image

Juridische vraag: mag je kopie paspoort via e-mail versturen?

woensdag 27 november 2013, 10:17 door Arnoud Engelfriet, 15 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Steeds vaker word ik gevraagd om een kopie van mijn identiteitsbewijs te mailen. Ik snap dat men wil weten wie ik ben, maar mag dit soort informatie wel per e-mail worden verstuurd? Er zit immers geen versleuteling op.

Antwoord: Persoonsgegevens moeten inderdaad worden beveiligd, maar de wet noemt geen harde beveiligingscriteria. Verder dan "adequaat gezien de omstandigheden en aard van de gegevens" komt artikel 13 van de Wet bescherming persoonsgegevens niet. Je moet dus zelf bedenken wat adequaat is.

Bij een webwinkel is het bijvoorbeeld zeer eenvoudig om SSL toe te passen in het bestelproces. Daar ontkom je in de praktijk dus niet aan, hoewel het strikt gesproken niet letterlijk móet van de wet.

E-mail is onversleuteld, dus dat biedt een risico. Gezien de aard van de gegevens (met name het BSN dat op het identiteitsbewijs kan staan) zou versleuteling eigenlijk wel gepast zijn. Hoewel je je kunt afvragen hoe groot het risico is dat de e-mail onderschept en misbruikt wordt.

Belangrijker hier is echter: hoezó moeten zij een kopie van het identiteitsbewijs hebben? En wat gaan ze daarmee doen? Op zijn minst moet gemeld worden hoe dat wordt verwerkt en beveiligd opgeslagen (en dan bedoel ik dus niet, het staat in de Outlookmap 'Bestellingen' van Henk en daar zit een wachtwoord op). Maar ik zou ook wel willen weten wat ze hébben aan zo'n kopie. Ik kan immers zo andermans kopie ID insturen. En dan?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (15)
27-11-2013, 10:24 door Anoniem
@Arnout :

"Persoonsgegevens moeten inderdaad worden beveiligd, maar de wet noemt geen harde beveiligingscriteria."

Zijn deze regels daadwerkelijk van toepassing op de burger, wanneer het het eigen identiteitsbewijs betreft ? Het lijkt mij onverstandig om deze gegevens niet te beveiligen, maar het lijkt mij geen juridische verplichting ?
27-11-2013, 10:31 door schele - Bijgewerkt: 27-11-2013, 10:31
Er zijn wel wat aanbevelingen van de CBP natuurlijk:

http://www.cbpweb.nl/pages/pb_20120712_gebruik-kopie-identiteitsbewijs.aspx
27-11-2013, 11:09 door Anoniem
Lijkt me verkeerde vraag. Als ik zonodig een kopietje van mijn eigen paspoort wil versturen, waar precies in de wet staat dat dat niet mag?

Het probleem is dan ook dat iemand anders jou verplicht dat te doen, want anders doen ze niet wat jij graag zou willen dat je doet, en dat kan nare repercussies hebben. Bijvoorbeeld omdat je dan geacht wordt niet aan d'ene of d'andere verplichting om onduidelijke redenen opgelegd door d'ene of d'andere overheid te hebben voldaan.

Dus of jij dat mag is niet interessant. Dat jij dat moet is dat wel. Met welk recht eisen anderen dat van jou?

Zoals Arnoud geheel terecht opmerkt moet de vraag allereerst zijn, wat moeten ze met die informatie, garandeert dat wat ze ervan verwachten (als ze al iets concreets verwachten) en welke garanties heb je dan dat er zorgvuldig mee omgegaan wordt? Dat laatste is meestal al zo onduidelijk dat we dat eerste al helemaal vergeten te vragen. Ten onrechte.

Maar daarmee is het plaatje niet af. De volgende vraag is namelijk: Welke middelen biedt men jou om veilig die informatie te overhandigen? Hebben ze bijvoorbeeld een PGP sleutel die je zou kunnen gebruiken? En/of een mogelijkheid om een scan versleuteld aan een webformulier mee te geven. En/of want waarom zou je iedereen aan precies een enkele invoermogelijkheid vastpinnen? Niet aan jou om te bepalen wat handig is voor je klanten. Maar aangezien die eerste vraag meestal al te moeilijk is, is het niet gek dat ze niet verder komen.

