Paspoort kost zo rond de 85 euro. Dit verschilt per gemeente. Komen de kosten voor pasfoto's nog bij.

De vraag kan ook zijn : heeft de ex-werkgever een rechtvaardigd belang om dit document nog te bewaren ?

Hoeft niet perse de ex-werkgever te zijn. Mijn huidige werkgever bewaart ook een copy paspoort conform de wet (dus gerechtvaardigt). Als die gelekt wordt zitten we in hetzelfde schuitje

Arnoud richt zich te veel op het kostenaspect van vervanging, terwijl hij voorbijgaat aan het belang van melding voor dossiervorming en bescherming tegen identiteitsfraude. Een melding legt vast dat je tijdig hebt gewaarschuwd, wat essentieel kan zijn als je identiteit later wordt misbruikt. Het is bovendien belangrijk voor het vaststellen van aansprakelijkheid, bijvoorbeeld richting de ex-werkgever of voor ondersteuning door een verzekeraar.

Een digitale kopie bevat vaak alle gegevens die nodig zijn voor fraude, en het risico daarop is reëel. Arnouds analyse is juridisch verdedigbaar, maar te beperkt: het gaat niet alleen om geld, maar om preventie, bewijspositie en bescherming. De schade van identiteitsmisbruik kan vele malen groter zijn dan de kosten van een nieuw paspoort.

Die vraag mist het kernpunt: de data is al gelekt. Of de ex-werkgever nu wel of geen rechtmatig belang heeft om het document te bewaren, doet niets af aan het feit dat jouw persoonsgegevens inmiddels in verkeerde handen zijn. De risico’s voor jou — zoals identiteitsfraude — bestaan onafhankelijk van de huidige bewaartermijn of het oorspronkelijke verwerkingsdoel. Het is dus niet de vraag of bewaren nog mag, maar wat de gevolgen zijn van het feit dát het al misgegaan is.

Omtrent het belang; een ex-werkgever -moet- een kopie van het identiteitsbewijs van een werknemer vijf jaar na het einde van het dienstverband bewaren op grond van de Wet op de loonbelasting 1964. Dit is een fiscale bewaarplicht die geldt voor de Belastingdienst. Gedurende die periode mag de kopie dus niet worden verwijderd, zelfs niet op verzoek van de ex-werknemer.

En hoeveel kan de schade verder oplopen, bij misbruik gegevens ? Zou ik mij drukker over maken.

Klopt. Maar in dit artikel gaat het over de vorige werkgever.

Kun je dat nou eens bewijzen , dat reele risico ?

(2018 - ~340.000 gestolen of vermiste identiteitsbewijzen)

Als dat risico zo reeel is - dan ben ik benieuwd naar de cijfers daaromtrent , want er is duidelijk best wat beschikbaar aan identiteitsbewijzen.

Is de staat zelf niet aansprakelijk wegens verstrekken van iets waarbij slechts met een kopie de wildste indentiteitsfraudes gepleegd kunnen worden?

Dit is een probleem in de huidige wetgeving.
Je persoonsgegevens zijn niet jouw eigendom volgens de gedachtes van Warren en Brandeis.
Zij publiceerde in een artikel in de Harvard Law Review waarin zij het conceptualiseren van privacy als een juridisch recht, pleitten overtuigend dat het privacybeginsel dat ons beschermt, niet het beginsel is van privébezit maar eerder het beginsel van een ‘onschendbare persoonlijkheid’.

Deze juridische gedacht kronkel veroorzaak dat je persoonsgegevens GEEN zijn eigendom zijn van jouw als persoon.

Persoonlijk denk ik dat deze juridische gedacht kronkel op termijn moet worden opgeruimd. We gaan hier steeds meer last van krijgen..
Door dat je geen eigenaar bent, denken overheden dat zijn kunnen bepalen wat jij wel en niet met je persoonsgegevens mag doen.

Een voorbeeld, als ik mijn persoonsgegevens gratis aan meta zou willen gegevens dan is dat mijn recht van zelfbeschikking over mijn persoonsgegevens. Althans dat zou de denken..
Nee mis, overheden vinden daar iets van.. raar toch het mijn persoonsgegevens.

