Privacy - Wat niemand over je mag weten

kopie id uploaden

10-04-2021, 00:38 door Anoniem, 19 reacties
Voor een erkende opleiding van NL LEERT DOOR van de overheid wordt studenten gevraagd om een kopie van hun ID up te loaden. BSN mag niet afgeschermd want het is nodig om bij de overheid de subsidie aan te vragen voor de leerlingen. Het uploaden moet gebeuren middels een domeinnaam van een webtechbedrijf in formulieren. Nu blijkt dat zowel het bedrijf evenals de servers zijn gevestigd in het buitenland. Is dit nou veilig? Kan iemand mij advies geven?
Reacties (19)
10-04-2021, 09:41 door Anoniem
Door Anoniem: Voor een erkende opleiding van NL LEERT DOOR van de overheid wordt studenten gevraagd om een kopie van hun ID up te loaden. BSN mag niet afgeschermd want het is nodig om bij de overheid de subsidie aan te vragen voor de leerlingen. Het uploaden moet gebeuren middels een domeinnaam van een webtechbedrijf in formulieren. Nu blijkt dat zowel het bedrijf evenals de servers zijn gevestigd in het buitenland. Is dit nou veilig? Kan iemand mij advies geven?

Niet doen.
https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/vraag-en-antwoord/welke-organisaties-mogen-mijn-burgerservicenummer-bsn-gebruiken
10-04-2021, 10:03 door [Account Verwijderd] - Bijgewerkt: 10-04-2021, 10:05
Je vraag of het veilig is of niet komt zelfs niet aan de orde, want of ze nu erkend zijn door de overheid of voor mijn part jkvr. Christine Wilhelmine Isabelle Wittewaall van Stoetwegen...

Daar zijn zij niet toe gerechtigd.

Wie wel?

overheidsinstanties, banken, notarissen, casino’s, levensverzekeraars en werkgevers.
meer smaken zijn er niet.

Zie: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf
10-04-2021, 10:31 door Anoniem
Helaas is er in sommige gevallen niet aan te ontkomen. Je kan de schade wel beperken door zelf een watermerk toe te voegen aan de kopie, met daarin de naam 'NL LEERT DOOR' en de datum. Daardoor kan de kopie niet of lastig worden gebruikt voor andere aanvragen.
10-04-2021, 11:12 door Anoniem
Door Staewoldt: Wie wel?

overheidsinstanties, banken, notarissen, casino’s, levensverzekeraars en werkgevers.
meer smaken zijn er niet.

Zie: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf
Meer smaken zijn er wel. Het lijstje dat je overneemt wordt ingeleid met: "Dit zijn bijvoorbeeld:" Het zijn dus maar voorbeelden en niet het volledige overzicht.

Wat de overheid nalaat is om dat volledige overzicht wel te geven. Ze verwijzen naar het AP maar die geeft evenmin een volledig overzichg. Wat er wél op die pagina van de Rijksoverheid staat is dat het bedrijf of de organisatie je moet informeren over de wettelijke veplichting. De vraagsteller kan naar een verwijzing naar de wetten, maatregelen van bestuur of waar het verder in kan staan vragen waar deze verplichting uit volgt.

Door vraagsteller: Nu blijkt dat zowel het bedrijf evenals de servers zijn gevestigd in het buitenland. Is dit nou veilig?
Welk buitenland? Is het binnen of buiten de EU? Dat maakt uit.

De organisatie die verantwoordelijk is voor de verwerking van persoonsgegevens, in dit geval het opleidingsinstituut, mag die verwerking geheel of gedeeltelijk uitbesteden. De verantwoordelijkheid ervoor wordt daarmee niet uitbesteed, het opleidingsinstituut blijft verantwoordelijk ervoor. Ze zijn verplicht een degelijke verwerkersovereenkomst af te sluiten met die verwerker. Als die verwerker binnen de EU zit mag dat gewoon, zit die buiten de EU dan moet het een land met een passend beschermingsniveau zijn. Dat is maar een beperkt rijtje landen, en de VS staat niet in dat rijtje. Je kan het hier vinden, onder de vraag hoe je weet of een land een passend beschermingsniveau heeft:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal/doorgifte-binnen-en-buiten-de-eu

