Privacycolumn - Het kopie ID is hoogbejaard

Gelukkig hoef ik niet zo heel vaak meer te vertellen dat een kopie van je paspoort of ander identiteitsdocument een kroonjuweel is dat je niet zomaar moet afstaan. Onlangs deelde de Autoriteit Persoonsgegevens nog een forse boete uit aan DPG Media. Zij vroegen aan iedereen die een inzage- of wijzigingsverzoek deed standaard om een kopie van het ID. Dat vond de toezichthouder te veel van het goede en legde een boete op van 525.000 euro.

Voor de AVG was het gemeengoed dat overal om het kopie ID gevraagd werd bij het uitoefenen van bovenstaande rechten. Maar ook toen had het kopietje eigenlijk al zijn langste tijd gehad. Veel hackers waarschuwden voor het gevaar van rondslingerende (veelal digitale) kopieën. Zo liet Jeroen van Beek al zo’n tien jaar geleden zien dat mensen kopietjes onveilig verzenden en onveilig opslaan – hij zocht simpelweg via filesharing netwerken naar termen als ‘paspoort’ en ‘wachtwoord’ en vond in een mum van tijd een schat aan informatie. In 2014 schreef Tokmetzis daar al eens een mooi artikel over voor De Correspondent.

De AP houdt aan die lijn vast en stelt in haar boetebesluit: ‘Het is onevenredig om een kopie van een identiteitsbewijs te vereisen als de identiteit van de betrokkene op een andere manier kan worden geverifieerd. Bovendien vormt de verwerking van kopieën van identiteitsbewijzen een groot risico voor de veiligheid van persoonsgegevens.’

DPG-media bood personen de mogelijkheid om zich via een onlineaccount te verifiëren, maar dat vond de toezichthouder niet afdoende. Daarmee wordt een extra belemmering opgelegd aan personen om hun rechten uit te oefenen. Het besluit wijst in de richting van verificatie aan de hand van gegevens die de verwerkingsverantwoordelijke al heeft. Denk daarbij aan het albekende riedeltje van de doktersassistent die als je belt altijd vraagt naar geboortedatum en achternaam. Waarbij de AP nog wel aangeeft dat bij twijfel, in een uitzonderingsgeval gevraagd kan worden om een afgeschermde kopie waarbij ten minste het BSN onleesbaar is gemaakt.

Het zal de nodige kopzorgen gaan opleveren voor verantwoordelijken. Je wilt immers niet ten onrechte een grote hoeveelheid persoonsgegevens aan de verkeerde persoon geven – ook daar ligt het gevaar voor (identiteits)fraude op de loer. En een enkele geboortedatum en achternaam liggen ook niet in de rede. Ik kan alleen in mijn omgeving al zeker twintig mensen opnoemen die zonder enige moeite deze gegevens kunnen oplepelen. Laat staan dat iemand die kwaad wil, met een kleine zoektocht langs sociale media (‘Gefeliciteerd met je 30ste verjaardag Rachel!’) al snel de benodigde gegevens kan vinden. En ik denk dat hier precies de zwakte zit van het besluit van AP.

Als het gaat om persoonsgegevens, kun je niet experimenteren omdat de mogelijk negatieve gevolgen te groot zijn. En hoezeer ik het ook met AP eens ben – dat kopietje heeft echt zijn langste tijd gehad-, zal het nog best een klus zijn om de juiste balans te vinden omdat zogezegd aan beide kanten van het spectrum voor personen hetzelfde gevaar op de loer ligt.

Rachel Marbus
@RACHELMARBUS op Twitter

Deze column verscheen in IB2-2022.