image

Juridische vraag: mag je kopie paspoort via e-mail versturen?

woensdag 3 december 2014, 10:36 door Arnoud Engelfriet, 9 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Is het toegestaan om persoonsgegevens zoals namen en adressen, maar ook bijvoorbeeld een kopie van je paspoort met Burgerservicenuimmer (BSN) en foto, per mail te versturen? Dat is toch veel te onveilig!

Antwoord: De wet bescherming persoonsgegevens bepaalt dat wie persoonsgegevens verwerkt, een adequate beveiliging moet toepassen. En verwerken omvat zo ongeveer alles: inscannen, overtypen, versturen, opslaan, delen of zelfs verwijderen daarvan.

Wat is adequaat? De wet geeft daar geen antwoord op, en er is geen uitvoerende regeling die specifiek securitynormen voorschrijft of een toets waarmee je kunt bepalen of je gegarandeerd compliant bent met de wet.

De reden hiervoor is dat dat 'adequaat' geen absolute term is maar gemeten moet worden in de omstandigheden. Met een patiëntendossier van een ziekenhuis moet je zorgvuldiger omgaan dan een e-mailadres op een visitekaartje, zeg maar. Dus zou het raar zijn als de beveiligingseisen voor die twee sets persoonsgegevens hetzelfde zou zijn.

De vraag is dus hier in ieder geval eerst, hoe wordt er gemaild, naar wie en waarom. Dan zoek je de (redelijke) beveiligingsrisico's en ga je na of die kunnen worden opgelost. En pas als je merkt dat dát niet kan, dan kom je bij de conclusie "misschien dan maar géén e-mail" of "laten we maar encryptie op de mail gaan zetten".

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (9)
03-12-2014, 11:05 door Anoniem
Lees de WBP. Ja, dat mag. Zolang het je eigen gegevens zijn, of je toestemming van de eigenaar van de gegevens hebt.
Als iemand jou dus om een scan van je paspoort vraagt per mail, dan mag jij die sturen. Of je het moet willen... Dat is een andere discussie...
03-12-2014, 11:55 door Erik van Straten - Bijgewerkt: 03-12-2014, 11:56
Meer interessante vragen (dan of je zelf een scan van jouw eigen paspoort mag e-mailen) zijn m.i.:
1) mag een ander jou mag vragen dit te doen
2) mag een ander een kopie van jouw paspoort naar jou e-mailen (nauwelijks zinvol, wellicht ter verificatie)
3) mag een ander een kopie van jouw paspoort naar een derde e-mailen
4) welke beveiliginsmaatregelen moet een e-mail-verzender van jouw paspoort-kopie ten minste treffen
5) welke beveiliginsmaatregelen moet een e-mail-ontvanger van jouw paspoort-kopie ten minste treffen

Overigens vind ik ik dat de waarde van een kopie van een identiteitsbewijs voor iedereen nul zou moeten zijn. Wat ertoe hoort te leiden dat we dergelijke kopiëen helemaal niet meer uitwisselen. (Zie ook https://www.security.nl/posting/410189/ en de discussie daaronder).
03-12-2014, 12:16 door Anoniem
Een belachelijk regel voor VAR's (die men nu voor elke ZZP'er voorsteld) is dat de niet-werkgever / opdrachtgever moet verifieren dat de houder van de VAR de houder van de VAR is; a.d.h.v. identiteits bewijs, waardoor nu (in mij geval) elke potentieele opdrachtgever in week 1 belt voor een copy paspoort.

Een copy passport aftrochelen wordt dus als makkelijk als je voordoen als potentiele opdrachtgever.
Fijn dat er dan geen belastingfraude meer zal zijn. Alleen identiteitsfraude...
03-12-2014, 13:20 door Anoniem
Je mag natuurlijk je BSN niet aan iedereen geven... Gelukkig staat dat bij nieuwe identiteitsbewijzen op de achterkant, dus ontbreekt het op de kopie
03-12-2014, 21:51 door Anoniem
Door Anoniem: Je mag natuurlijk je BSN niet aan iedereen geven... Gelukkig staat dat bij nieuwe identiteitsbewijzen op de achterkant, dus ontbreekt het op de kopie
Pas op! Het BSN staat op de nieuwe paspoorten op twee plekken: de achterkant van de pagina met je pasfoto (daar herkent iedereen het), maar ook "verstopt' in die rij met cijfertjes op dezelfde pagina die altijd gekopieerd wordt! Kijk maar na: doe een "cijfervinder oefening". :)
04-12-2014, 02:10 door Anoniem
Je mag je BSN niet zomaar geven, maar moet vaak wel als bedrijf een BTW-nummer overhandigen. Laat het BTW-nummer voor ZZP-ers nou beginnen met het BSN...
04-12-2014, 07:02 door JAV
En als je dan besluit een kopie te sturen gebruik je natuurlijk de KopieID-app van de overheid om het BSN nummer te wissen en de kopie maar net leesbaar te maken (zie ook het artikel over deze app op deze site)
04-12-2014, 10:54 door Anoniem
Door Anoniem: Je mag natuurlijk je BSN niet aan iedereen geven...

Waarom niet dan?
Je mag je geboortedatum, telefoonnummer of banknummer toch ook aan iedereen geven?
07-12-2014, 14:26 door Anoniem
Ik ben het in deze oneens met de matige uitleg van dhr. Engelfriet inzake art. 13 WBP. Hij meent ook dat er moet gekeken worden naar wie en waarom. Hij blijft hier erg vaag en verteld de vragensteller niet dat deze vraag komt omdat indien er sprake is van persoonlijk of huishoudelijk gebruik de hele WBP niet van toepassing is. Dit vloeit voort uit art. 2 lid 2 sub a WBP. Dhr. Engelfriet doet alsof er gradaties zijn in naar wie en waarom. Dat is niet waar, er zijn maar twee gradaties: zakelijk of persoonlijk/huishoudelijk gebruik. Bij zakelijk gebruik kan de WBP ook nog eens buiten toepassing zijn indien gronden van art. 2 en 3 WBP zich voordoen (bepaalde, let op: bepaalde, journalistiek, landsbelang, schrijvers etc.). Ook heeft dhr. Engelfriet het over redelijke beveiligingsrisico's en het meten ervan. Ook dit is wederom een onjuiste uitleg wat er in de doctrine staat. Er wordt altijd gewerkt met risicocategorieën waarbij bijzondere persoonsgegevens ex. art. 16 WBP en financiële gegevens onder de hoogste c.q. één na hoogste beveiligingscategorie vallen. Het meten van redelijke beveiligingsrisico's is niet aangeraden voor een particulier, dit doe je pas bij een Due Diligence. Hiervan is pas sprake als een privacyexpert met de dienst IT in een onderneming een diepgaand onderzoek instelt naar de beveiliging van persoonsgegevens binnen alle processen waarin persoonsgegevens worden verwerkt. Indien je zaken wilt meten kom je in Information Security terecht en dan ben je per definitie IT'er en geen jurist. Dhr. Engelfriet is uiteraard IT'er maar de vraag die nu gesteld wordt is van privaatrechtelijk kader, niet van Information Security. Dat is pas het geval wanneer het om een complexe organisatie gaat. Dhr. Engelfriet heeft nog veel te leren, in juridisch vakjargon naar gewone mensentaal te vertalen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.