
Vorige week werd bekend dat Aleid Wolfsen de opvolger wordt van Kohnstamm als voorzitter van de Autoriteit Persoonsgegevens (AP), voorheen bekend als College Bescherming Persoonsgegevens. Dat er voor de AP nog veel werk ligt blijkt o.m. uit het bericht in de Volkskrant van dinsdag 31 mei. Zeer gevoelige zorggegevens worden sinds dit jaar op grote schaal gedeeld. Op zichzelf al linke soep. Maar dat dit al in september door minister Schipper is besloten, het nu pas naar buiten komt en de AP kennelijk niet eens om advies gevraagd is vind ik minstens zo zorgwekkend.
Ook De Correspondent is hier ingedoken en dankzij het Volkskrantartikel heeft de AP vragen gesteld aan de Nederlandse Zorgautoriteit (NZa) die nu gestopt is met het delen van zorgdata via de zogenaamde informatiemakelaar.
Ook De Correspondent is hier ingedoken en dankzij het Volkskrantartikel heeft de AP vragen gesteld aan de Nederlandse Zorgautoriteit (NZa) die nu gestopt is met het delen van zorgdata via de zogenaamde informatiemakelaar.
Zijn we niet een beetje te nonchalant met onze persoonlijke gegevens? Het zijn niet alleen overheidsinstanties en bedrijven die al te gemakkelijk persoonsgegevens delen. Als individuele burger of klant doen we daar ook aan mee.
Een voorbeeld hiervan is het gemak waarmee we anderen een kopietje van ons identiteitsbewijs geven, zonder dat daar noodzaak voor is. Zoals aan het hotel waar je een weekend doorbrengt of aan de telefoonprovider voor je nieuwe abonnement. We beschouwen het bijna als vanzelfsprekend dat een organisatie ons om een kopie-ID vraagt als we diensten willen afnemen. Natuurlijk zijn de organisaties waar jij zaken mee doet te goeder trouw en zullen ze geen opzettelijk misbruik maken van de persoonsgegevens die je hen verstrekt. Het risico zit hem echter in de onbekendheid met de regels. Veel organisaties zijn net zo min als jij op de hoogte van de regels over het opvragen en gebruiken van identiteitsbewijzen en kopieën daarvan. Het gevolg daarvan is dat kopieën van ID's op veel plekken zijn opgeslagen en wij de controle daarover volledig verloren zijn.
Bedenk hierbij dat het om zeer gevoelige persoonsgegevens gaat. Op je paspoort staan je BSN en je foto. Dit zijn beide zogenaamde bijzondere persoonsgegevens die alleen in alleen in heel specifieke gevallen mogen worden verwerkt. Als zo'n kopie-paspoort in verkeerde handen komt bestaat het gevaar van identiteitsfraude.
Bedenk hierbij dat het om zeer gevoelige persoonsgegevens gaat. Op je paspoort staan je BSN en je foto. Dit zijn beide zogenaamde bijzondere persoonsgegevens die alleen in alleen in heel specifieke gevallen mogen worden verwerkt. Als zo'n kopie-paspoort in verkeerde handen komt bestaat het gevaar van identiteitsfraude.
Hoe moet je hier als individu (klant, burger, …) of als organisatie mee omgaan? Wat mag wel en wat mag niet?
In 2012 heeft de Autoriteit Persoonsgegevens - toen nog College Bescherming Persoonsgegevens geheten - een richtsnoer hierover gepubliceerd.
In 2012 heeft de Autoriteit Persoonsgegevens - toen nog College Bescherming Persoonsgegevens geheten - een richtsnoer hierover gepubliceerd.
De kernpunten daaruit zijn:
- Organisaties mogen klanten en leveranciers vragen om een legitimatie. Maar dat heeft alleen zin wanneer men ook de echtheid en geldigheid van het identiteitsdocument controleert. Dit kan alleen op basis van het origineel. Van een kopie kun je niet vaststellen of het origineel echt is.
- Het identificeren gebeurt dus aan de hand van originele ID-bewijs. Een organisatie mag daar meestal geen kopie of scan van maken. Dat mag alleen in specifieke situaties die in de wet zijn genoemd. Bijvoorbeeld bij het aangaan van arbeidsrelaties (Wet op de Loonbelasting) of het doen van bepaalde financiële transacties (Wet ter voorkoming van witwassen en financiering van terrorisme). In verreweg alle overige gevallen is het niet toegestaan, zelfs niet als een deel van de gegevens (bijvoorbeeld je BSN) onleesbaar is gemaakt.
- In hele uitzonderlijke gevallen kan het voor de organisatie nodig zijn om een kopie van het ID-bewijs te bewaren. Dit moet echter worden gemeld bij de Autoriteit Persoonsgegevens. Bovendien gelden dan extra eisen op het gebied van beveiliging, datakwaliteit en bewaartermijnen.

Vermoedelijk ben je de volgende keer dat je incheckt bij een hotel iets oplettender. Ik vind zelf het prima als ze mijn paspoort even willen zien en zelfs willen vasthouden. Behalve mijn BSN mogen ze van mij ook gegevens uit mijn paspoort overschrijven. Maar een kopie of scan gaat te ver.
Ga niet klakkeloos mee in de vraag om een ‘kopietje-paspoort’ maar wees kritisch en oplettend. Misschien sta jij ook wel eens aan de andere kant van de balie en vraag jij namens jouw bedrijf om zo’n kopietje. Dan is het op z’n minst goed om te weten dat er eisen en plichten zijn om je aan te houden. Het is aan te bevelen om de administratieve processen eens hierop te (laten) checken. Bewaart jouw bedrijf kopieën van ID-bewijzen zonder dat daar een goede grondslag voor is of zonder dat dit gemeld is aan de Autoriteit Persoonsgegevens dan hangt je bedrijf een flinke boete boven het hoofd. En je wilt al helemaal niet dat deze zeer gevoelige persoonsgegevens via jou op straat of zelfs in verkeerde handen komen. De gevolgen daarvan zijn immers zeer ernstig. Niet alleen loop je kans op een boete van 820.000 euro, maar ook worden het klantvertrouwen en je reputatie ernstig geschaad.