Zelfs alle plannen tot verbetering zijn vooralsnog voorspelbaar erger dan de kwaal. Gewoon wegens chronisch gebrek aan nadenken over noodzaak en inperking van informatieoverdracht.
27-11-2013, 11:55 door Anoniem
Door schele: Er zijn wel wat aanbevelingen van de CBP natuurlijk:

http://www.cbpweb.nl/pages/pb_20120712_gebruik-kopie-identiteitsbewijs.aspx

Ik moet nog een keer bij de ANWB langs voor die mallen waarmee niet-relevante gegevens niet mee worden gekopieerd. Daarnaast gebruik ik al langer "Watermark Image" om een duidelijke tekst op de kopie te zetten waarin ik datum en toegestaan doel van het gebruik specificeer.

Peter
27-11-2013, 12:25 door Briolet
Door Anoniem:Ik moet nog een keer bij de ANWB langs voor die mallen waarmee niet-relevante gegevens niet mee worden gekopieerd.
Ik denk dat die mal nog steeds te veel laat zien. Als je via een e-mail legitimeert, zien ze je gezicht nooit ter verificatie. Dus zal dit deel op het kopietje ook irrelevante informatie zijn en moet je weg kunnen laten.
27-11-2013, 12:50 door Arnoud Engelfriet
Door Anoniem:Zijn deze regels daadwerkelijk van toepassing op de burger, wanneer het het eigen identiteitsbewijs betreft ? Het lijkt mij onverstandig om deze gegevens niet te beveiligen, maar het lijkt mij geen juridische verplichting ?

Je mag je eigen persoonsgegevens behandelen zoals je wilt. Alleen, ik zie "wilt u uw paspoort even mailen naar ons" niet als een vrijwillige actie vanuit de klant maar als een opdracht vanuit het bedrijf. En het bedrijf moet persoonsgegevens van klanten adequaat beveiligen. Ook als ze de klant zelf het werk laten doen.
27-11-2013, 14:22 door Anoniem
Door Briolet:
Door Anoniem:Ik moet nog een keer bij de ANWB langs voor die mallen waarmee niet-relevante gegevens niet mee worden gekopieerd.
Ik denk dat die mal nog steeds te veel laat zien. Als je via een e-mail legitimeert, zien ze je gezicht nooit ter verificatie. Dus zal dit deel op het kopietje ook irrelevante informatie zijn en moet je weg kunnen laten.

Ik heb begrepen dat de mal de foto ook afschermt.

https://www.respectprivacy.org/#solutions:
Concreet schermt de ID-cover je foto, je persoonsnummer (BSN) en het nummer van je identiteitsbewijs af. Op een paspoort wordt ook de strook met gegevens onder aan het paspoort afgeschermd.

Peter
27-11-2013, 17:21 door Anoniem
Door Anoniem:
Door schele: Er zijn wel wat aanbevelingen van de CBP natuurlijk:

http://www.cbpweb.nl/pages/pb_20120712_gebruik-kopie-identiteitsbewijs.aspx

Ik moet nog een keer bij de ANWB langs voor die mallen waarmee niet-relevante gegevens niet mee worden gekopieerd. Daarnaast gebruik ik al langer "Watermark Image" om een duidelijke tekst op de kopie te zetten waarin ik datum en toegestaan doel van het gebruik specificeer.

Peter

Ouder progje maar werkt ook prima en gratis:
http://www.pmnet.info/watermark/
27-11-2013, 21:31 door Anoniem
Door Anoniem: Lijkt me verkeerde vraag. Als ik zonodig een kopietje van mijn eigen paspoort wil versturen, waar precies in de wet staat dat dat niet mag?

Het probleem is dan ook dat iemand anders jou verplicht dat te doen, want anders doen ze niet wat jij graag zou willen dat je doet, en dat kan nare repercussies hebben. Bijvoorbeeld omdat je dan geacht wordt niet aan d'ene of d'andere verplichting om onduidelijke redenen opgelegd door d'ene of d'andere overheid te hebben voldaan.

Dus of jij dat mag is niet interessant. Dat jij dat moet is dat wel. Met welk recht eisen anderen dat van jou?

Zoals Arnoud geheel terecht opmerkt moet de vraag allereerst zijn, wat moeten ze met die informatie, garandeert dat wat ze ervan verwachten (als ze al iets concreets verwachten) en welke garanties heb je dan dat er zorgvuldig mee omgegaan wordt? Dat laatste is meestal al zo onduidelijk dat we dat eerste al helemaal vergeten te vragen. Ten onrechte.