Je kan het opleidingsinstituut vragen of je niet gewoon met je identiteitsbewijs langs kan komen zodat ze het kunnen inspecteren en het documentnummer en je BSN noteren.
10-04-2021, 12:03 door [Account Verwijderd]
Door Staewoldt: Je vraag of het veilig is of niet komt zelfs niet aan de orde...etc

Toegevoegd:

Als NL LEERT DOOR er op aan blijft dringen dat je een kopie ID moet zenden, in hun geval strijdig met de regels die de overheid stelt kun je dat kenbaar maken bij de overkoepelende organisatie voor:

DE BRANCHEVERENIGING VOOR TRAINEN & OPLEIDEN: NRTO

Adres:Papiermolen 34
3994 DK HOUTEN

T 030 267 37 78
info@nrto.nl
10-04-2021, 12:37 door Anoniem
En natuurlijk altijd pasfoto en andere niet-relevante gegevens onleesbaar maken op de kopie
10-04-2021, 12:41 door Anoniem
Niet doen. Er zijn maar een paar instellingen die een kopie van je ID met je BSN mogen hebben, zoals banken.
Zeker niet een of andere onderwijsinstellinkje.
10-04-2021, 12:43 door Briolet
Of het veilig is heeft ook niets met de vestigingslokatie te maken, maar meer hoe goed zij de beveiliging van hun netwerk in orde hebben.
Nederlandse bedrijven hebben dit niet per definitie beter op orde dan een buitenlands bedrijf. Je kunt beter kijken naar wat voor bedrijf dit is en die info geef je niet.
10-04-2021, 14:23 door Anoniem
Door Anoniem: Voor een erkende opleiding van NL LEERT DOOR van de overheid wordt studenten gevraagd om een kopie van hun ID up te loaden. BSN mag niet afgeschermd want het is nodig om bij de overheid de subsidie aan te vragen voor de leerlingen. Het uploaden moet gebeuren middels een domeinnaam van een webtechbedrijf in formulieren. Nu blijkt dat zowel het bedrijf evenals de servers zijn gevestigd in het buitenland. Is dit nou veilig? Kan iemand mij advies geven?

Dat is vaak niet veilig. Identiteitsbewijzen moeten niet op een internet server bewaard worden. Dat is een hoog risico. Zoals we bij de formulieren die door de GGD's werden gebruikt hebben gezien kunnen daar lekken in zitten. Er moeten dus hoge eisen aan worden gesteld. Zomaar een formulier kiezen zonder rekening te houden met beveiliging mag niet. Formulieren zenden gegevens vaak via email achter de schermen. Daar is email vaak niet voor geschikt (bijvoorbeeld via Microsoft of via Google) omdat email niet afdoende beschermd is en ook omdat die bedrijven voor zichzelf toegang hebben/eisen tot de data en daarmee doorgaans niet voldoen aan de wetgeving. Je mag eisen dat de gegevens worden bewaard binnen de EU. Het voordeel daarvan is dat de GDPR er op van toepassing is. Als de data bijvoorbeeld in de VS is opgeslagen kunnen overheidsinstellingen van dat land toegang eisen zonder dat je dat weet.

Er is een wettelijke verplichting voor een loopbaanadviseur of studieaanbieder om een kopie, scan of foto van het identificatiebewijs in de administratie te bewaren. Die kun je ook op een andere niet-digitale manier verstrekken (kopie of foto). Helaas komt het er in de praktijk op neer dat het dan alsnog op die server terecht komt of dat daarmee het gebied van potentiële blootstelling maar toeneemt.

De regeling "Tijdelijke subsidieregeling NL leert door met inzet van ontwikkeladvies":
https://wetten.overheid.nl/BWBR0043943/2021-01-01

De regeling "Tijdelijke subsidieregeling NL leert door met inzet van scholing"
https://wetten.overheid.nl/BWBR0044046/2020-09-05

Doe een melding van onveilige behandeling van persoonsgegevens bij de Autoriteit Persoonsgegevens als dat aan de orde is en je er met de wederpartij er niet uitkomt.
10-04-2021, 22:46 door Anoniem
Door Anoniem:
Door Anoniem: Voor een erkende opleiding van NL LEERT DOOR van de overheid wordt studenten gevraagd om een kopie van hun ID up te loaden. BSN mag niet afgeschermd want het is nodig om bij de overheid de subsidie aan te vragen voor de leerlingen. Het uploaden moet gebeuren middels een domeinnaam van een webtechbedrijf in formulieren. Nu blijkt dat zowel het bedrijf evenals de servers zijn gevestigd in het buitenland. Is dit nou veilig? Kan iemand mij advies geven?

