Je privacyrechten in de praktijk: kopie ID vereist?
- 18 januari 2019
- Foto: Andrew Pons
Sinds de lancering van My Data Done Right komen er veel vragen bij ons binnen van mensen die bij het uitoefenen van hun privacyrechten tegen een muur van eisen aanlopen. De komende weken zullen we daarom een aantal veel voorkomende vragen beantwoorden om duidelijkheid te scheppen. Deze week: de eis om een kopie van je identiteitsbewijs te verstrekken. Mag dat zomaar?
Geen gehoor zonder kopie ID
Een veel voorkomende klacht die we ontvangen, is dat bedrijven vaak om een kopie van je identiteitsbewijs vragen als je gebruik wil maken van je privacyrechten. Wil je bijvoorbeeld weten welke gegevens je telecomprovider of een datahandelaar over je verzamelt? Dan kan het gebeuren dat je eerst een kopie van je identiteitsbewijs moet sturen voordat ze je verzoek in behandeling nemen. Maar mogen ze deze eis wel stellen? Soms wel, maar in veel gevallen niet. En, zoals wel vaker, ligt het regelmatig complexer.
Ben je wel wie je zegt dat je bent?
Stel, je genereert via My Data Done Right een inzageverzoek aan een bedrijf om erachter te komen welke gegevens ze precies over je verzamelen. Dan is dat bedrijf verplicht om te verifiëren of jij ook wel degene bent die je zegt te zijn. Dat is ook logisch, want je wil natuurlijk niet dat iemand anders via een inzageverzoek met jouw gegevens aan de haal gaat. Het is dus ook in jouw belang dat er een verificatiestap plaatsvindt voordat je gegevens verstrekt, aangepast of verwijderd worden.
Geen onnodige drempels
De privacyregels bepalen niet hoe organisaties precies je identiteit moeten verifiëren. Verschillende methodes zijn mogelijk, zolang men maar een privacyvriendelijke methode kiest die voorkomt dat jouw gegevens in verkeerde handen vallen én niet onnodig drempels opwerpt om je rechten uit te oefenen.
Een eenvoudige en gebruiksvriendelijke methode is bijvoorbeeld via de contactgegevens die het bedrijf al van je heeft. In dat geval kan de organisatie je bijvoorbeeld een bericht sturen via je account of e-mailadres om te verifiëren of jij ook daadwerkelijk het verzoek hebt verstuurd. Vergelijk het met de procedure waarop je nu vaak je wachtwoord kan wijzigen als je die bent vergeten.
Een kopie van je identiteitsbewijs eisen werpt dan onnodig drempels op. Vereist een bedrijf in deze situatie toch een kopie ? Wijs ze er dan op dat dit niet noodzakelijk is en er andere, meer privacyvriendelijke methodes zijn om je identiteit te verifiëren.
Identificatie via cookies of andere kenmerken
Er zijn ook situaties waarin het bedrijf dat je hebt benaderd niet over je contactgegevens beschikt. Denk aan bedrijven waar je geen account hebt, maar die wel via cookies of andere unieke kenmerken, zoals je Google Advertising ID, je online gedrag gedetailleerd in kaart brengen en profielen opstellen. Hoe vindt dan de vereiste verificatie plaats?
In dat soort situaties zal je aan de hand van het unieke kenmerk dat ze gebruiken te identificeren zijn. Denk aan het unieke kenmerk in cookies (‘cookie ID’) die lokaal op je apparaat staan opgeslagen. Dan moet je wel weten hoe je dit unieke kenmerk kan achterhalen. Heb je geen idee? Vraag dan aan het desbetreffende bedrijf hoe dit werkt.
Heb je het unieke kenmerk achterhaald, dan kan je dit vermelden in je (inzage)verzoek. Afhankelijk van hoe het bedrijf deze methode om je te herkennen heeft geïmplementeerd, kan dit voldoende zijn om je identiteit te verifiëren.
In deze situaties zal je identiteitsbewijs meestal ook geen meerwaarde hebben om je identiteit te verifiëren. Want als ze niet ook over je naam of andere gegevens beschikken die aan de hand van je identiteitsbewijs gecontroleerd kunnen worden, zegt een kopie van je identiteitsbewijs niets. Dan mag hier ook niet om gevraagd worden.
Verificatie via je identiteitsbewijs
Natuurlijk zijn er ook situaties waarin je identiteitsbewijs het aangewezen middel kan zijn om je identiteit te verifiëren. Bijvoorbeeld in de situatie dat het bedrijf niet over je contactgegevens beschikt of deze verouderd zijn en je wil weten welke gegevens ze over je verzameld hebben die gekoppeld zijn aan je naam. Ook in situaties waarin ze beschikken over de gegevens die op je identiteitsbewijs staan, zoals het documentnummer, kan je identiteitsbewijs het juiste middel zijn.
Als je dan toch je identiteitsbewijs gebruikt om je te verifiëren, dan zijn er grofweg drie manieren waarop dit kan:
- Je verstrekt een kopie van je identiteitsbewijs.
- Het bedrijf maakt gebruik van een dienst om je identiteitsbewijs te controleren.
- Je toont je identiteitsbewijs in persoon op een fysieke locatie.
Wil je een kopietje verstrekken? Neem dan zeker maatregelen om het risico op misbruik (identiteitsfraude) te voorkomen. We doen een paar algemene aanbevelingen:
- Verwijder of anonimiseer de informatie die niet nodig is voor de verificatie: dit zijn meestal je foto en burgerservicenummer (BSN).
- Vermeld op je kopie de organisatie en het doel van je kopie. Bijvoorbeeld: ‘Doel: inzageverzoek; Organisatie: Spotify'.
- De overheid biedt de app KopieID aan. Hiermee kan je eenvoudig een meer veilige kopie van je identiteitsbewijs maken.
Toch blijven er risico’s kleven aan een kopie. Vervalsing is immers geen rocket science als het om een kopietje gaat. Er worden daarom ook steeds meer diensten aangeboden om identiteitsbewijzen op afstand te controleren die het risico op vervalsing nog meer moeten beperken.
Maakt het bedrijf gebruik van zo’n dienst (veelal van een externe partij)? Let dan op wat die dienst precies inhoudt, welke gegevens er mogelijk aan externe partijen worden verstrekt en wat ze precies met je gegevens doen. Is iets onduidelijk? Vraag dan om opheldering.
Blijf kritisch
Als een bedrijf vraagt om een kopie van je identiteitsbewijs, vraag je dan dus altijd af of dit noodzakelijk is om je identiteit te verifiëren en of er geen betere, meer privacyvriendelijke methodes zijn om hetzelfde te bereiken. Zijn die er? Wijs ze hier dan op. Weigeren ze die andere opties? Meld dit dan bij de toezichthouder of laat het ons weten!