Overheden hebben om persoonsgegevens de AVG wetgeving gebouwd., ter bescherming van mijn persoonsgegevens. Daar heb niet om gevraagd. Een individueel recht wat door overheden collectief beschermt wordt.. de logische eigenaar, jij dus, van deze persoonsgegevens heeft daarover niet te zeggen!!

Ik kan nog erg boos over worden..

Het zou kunnen dat de vraagsteller in het buitenland woont en Arnoud het bedrag daarop baseert. Maar daar geeft het artikel geen informatie over.

Misschien dat Arnoud de kosten van het ongeldig verklaren ook mee heeft genomen in die 165 euro ?

Klopt. En vorige werkgevers moeten 5 jaar lang kopie paspoort bewaren.

Zoals ik het begrijp gaat "privacywetgeving" over het BESCHERMEN van persoonsgegevens. Er moet aan een aantal eisen worden voldaan voordat een bedrijf iemands persoonsgegevens mag gebruiken en tijdens gebruik moet het zich aan een aantal eisen houden, en er zijn ook eisen aan hoe lang de gegevens nog bewaard of gebruikt mogen worden. Daarnaast heb je als persoon waar die gegevens over gaan ook rechten, zo kun je inzage vragen in de gegevens die over jou gaan, of verwijdering vragen (maar als er een wet is die zegt dat het bedrijf de gegevens nog moet bewaren, dan kan dat dus niet), enz.

Ik weet niet hoe dat gaat werken als een persoon altijd de eigenaar is van gegevens die die persoon beschrijven.
Bovendien bepalen overheden (en bedrijven) niet zomaar wat zij kunnen doen, dat is juist gebonden aan allerlei eisen, zie AVG en zoals ik hierboven schetste.

En wat vinden overheden daar dan van? Als jij je gegevens zelf aan Meta wil geven is dat geen probleem. Maar bedrijven moeten zich aan bepaalde regels houden en mensen transparante eerlijke informatie en keuzes geven volgens de geldende wetgeving.

ik kan je aanraden om je iets meer te verdiepen in de AVG en wat de AVG probeert te doen voor jou. En als jij al jouw gegevens aan elk bedrijf wil geven en het maakt jou niet uit wat ze er mee doen, dan mag je dat, maar dat bedrijf zal zich nog steeds aan databeschermingsregels moeten houden, en dankzij de AVG heb jij het recht om later je toestemming in te trekken bij dat bedrijf die jouw gegevens vermarkt om geld te verdienen aan jouw gegevens en om te eisen dat ze jouw gegevens verwijderen (zoals gezegd tenzij er een andere wettelijke eis is waardoor dat niet kan, zoals bijvoorbeeld bij medische gegevens waar een wettelijke bewaarplicht van 20 jaar op rust).

Spoed aanvraag, en dat zijn de meeste, is ongeveer het dubbele. Je kunt dan de volgende werkdag het paspoort afhalen.

Werkelijk niemand weet waar die kosten op gebaseerd zijn..

Ik zou de conclusies van Amerikaanse wetenschappers over de privacy niet door willen trekken naar de AvG. De meeste staten in de USA hebben geen active privacy wetgeving https://iapp.org/media/pdf/resource_center/State_Comp_Privacy_Law_Chart.pdf en de regels verschillen per staat. Alleen de HIPPA (gezondheidszorg) is federaal.

Ander probleem is dat voor de wetgever in de USA alleen US citizens mensenrechten hebben waardoor men eigenlijk alles kan doen met anderen (kijk bijvoorbeeld naar het op grote schaal uitzetten waar de Trump regering mee is begonnen, sleepnet wetgeving). Het Data Protection Framework probeert dat gat voor Europeanen een beetje te dichten, maar de vraag is hoelang dat nog stand houdt.

Vraag je het toch op tijd aan, dan heb je die dubbele kosten niet.

Je kunt géén officiële aangifte van diefstal doen als alleen een digitale kopie van je identiteitsbewijs is buitgemaakt, omdat er juridisch gezien geen sprake is van diefstal van het fysieke document. Je bezit het origineel immers nog steeds. De politie registreert alleen een vermissing of diefstal van het fysieke identiteitsdocument, zoals paspoort of ID-kaart, niet van een scan of foto ervan.