Dat is vaak niet veilig. Identiteitsbewijzen moeten niet op een internet server bewaard worden. Dat is een hoog risico. Zoals we bij de formulieren die door de GGD's werden gebruikt hebben gezien kunnen daar lekken in zitten. Er moeten dus hoge eisen aan worden gesteld. Zomaar een formulier kiezen zonder rekening te houden met beveiliging mag niet. Formulieren zenden gegevens vaak via email achter de schermen. Daar is email vaak niet voor geschikt (bijvoorbeeld via Microsoft of via Google) omdat email niet afdoende beschermd is en ook omdat die bedrijven voor zichzelf toegang hebben/eisen tot de data en daarmee doorgaans niet voldoen aan de wetgeving. Je mag eisen dat de gegevens worden bewaard binnen de EU. Het voordeel daarvan is dat de GDPR er op van toepassing is. Als de data bijvoorbeeld in de VS is opgeslagen kunnen overheidsinstellingen van dat land toegang eisen zonder dat je dat weet.

Er is een wettelijke verplichting voor een loopbaanadviseur of studieaanbieder om een kopie, scan of foto van het identificatiebewijs in de administratie te bewaren. Die kun je ook op een andere niet-digitale manier verstrekken (kopie of foto). Helaas komt het er in de praktijk op neer dat het dan alsnog op die server terecht komt of dat daarmee het gebied van potentiële blootstelling maar toeneemt.

De regeling "Tijdelijke subsidieregeling NL leert door met inzet van ontwikkeladvies":
https://wetten.overheid.nl/BWBR0043943/2021-01-01

De regeling "Tijdelijke subsidieregeling NL leert door met inzet van scholing"
https://wetten.overheid.nl/BWBR0044046/2020-09-05

Doe een melding van onveilige behandeling van persoonsgegevens bij de Autoriteit Persoonsgegevens als dat aan de orde is en je er met de wederpartij er niet uitkomt.

Helaas zal de Autoriteit Persoonsgegevens (AP) er niets aan doen, want die lopen jaren achter met alle dossiers.
11-04-2021, 11:01 door Anoniem
Ik wilde een keer bij de ABNAMRO een rekening opheffen en wilde ze een kopie maken van mijn ID wat ik weigerde. Jullie hebben al een kopie en kunnen hier en nu mijn identiteit vaststellen was mijn argument. Nou na veel vijven en zessen gaf ze daar aan toe om mij vervolgens twee A4'tjes onder de neus te schuiven waarbij op het eerste A4'tje stond dat ik de rekening op wilde heffen en nog meer bla bla en op het tweede A4'tje: "Handtekening Houder:" en meer niet.

Ook die heb ik niet getekend, haar argument was dat de originele formulieren op waren en ze deze uit had moeten draaien.

Na een vriendelijke groet van mijn kant met de woorden "Kijk maar wat je ermee doet." verliet ik de zaak.
twee weken later een bevestiging in de bus dat de rekening opgeheven was.

Waarmee ik aan wil geven dat ook "BSN gerechtigde" instellingen niet altijd een kopie hoeven te hebben maar er wel om vragen.
11-04-2021, 13:22 door Anoniem
Eh... Gewoon: Neen!
Volgend onderwerp.
11-04-2021, 16:11 door Anoniem
Door Anoniem:.Waarmee ik aan wil geven dat ook "BSN gerechtigde" instellingen niet altijd een kopie hoeven te hebben maar er wel om vragen.

Bij jou is alles wat niet wit is meteen zwart.

En andere verklaring kan natuurlijk ook zijn dat ze van de regels afwijken bij opzeggen.

Misschien omdat ze jou liever kwijt dan rijk zijn.
12-04-2021, 12:58 door Anoniem
Door Anoniem:
Door Anoniem:.Waarmee ik aan wil geven dat ook "BSN gerechtigde" instellingen niet altijd een kopie hoeven te hebben maar er wel om vragen.

