Is het scannen van mijn ID in het kader van identiteitscontrole bij een werkbezoek gerechtvaardigd?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Als ik als IT-medewerker een bepaalde klant bezoek, moet ik me identificeren aan de deur. Fair enough, maar sinds kort moet mijn identiteitsbewijs in een scanner "ter verificatie". Ik heb daar vraagtekens bij want als bezoeker kun je niet controleren wat de hardware en software ("Paspoort scanner" en een standaard Windows PC) wel en niet doet. Men zegt dan wel dat alles in het apparaat gebeurt en niets wordt opgeslagen, maar hoe controleer je dat? En mijn werkgever zegt dat ik gewoon naar binnen moet. Wat moet ik nu doen?
Antwoord: Een identiteitscontrole van een bezoeker kan gerechtvaardigd zijn, ik denk dat daar weinig discussie over bestaat. En dat je dan wil controleren of het ID-bewijs van die bezoeker echt is, dat snap ik ook. Daar zijn diverse kastjes voor, op de markt vaak bekend onder de term "ID scanner". Die kunnen echtheidskenmerken controleren en gegevens uitlezen, en soms zelfs daar meteen een bezoekerspas mee maken.
Inzet van zo'n kastje lijkt me op zich geen probleem. Dat ondersteunt de taak die je toch al hebt, en past binnen de goede uitvoering van die noodzakelijke identiteitscontrole. Je had toch al onderbouwd (op papier) waarom je die controle moest doen, nietwaar?
Het is natuurlijk lastig te zien voor mensen wat er gebeurt met hun gegevens. Zelfs als het los kastje met alleen een stroomkabeltje is, dan nog zou deze via wifi van alles door kunnen geven. Dat mag niet als daar geen goede reden voor is.
Er zijn bedrijven die online identiteitsverificatie / ID controle doen; het kastje is dan alleen een scanner en verzendapparaat naar de dienstverlener die dan de resultaten teruggeeft. Als dat is hoe het bedrijf werkt, dan kan dat (dat bedrijf is dan een verwerker immers) maar dat moet dan wel duidelijk uitgelegd worden.
Dat is dan ook het theoretische antwoord: er mag niets dat niet duidelijk is toegelicht, dus op zijn minst moet je kunnen vragen wat er gebeurt en moet de beveiliger/portier/receptionist hier adequaat antwoord op kunnen geven. Bijvoorbeeld met een folder met toelichting.
Voel je je daar niet prettig bij, of heb je twijfels over of het allemaal wel klopt, dan heb je niet zo heel veel mogelijkheden ben ik bang. Je kunt als individu geen DPIA afdwingen, en eisen dat de AP langskomt is ook niet zo kansrijk ben ik bang.
De enige optie die ik zie is dat je naar je werkgever gaat. Die heeft immers een zorgplicht: een goed werkgever laat de privacy van zijn personeel niet in gevaar komen. Die moet dus bij die klant nadere informatie en/of waarborgen eisen, of misschien zelfs wel een ander protocol verzinnen. Ik heb zelf wel eens een klant geadviseerd om de standaardmonteurs een vaste bezoekerspas te geven. Dat is dan eenmalig een handmatige controle van identiteit, en daarna toegang met die pas.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Je klant vertrouwen ? Als ze niet de waarheid spreken is de informatie verder onrechtmatig verkregen, en dus onbruikbaar. Vanwaar het idee dat je zelf alles moet kunnen controleren ? Wantrouw je je klanten zo zeer ?
Je klant vertrouwen ? Als ze niet de waarheid spreken is de informatie verder onrechtmatig verkregen, en dus onbruikbaar. Vanwaar het idee dat je zelf alles moet kunnen controleren ? Wantrouw je je klanten zo zeer ?
Als je weet hoe onbenullig het overgrote deel van wereld met gevoelige gegevens omgaat en bovendien weet dat je bij identiteitsdiefstal zwaar en op persoonlijke titel de klos bent is het toch niet zo verstandig de andere partij een plezier te doen zonder enige vorm van stok achter de deur. Er is bar weinig reden om allerlei partijen deze gegevens te geven en hoewel de kans niet enorm is, zijn de consequenties van identiteitsdiefstal dat wel.