Toch kun je wél iets doen:

Nieuwe ID aanvragen: Je kunt een nieuw identiteitsbewijs aanvragen om het oude (en daarmee de kopie) te laten vervallen. Dan wordt ook het documentnummer ongeldig, wat belangrijk is om misbruik te voorkomen.

Kosten terugvorderen: Als de kopie is gelekt door je ex-werkgever (bijvoorbeeld door een datalek), dan kun je de kosten van een nieuw paspoort of ID-kaart terugvorderen bij hen. Zij zijn volgens de wet aansprakelijk voor de schade als zij onzorgvuldig met je gegevens zijn omgegaan.

Melding doen bij de Autoriteit Persoonsgegevens: Je kunt een klacht indienen bij de AP als je vindt dat jouw gegevens onvoldoende beschermd zijn.

Melding bij Fraudehelpdesk of CMI (Centraal Meldpunt Identiteitsfraude): Je kunt een melding doen dat je identiteitsgegevens mogelijk zijn gelekt, zodat je in geval van misbruik sneller hulp krijgt.

Anders dan gemakzucht, zie ik geen enkele andere reden voor werkgevers om kopiën van identiteitsbewijzen van werknemers digitaal, laat staan in een op een netwerk aangesloten systeem, te bewaren.

Dat toch doen, is gezien de risico's voor werknemers, disproportioneel en zou m.i. strafbaar moeten zijn.

Probleem is vrij eenvoudig een kopietje id is als een kopietje bankbiljet.
Het heeft geen waarde en verhandelen/bezit kopietje bankbiljet is strafbaar.

Het is op die wijze overduidelijk waar het misgaat.
- een kopietje id als bewijs zien
- toezichthouders die een kopietje id als waardevolle informatie zien.
De hele BSN is bedacht om privacyinbreuken door verwisselingen in administraties te verminderen. Dat kwartje is niet gevallen en aangezien kwartjes uit roulatie zijn zal dat kwartje ook niet meer gaan vallen. Terug naar de tekentafel.

Misschien omdat je niet bekend met met bedrijven die bijvoorbeeld 60.000 werknemers hebben, zoals retail?
Moet een winkel dan maar gewoon zelf een kopie maken, en deze in een kast lokaal in het pand ergens bewaren?
Klinkt niet erg veilig.
Dit soort data wil je juist goed centraal opslaan, zodat je kunt waarborgen wie er toegang tot heeft, maar je de data ook goed gebackuped wil hebben, wat vaak ook weer een belangrijk puntje.
En dat de data ook weer goed opgeschoond wordt wanneer dit noodzakelijk is. Of vernieuwd moet worden, of aangeleverd moet worden.

Dit is geen gemakzucht, maar juist goed nadenken over data.

Ik vraag me af wat een werkgever precies met een kopie van je paspoort moet: dat ze zeker willen weten dat jij het echt bent als je er komt werken kan ik me nog voorstellen. Maar dan kunnen ze het ook bij de sollicitatie inzien, waarom er echt een volledige kopie nodig is weet ik niet. Maar als die dan toch perse nodig is: kun je er dan niet in bijv. Photoshop opzetten: "kopie voor werkgever"? En/of eventueel het BSN uitwissen?

Een heel Internet om zoiets op te zoeken...

https://www.rijksoverheid.nl/onderwerpen/identificatieplicht/vraag-en-antwoord/wat-moet-ik-als-werkgever-doen-om-te-voldoen-aan-de-identificatieplicht


Kortom, wettelijke plicht, oa voor de Arbeidsinspectie. En de ex werkgever heeft dus een gerechtvaardigd belang (wettelijke plicht).


Zie boven.

Tip voor jou en iedereen : je vindt blijkbaar IT/security interessant .
Eén van de dingen die je dan echt moet gaan leren is om informatie zelf te vinden . Met een aannemelijke zoekterm was dit de allereerste hit.
Een erg groot deel van IT (en security) werk is ook het handig kunnen opzoeken van iets wat je op dat moment niet, of niet zeker genoeg weet.

De grondslag is een wettelijke verplichting, geen gerechtvaardigd belang. Werkgevers zijn verplicht om een kopie van het identiteitsbewijs van werknemers bewaren tot 5 jaar na beëindiging van het dienstverband. Als ik me niet vergis is dit voor controles op de loonbelasting door de belastingdienst.

