, dan kan die app snel een foto maken van je id zonder watermerk, zoals whatsapp, instagram, snapchat, of andere apps die je camera gebruiken terwijl dat helemaal niet van belang bij vele apps.Want wie zegt mij dat wanneer ik een foto wil maken met deze app, niet snel een andere app een foto maakt van mij id zonder watermerk ???????????
18-07-2019, 17:19 door Anoniem
Arnoud stelt vaak een vraag en komt nooit met een sluitend antwoord of blijft ongelooflijk vaag.
Is dat bewust en moet de community zijn juridische werk doen?
19-07-2019, 10:13 door karma4 - Bijgewerkt: 19-07-2019, 10:20
Betere vragen:
1- Waarom wordt een kopietje id soms als bewijs van de juiste persoon geaccepteerd terwijl een kopietje id nietszeggend is?
2- De verplichting om te controleren of de persoon is die hij beweerd te zijn is her en der een wettelijke verplichting.
Dat voorkomt privacy inbreuken (identiteitsfraude) .
Wat ontbreekt er om aam die wettelijke verplichting te voldoen?
3- Waarom faalt het AP bij een oplossing voor privacy inbreuken (identiteitsfraude)?


Hier zit ook het antwoord van het nutteloze van de kopieid app. Arnoud mag vaag zijn en geeft dat antwoord niet..
He is BZK RVIG die voor het paspoort en id bewijs verantwoordelijk is. Bij het uitgeven van de fysieke middelen is men totaal vergeten dat anderen de controle persoon voor de tafel id-bewijs, correct id bewijs moeten doen.


Het AP trekt zich niets aan van de wettelijke eisen tot correcte administraties waarbij zo veel mogelijk persoonsverwisselingen en identiteitsfraude vermeden worden. Deze zit op het eigen stokpaardje dat het weten en zien van een BSN bij voorbaat een privacyprobleem is. Daarmee zijn de privacy schendingen van vele slachtoffers aan het faciliteren.
19-07-2019, 11:22 door Anoniem
Door Anoniem: Het bgaat dus fout op het feit dat we als makke schapen maar gewoon een copie geven als iemand er om vraagt. En dit is een lapmiddel.
Moet je eens opletten hoe snel die autoverhuurder overstag is als iedereen weigert en hij geen auto meer verhuurt...

"In Nederland" .. zoals eerder opgemerkt: en nou in Brazilie?

zal lekker werken. Wat realiteitszin zou wel nuttig zijn.

Eminus
19-07-2019, 11:26 door Anoniem
In België is het zo dat de bank haar cliënten te allen tijde moet kunnen identificeren. Nergens stelt de Wet dat dit door het inlezen van de ID-kaart dient te gebeuren. Ik weiger derhalve systematisch me als een machine te laten "uitlezen". De bank mag een kopie van mijn ID-kaart maken en ik lever ze daarbij op papier een recent "attest van woonst". Daar hebben ze alle wettelijk vereiste gegevens mee.
Ik weiger pertinent mee te spelen in de registratie- en identificatie obsessie van de laatste jaren. Identificeren om te gaan zwemmen ?? Van de pot gerukt. Voor wanneer je ID-kaart laten inlezen bij het kopen van een brood (onder het motto "terroristen moeten toch ook eten") ?
De veiligheidscultus is helemaal doorgeslagen en stuurt ons recht toe naar een totalitaire samenleving. Iets waar 80jaar geleden miljoenen mensen tegen gevochten hebben en hun leven gegeven ...
Veiligheid is een middel en mag geen doel worden. Verzet tegen de Grapperhausen van deze wereld.
20-07-2019, 13:52 door karma4
Door Anoniem: .....
De veiligheidscultus is helemaal doorgeslagen en stuurt ons recht toe naar een totalitaire samenleving. Iets waar 80jaar geleden miljoenen mensen tegen gevochten hebben en hun leven gegeven ...
Veiligheid is een middel en mag geen doel worden. Verzet tegen de Grapperhausen van deze wereld.
De soldaten die ons bevrijden liepen rond met een plaatje rang en nummer. Ze wilden juist herkend kunnen worden.
Niet veel anders dan het BSN of administratief nummertje.
Het was een strijd tegen totalitaire regimes niet tegen het kunnen identificeren van mensen..
22-07-2019, 16:47 door Briolet
Dat gezegd hebbende, er zijn natuurlijk organisaties (met name banken) die verplicht een kopie moeten hebben, maar die kunnen daar een specifieke wettelijke regel over aanwijzen.

Arnoud, kun je dan aangeven waar dat staat? Op de site van de overheid staat juist expliciet dat banken daar niet toe verplicht zijn.: https://www.rijksoverheid.nl/onderwerpen/bescherming-van-consumenten/vraag-en-antwoord/moet-een-bank-een-kopie-van-mijn-paspoort-maken-en-bewaren

Banken moeten alleen de identiteit controleren en de gegevens vastleggen. Dus het opschrijven van iemands naam en nummer van de ID-kaart volstaat. Dat ze een kopie willen maken lijkt me meer een kwestie van gemakzucht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.