Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik las dat er bij mijn vorige werkgever mogelijk digitale kopieën van identiteitsbewijzen zijn buitgemaakt in het kader van een recent datalek. Ik ben nog in het bezit van mijn fysieke identiteitsbewijs, maar vermoed dat een digitale kopie van dit document in verkeerde handen is geraakt. Mijn vraag is: kan ik in dit geval mijn identiteitsbewijs als "gestolen" opgeven, ook al heb ik het fysieke exemplaar nog?

Antwoord: Van diefstal van je identiteitsbewijs is geen sprake, want zoals de vraagsteller zelf aangeeft is het fysieke ding nog in zijn bezit. Dus nee, formeel gaat dat niet.

De reden om het als zodanig op te geven, is natuurlijk dat je dan gratis een nieuw krijgt. Dat is belangrijk, omdat zaken als het paspoortnummer dan veranderen zodat het oude niet meer bruikbaar is bij bijvoorbeeld het online openen van een bankrekening. Vraag je zomaar een nieuw paspoort aan, dan kost dat een slordige 165 euro.

Vanuit de rijksoverheid bezien is er niets gebeurd met dat paspoort, dus als je dan een nieuw opvraagt dan zul je moeten betalen. Dat voelt wrang want jij kon niets doen aan dat datalek. Maar in dit specifieke geval moet niet jij maar die ex-werkgever die kosten dragen.

Meestal is het bij datalekken vrij lastig om aan te geven wat je schade is, want op dat moment is er nog geen aanwijsbaar gevolg van het onbevoegd kennisnemen of wissen van persoonsgegevens. Hier is dat er wel: met een kopie paspoort worden allerlei vormen van identiteitsdiefstal mogelijk. De enige reële manier om die tegen te gaan, is het paspoort ongeldig te laten worden. En dat doe je door een nieuw aan te vragen.

Omdat het datalek te wijten is aan de ex-werkgever, heeft deze in juridische zin onrechtmatig gehandeld. De daardoor ontstane schade moet dan worden vergoed, oftewel de prijs van dat paspoort kun je bij die ex-werkgever declareren.

(Heel juridisch bekeken: als het datalek te classificeren is als overmacht - de werkgever had alles gedaan dat redelijkerwijs mogelijk was in haar situatie en tóch werd ze gedatalekt - dan is de werkgever niet schadeplichtig. Maar ik durf wel te zeggen dat de categorie "datalek met overmacht" een buitengewoon kleine is.)

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.