De grap is dat als elke winkel van een retailketen het afzonderlijk op papier zou bewaren een datalek nooit alle 60.000 werknemers zou raken. Die schaalvergroting in de opslag en verwerking levert behalve voordelen ook zelf een risico op: het wordt alles of niets. En als dan een beveiligingsincident meteen alles raakt, de impact honderden keren zo groot is dan wanneer het op de ouderwetse manier zou worden gedaan, dan moet je er wel in slagen om de beveiliging ervan niet zomaar een factor 10 of zo beter te regelen, die moet je dan die factor honderden dat de impact groter is beter weten te regelen, en je moet dat niveau ook vol weten te houden. Neem je die kant van de situatie wel voldoende mee als je goed nadenkt over de data?

Ik schreef dat je het diezelfde factor honderden dat de impact groter is beter moet beveiligen. Men gaat typisch uit van risico = kans * impact. Vanuit dat perspectief wordt de neiging van mensen om bijvoorbeeld veel heftiger te reageren op een gecrasht vliegtuig met 100 doden dan op 50 gecrashte auto's met samen ook 100 doden als een overreactie te zien. Maar klopt het wel dat dat een overreactie is?

Een gedachte-experiment. In tijden dat de hele wereld nog niet makkelijk bereikbaar was stellen we ons twee bewoonde maar totaal geïsoleerde eilandjes voor in de Stille Oceaan. Allebei hebben ze 300 bewoners, het aantal dat beide eilandjes met wat er groeit en leeft in stand kunnen houden. Beide eilandjes hebben een bijzondere omstandigheid die gemiddeld 1 dode per jaar extra oplevert, bovenop wat normaal in een primitieve samenleving te verwachten is. Volgens de formule risico = kans * impact leveren die twee omstandigheden exact hetzelfde risico op. Maar toch is er een verschil: op het ene eilandje is het bijvoorbeeld een ziekte die gemiddeld eens in de 10 jaar de kop opsteekt en dan gemiddeld 10 doden oplevert, op het andere eilandje is het bijvoorbeeld een pyroclastische stroom die gemiddeld eens in de 300 jaar optreedt en dan alle 300 bewoners doodt. Als je die eilandjes dan twee keer bezoekt, met bijvoorbeeld 1000 jaar ertussen, dan leven op het eerste eilandje na 1000 jaar nog steeds 300 mensen zoals ze altijd geleefd hebben, want dat verlies van 10 mensen wordt wel weer aangevuld, en het andere eilandje is nu onbewoond, want als er niemand meer is om kinderen te krijgen dan komen die er ook niet meer.

De uitkomst is wezenlijk anders, dus hoezo is het risico van die twee omstandigheden hetzelfde? Als je richting alles-of-niets gaat dan moet je volgens mij het risico hoger inschatten dan risico = kans * impact. Dus als je heel erg veel gegevens samenbrengt en samen beheert dan moet je de beveiliging ook nog eens een stuk hoger opschroeven dan je op basis van de gangbare risicoberekening zou moeten doen.

We komen als mensheid ongeveer spontaan klaar als we de voordelen van schaalvergroting zien, maar ik heb het idee dat we ongelofelijk slecht zijn in het werkelijk rekening houden met de risico's die het oplevert.

Bij een datalek is het geen einde oefening in de zin dat iedereen dan dood is, zoals op dat tweede eilandje. Maar het is wel schade die je niet meer terug kan draaien en die voor al die mensen vervelende vervolgschade op kan leveren. Lekker makkelijk: de werkelijke schade ligt niet bij de organisatie waar het fout ging maar extern. Dit is het data-equivalent van industrieën die na een lozing van gif in het leefmilieu niet of maar beperkt aansprakelijk worden gehouden voor de gevolgen die dat heeft. Van mij mag de lat hoger gelegd worden.

Klinkt alsof er gekeken is naar de kosten voor een spoedaanvraag, dan zit je in mijn gemeente rond de 145,95. Het doel is om het oude paspoort zo snel mogelijk ongeldig maken, mijn gemeente geeft het advies om een maand van te voren een reguliere aanvraag in te dienen ivm drukte, dus een spoedaanvraag klinkt logisch gezien het doel.