Bij jou is alles wat niet wit is meteen zwart.

En andere verklaring kan natuurlijk ook zijn dat ze van de regels afwijken bij opzeggen.

Misschien omdat ze jou liever kwijt dan rijk zijn.

Ken jij mij?
13-04-2021, 12:55 door Anoniem
Veilig is het vrijwel zeker niet. De beveiliging van IT-landschap is in een deplorabele staat. De enige control waar we enig vertrouwen in hebben (encryptie) ligt voortdurend onder vuur. Trouwens, als men nog met 'kopietjes paspoort' bezig is, leeft men een decennium geleden als het er niet twee zijn en dan is er nog wel meer mis met de beveiliging.

Maar ja, wat doe je er aan? Je kan de dienst laten schieten, een klacht indienen bij de AP, en dan krijg je misschien een jaar of vijf later reactie...
13-04-2021, 14:19 door Anoniem
Door Anoniem:
Door Anoniem: Voor een erkende opleiding van NL LEERT DOOR van de overheid wordt studenten gevraagd om een kopie van hun ID up te loaden. BSN mag niet afgeschermd want het is nodig om bij de overheid de subsidie aan te vragen voor de leerlingen. Het uploaden moet gebeuren middels een domeinnaam van een webtechbedrijf in formulieren. Nu blijkt dat zowel het bedrijf evenals de servers zijn gevestigd in het buitenland. Is dit nou veilig? Kan iemand mij advies geven?

Niet doen.
https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/vraag-en-antwoord/welke-organisaties-mogen-mijn-burgerservicenummer-bsn-gebruiken

Kijk, daar help je mensen mee! Antwoord zonder onderzoek.

Door Staewoldt: Je vraag of het veilig is of niet komt zelfs niet aan de orde, want of ze nu erkend zijn door de overheid of voor mijn part jkvr. Christine Wilhelmine Isabelle Wittewaall van Stoetwegen...

Daar zijn zij niet toe gerechtigd.

Wie wel?

overheidsinstanties, banken, notarissen, casino’s, levensverzekeraars en werkgevers.
meer smaken zijn er niet.

Zie: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf

Hetzelfde geldt voor jou. Zoek eens iets uit voordat je verkeerd advies geeft. Eerst kijken, dan schreeuwen zei mijn moeder altijd.

In de regeling staat heel duidelijk dat de opleidingsinstanties dit moeten aanvragen, en dat ze van de deelnemers onder andere een kopie legitimatiebewijs moeten aanleveren.

Of te wel: De grondslag voor deze verwerking is aanwezig. Het probleem ligt daar dus niet, maar kan wel in de veiligheid van de formulierengenerator liggen. Maar zonder informatie van TS over de generator zullen we hier nooit achter komen....
29-04-2021, 09:38 door Anoniem
Wat ik ongewenst vind, is dat dit bij hosting bedrijven ook wordt vereist. vb: Hetzner(GmbH), Transip (NL)
https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf
Vallen zij onder een telecombedrijf, of zijn dit weer een vereisten uit de EU?
29-04-2021, 09:55 door botbot - Bijgewerkt: 29-04-2021, 09:55
Door Anoniem:
Door Anoniem:.Waarmee ik aan wil geven dat ook "BSN gerechtigde" instellingen niet altijd een kopie hoeven te hebben maar er wel om vragen.

Bij jou is alles wat niet wit is meteen zwart.

En andere verklaring kan natuurlijk ook zijn dat ze van de regels afwijken bij opzeggen.

Misschien omdat ze jou liever kwijt dan rijk zijn.

Ehhh zijn punt is toch duidelijk. Hij is daar op dat moment aanwezig. Met zijn ID kaart. Zij hebben een kopie van zijn ID kaart. Oftewel zij kunnen zijn identiteit vaststellen. Waarom moeten ze *nog* een kopie hebben?

Die extra kopie is nodig of niet. Als in: je bent zwanger of niet. Iets daar tussenin is er niet. Het is niet: "we hebben het niet nodig, maarrrrr... ". Als ze het *niet nodig* hebben moeten ze er niet naar vragen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.