Maar daarmee is het plaatje niet af. De volgende vraag is namelijk: Welke middelen biedt men jou om veilig die informatie te overhandigen? Hebben ze bijvoorbeeld een PGP sleutel die je zou kunnen gebruiken? En/of een mogelijkheid om een scan versleuteld aan een webformulier mee te geven. En/of want waarom zou je iedereen aan precies een enkele invoermogelijkheid vastpinnen? Niet aan jou om te bepalen wat handig is voor je klanten. Maar aangezien die eerste vraag meestal al te moeilijk is, is het niet gek dat ze niet verder komen.

Zelfs alle plannen tot verbetering zijn vooralsnog voorspelbaar erger dan de kwaal. Gewoon wegens chronisch gebrek aan nadenken over noodzaak en inperking van informatieoverdracht.
Het is niet jouw paspoort,het paspoort blijft ten allen tijden eigendom van de Staat der Nederlanden.Zo staat het in de wet en het staat ook op je/het paspoort geschreven.Dus de Staat mag wel degelijk bepalen dat je geen kopie van het paspoort per (onbeveiligde) e-mail mag versturen.Ik zelf verstuur alleen paspoort-kopieen via de post.Nooit via e-mail.
28-11-2013, 12:01 door Anoniem
@ anoniem 17:21 Grappig progje ware het niet dat er smutware mee komt. Ondanks het feit dat je de checkbox uitvinkt voor PC utilities staat het 3 minuten later op je pc. De browser waarschuwde al, VM is your friend :-)
28-11-2013, 13:23 door Anoniem
Wanneer ik een copie van mijn ID moet versturen schrijf ik er altijd doorheen welke datum en waarvoor ik die copie gemaakt heb.
Tot op heden heeft nooit iemand daarove rgeklaagd :)
28-11-2013, 14:47 door Anoniem
De WBP is anders heel duidelijk, en de schrijver heeft zich beperkt tot 1 artikel en niet de voorwaarden gelezen.
Met gecategoriseerde kenmerken (w.o. BSN en pasfoto) moet worden afgewogen of de verwerking proportioneel is en er geen alternatieven zijn. Dit laatste lijkt mij duidelijk wel (al eens gehoord van DigiD?) want ik meen dit artikel te herkennen van de discussie gisteren over het stemmen vanuit het buitenland, waarbij een copie paspoort wordt gevraagd.
Kortom: wáárom dit soort middelen überhaupt willen inzetten...
29-11-2013, 12:56 door Anoniem
Ebay en PayPal wou op een gegeven moment ook dit van me onversleuteld toegestuurd krijgen. Ik heb geweigerd en mijn account werd geblokkeerd en verwijderd. Dit was voor 2008 nog niet zo toen ze nog niet zo doorgeschoten waren in het alles maar indentificeerbaar te krijgen waren. De wet zou dit aan banden moeten leggen want uiteindelijk is dit ons land en niet van de banken of bedrijven.
02-12-2013, 01:36 door Anoniem
PGP biedt email encryptie. Even los van het punt dat Arnout in mijn ogen terecht maakt over de vraag of je je kopie paspoort sowieso wil sturen.

Wat mij verbaast is dat er nog bar weinig gebruik wordt gemaakt van PGP sleutels door mensen. Ik heb weliswaar een sleutelpaar laten registreren, waarmee ik emails ondertekend kan verzenden en waarmee iedereen die mijn public key heeft mail kan versleutelen naar mij toe. Echter, ik ken vrijwel niemand met ook zo'n sleutelpaar. Met andere woorden: zolang vrijwel niemand PGP gebruikt, is email dus inderdaad onversleuteld.
02-12-2013, 05:14 door Wadjinn
Vraag eerst af wat het nut is van een kopie paspoort. Vaak is het nut identificatie. Dat is ook de reden waarom je je paspoort nooit af mag staan aan wie dan ook. Het mag nooit zomaar ingenomen worden oid zonder duidelijke reden bijv. verdachtmaking etc. Wanneer je een kopie wilt dan moet je als vrager constateren of de kopie ook werkelijk van de persoon is die hem aan jou verstrekt. Dit kan alleen door persoonlijk contact. Een bedrijf eist identificatie en wil zo professioneel handelen om aan de wet te voldoen maar doet dit dan op een boerenfluitjes manier. Het nut is dus niet aanwezig en daarom heeft het ook geen zin.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.