Je werkgever hoort je tegen dit soort onzin te beschermen, niet andersom. Klanten hebben zich ook aan de wet te houden en als het goed is heeft jouw werkgever dit vooraf afgedekt. Bovendien zou ik als ICT-toko vrij kritisch kijken. naar mensen die met hun eigen persoongevens al niet fatsoenlijk omgaan. Grote kans dat daar dure incidenten uit voortkomen.
Volgens mij heb jij niet goed gelezen wat Arnoud schrijft.
Die stelling als zodanig lijkt me onhoudbaar. Vgl. #MeToo. Je zou niet weg komen met een "uitkleden of zoek maar ander werk". Ook waar een klant vervolgens de bezoeker aan gevaar (in dit geval ID-fraude) blootstelt gaat dit niet zo maar op. En in ieder geval kan na een dergelijke botte opmerking (zeker als die zwart op wit vastligt) een dergelijke klant zich nooit meer verschuilen achter een: "Jamaar het was zijn eigen vrije keuze." Een en ander blijft dus altijd binnen het redelijke (een kwaliteit die nog wel eens zonder verlof afwezig is), en we houden natuurlijk met elkaar rekening. Zeker als het om ID-Fraude gaat met kopieën paspoort, gezien dat soort geklooi aan alle kanten uit de klauwen loopt.
De kunst is: Hoe zorgen we er voor dat we dit soort dingen goed krijgen zonder de zaak onnodig op de spits te drijven. Het is allemaal leuk en aardig en informatief om te weten hoe we in ons recht staan, maar als het voor een rechter of de AP komt, is de relatie verstoord en kent het alleen maar verliezers. Misschien is er een betere manier.
Aan de portiers en dergelijke heb je niets. Maar organisaties die het geld hebben om dergelijke scanners te plaatsen en onderhouden zijn meestal wat groter en formeler. Die hebben meestal ook wel een Functionaris Gegevensbescherming. Loop daar eens langs en zeg gewoon heel vriendelijk: Er wordt hier een scan van mijn paspoort gemaakt, maar ik heb natuurlijk zorgen over Identiteitsfraude, want dat loopt in de wereld aan alle kanten uit de klauwen. Hoe zit het eigenlijk met de beveiliging? Kunnen we daar even over praten? Voeg eventueel een link toe naar de Q&A die de AP heeft over wat wel en niet de bedoeling is met kopieën ID (o.a. dat die altijd beschreven moeten worden). Als dat niet lukt, kan je altijd nog verder zien. Maar je hebt twee voordelen: Een beetje FG weet in ieder geval waar je over praat, en hij zit er om de gegevensbescherming te verbeteren! Meestal krijg je daar wel een luisterend oor.
Werkgevers zouden onderling afspraken kunnen maken om een soort van zakelijke ID pas in het leven te roepen. Daar staan natuurlijk geen BSN of andere persoonlijke gegevens anders dan je naam en pasfoto en je werkgever. Die pas gebruik je dan om toegang tot een ander bedrijf te krijgen, kan gescand worden opgeslagen in de administratie maar kan nooit gebruikt worden om identiteitsfraude mee te plegen.
Volgens mij heb jij niet goed gelezen wat Arnoud schrijft.
Er is geen verwerkingsgrond, dus dit soort bedrijven zijn niet legaal. De vraagsteller heeft geen overeenkomst met de klant. Tenzij je toestemming geeft, maar dat is hier niet aan de orde.
Let wel dat die geen reet geven om de veiligheid van jouw data, die zijn er om hun eigen straatje schoon te vegen.
Let wel dat die geen reet geven om de veiligheid van jouw data, die zijn er om hun eigen straatje schoon te vegen.
Bij elek verwerking dient de verwerker overtuigd (met bewijs) van de juiste persoon te hebben.
Zowel het AP als het RVIG dragen onwettelijk gedrag uit. Het probleem is het gebrek aan een goede manier van dat bewijs.
Daarmee wordt privacy schending door deze instanties gefaciliteerd. Hoog tijd voor privacy boetes tegen deze instanties.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Officer
36 - 40 uur
Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.