Ook De Correspondent is hier ingedoken en dankzij het Volkskrantartikel heeft de AP vragen gesteld aan de Nederlandse Zorgautoriteit (NZa) die nu gestopt is met het delen van zorgdata via de zogenaamde informatiemakelaar.
Bedenk hierbij dat het om zeer gevoelige persoonsgegevens gaat. Op je paspoort staan je BSN en je foto. Dit zijn beide zogenaamde bijzondere persoonsgegevens die alleen in alleen in heel specifieke gevallen mogen worden verwerkt. Als zo'n kopie-paspoort in verkeerde handen komt bestaat het gevaar van identiteitsfraude.
In 2012 heeft de Autoriteit Persoonsgegevens - toen nog College Bescherming Persoonsgegevens geheten - een richtsnoer hierover gepubliceerd.
De kernpunten daaruit zijn:
- Organisaties mogen klanten en leveranciers vragen om een legitimatie. Maar dat heeft alleen zin wanneer men ook de echtheid en geldigheid van het identiteitsdocument controleert. Dit kan alleen op basis van het origineel. Van een kopie kun je niet vaststellen of het origineel echt is.
- Het identificeren gebeurt dus aan de hand van originele ID-bewijs. Een organisatie mag daar meestal geen kopie of scan van maken. Dat mag alleen in specifieke situaties die in de wet zijn genoemd. Bijvoorbeeld bij het aangaan van arbeidsrelaties (Wet op de Loonbelasting) of het doen van bepaalde financiële transacties (Wet ter voorkoming van witwassen en financiering van terrorisme). In verreweg alle overige gevallen is het niet toegestaan, zelfs niet als een deel van de gegevens (bijvoorbeeld je BSN) onleesbaar is gemaakt.
- In hele uitzonderlijke gevallen kan het voor de organisatie nodig zijn om een kopie van het ID-bewijs te bewaren. Dit moet echter worden gemeld bij de Autoriteit Persoonsgegevens. Bovendien gelden dan extra eisen op het gebied van beveiliging, datakwaliteit en bewaartermijnen.
Vermoedelijk ben je de volgende keer dat je incheckt bij een hotel iets oplettender. Ik vind zelf het prima als ze mijn paspoort even willen zien en zelfs willen vasthouden. Behalve mijn BSN mogen ze van mij ook gegevens uit mijn paspoort overschrijven. Maar een kopie of scan gaat te ver.
Ga niet klakkeloos mee in de vraag om een ‘kopietje-paspoort’ maar wees kritisch en oplettend. Misschien sta jij ook wel eens aan de andere kant van de balie en vraag jij namens jouw bedrijf om zo’n kopietje. Dan is het op z’n minst goed om te weten dat er eisen en plichten zijn om je aan te houden. Het is aan te bevelen om de administratieve processen eens hierop te (laten) checken. Bewaart jouw bedrijf kopieën van ID-bewijzen zonder dat daar een goede grondslag voor is of zonder dat dit gemeld is aan de Autoriteit Persoonsgegevens dan hangt je bedrijf een flinke boete boven het hoofd. En je wilt al helemaal niet dat deze zeer gevoelige persoonsgegevens via jou op straat of zelfs in verkeerde handen komen. De gevolgen daarvan zijn immers zeer ernstig. Niet alleen loop je kans op een boete van 820.000 euro, maar ook worden het klantvertrouwen en je reputatie ernstig geschaad.