Juridische vraag: mag een bedrijf mijn paspoort kopiëren?
woensdag 12 juni 2013, 12:31 door Arnoud Engelfriet, 39 reacties
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Bij een bedrijf waar ik laatst moest zijn voor mijn werk, wilde men een legitimatie zien. Prima, maar ze maakten er meteen een kopie van. Volgens hun huisregels zou dat mogen, maar dat is toch tegen de wet?
Antwoord: Op zich mag je huisregels stellen wat je wilt, en je mag dan ook dingen eisen of verbieden die op zich legaal zijn. Een bedrijf kan geheimhouding eisen over wat je binnen ziet (wat dus je vrijheid van meningsuiting beperkt), bepalen dat er iemand met je meeloopt of dat er camera's zijn (beperkt je privacy) of dat je je moet legitimeren (beperkt je anonimiteit). Hoewel "huisregels niet tegen de wet" mogen zijn, is de wet meestal flexibel genoeg om heel wat huisregels toe te staan.
Specifiek bij identificatie van personen speelt er een iets minder flexibele wet: de Wet bescherming persoonsgegevens. Hoofdregel van die wet is dat je toestemming nodig hebt van de persoon in kwestie om zijn persoonsgegevens te mogen verwerken. Zonder toestemming moet er sprake zijn van een contract waarbij de verwerking nodig is, of een dringende noodzaak die de privacyschending rechtvaardigt.
Een bedrijf dat legitimatie van bezoekers wil zien, doet dit om zeker te zijn dat ze de juiste klant of relatie voor zich heeft. Dat zou je onder "uitvoering contract" kunnen scharen. Cameratoezicht is een voorbeeld van een dringende noodzaak; het toezicht is dringend nodig in verband met beveiliging en de privacyschending is meestal maar klein. Bij legitimatie van bezoekers gaat dit wellicht ook op: als je móet weten welke bezoeker dit is en wat zijn echte naam is, dan mag je vragen naar een legitimatie.
In alle gevallen eist de Wbp wél dat je zo min mogelijk gegevens verwerkt. Meestal is het genoeg dat je het legitimatiebewijs bekijkt en constateert dat het echt is, en dat de persoon aan de balie met die naam op de gastenlijst staat. Een kopie is dan niet nodig, en mág dan ook niet worden gemaakt. Hooguit kun je het ID-nummer (dus niet het BSN) noteren als bewijs dat dat legitimatiebewijs is getoond.
Een kopie mag dus pas worden gemaakt als deze absoluut noodzakelijk is en je niet kunt volstaan met inzien en overschrijven van de meest essentiële gegevens. Als iemand aan de balie staat, zou ik niet weten wat die noodzaak is. Handel je op afstand, dan is opsturen van een kopie eigenlijk de enige manier - maar hoe controleer je dan de echtheid van het document, en hoe stel je eigenlijk überhaupt vast dat dat ID van de persoon is met wie je op afstand zaken doet?
Soms is het wettelijk verplicht om een kopie te maken, dan mag dat natuurlijk van de Wbp. Een werkgever is bijvoorbeeld verplicht kopieën van een identiteitsbewijs van zijn werknemers te maken op de eerste werkdag, om zwartwerken te bestrijden. Ook is de werkgever verplicht om een kopie van het gecontroleerde document – inclusief burgerservicenummer (BSN) en pasfoto – in zijn loonadministratie op te nemen en te bewaren.
En soms zijn er bijzondere afspraken gemaakt met de privacytoezichthouder, het College bescherming persoonsgegevens. Zo heeft de BOVAG namens autoverhuurbedrijven een afspraak gemaakt dat haar leden een kopie van een identiteitsdocument mogen maken ter bestrijding van verduistering (wel huren, niet terugbrengen). De gegevens op dit ID kunnen dan op een zwarte lijst worden geplaatst als de huurder de auto niet inlevert, zodat andere verhuurders ook weten met wie ze te maken hebben. Maar hier moeten dan wel BSN en pasfoto onzichtbaar worden gemaakt, wat in mijn ervaring met autoverhuurders niet gebeurt.
Ik kan in het algemeen eigenlijk geen noodzaak verzinnen waarom je iemands foto zou moeten bewaren, dus eigenlijk zou je als je al een kopie maakt, altijd de foto moeten afschermen. En een kopie maken mag sowieso dus alleen als verificatie niet genoeg is. En wat is dáár een dringende noodzaak voor?
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (39)
12-06-2013, 12:42 door
schele
Goeie vraag, dito antwoord. Is typisch één van die vele overtredingen op de WBP die door iedereen zonder meer geaccepteerd wordt, maar tenzij men een duidelijk doel heeft of wettelijke verplichting voor het kopieren (en dus verwerken) van ID gegevens mag dat niet. In dit geval is het doel identificatie en is opslag dus niet nodig.
probleem is bij verhuurbedrijven enzovoort dat ze simpelweg je weigeren als klant als ze hun zin niet krijgen. Het is dan dus aan jou om die kopie toe te staan of naar een andere tent te gaan voor de huur van een door jou benodigd item (zoals een auto, aanhanger, bus etc). Je kan dus wel heel hard roepen dat dat niet mag, ze zijn alleen niet verplicht je als klant te accepteren, dus daar zit de spagaat als klant: je wil die dienst gebruiken maar wordt dus min of meer verplicht toe te geven aan het schenden van je recht op privacy.
12-06-2013, 12:44 door
S.lenders
Wat een toeval, afgelopen maandag nog op autojacht geweest. Daar wou men ook een kopie van mijn rijbewijs hebben voor een test rit. Ja dat is dan jammer wat die hebben ze niet gekregen. Na lang discussieren heb ik ze verteld dat ze mijn BSN mochten noteren.
Ik teken toch een verklaring dat ik de auto heb geleend. Dat zou toch voldoende moeten zijn?
Toch denkt men daar nog steeds een kopie van een officieel document nodig te hebben...
Ik teken toch een verklaring dat ik de auto heb geleend. Dat zou toch voldoende moeten zijn?
Toch denkt men daar nog steeds een kopie van een officieel document nodig te hebben...
12-06-2013, 12:52 door
schele
Door S.lenders: Wat een toeval, afgelopen maandag nog op autojacht geweest. Daar wou men ook een kopie van mijn rijbewijs hebben voor een test rit. Ja dat is dan jammer wat die hebben ze niet gekregen. Na lang discussieren heb ik ze verteld dat ze mijn BSN mochten noteren.
Ik teken toch een verklaring dat ik de auto heb geleend. Dat zou toch voldoende moeten zijn?
Toch denkt men daar nog steeds een kopie van een officieel document nodig te hebben...
Ik teken toch een verklaring dat ik de auto heb geleend. Dat zou toch voldoende moeten zijn?
Toch denkt men daar nog steeds een kopie van een officieel document nodig te hebben...
Weet nog niet zo zeker of dat hier ook opgaat: dat ze het na de testrit moeten vernietigen, sowieso, want geen belang om dat nog te bewaren als de auto intact is.
Maar doel is hier meer dan identificatie alleen, als jij er met de testauto vandoor gaat moeten ze ook wel bewijs hebben dat jij het was en dan is noteren van BSN of een ondertekende verklaring (zonder bewijs van identiteit van ondertekenaar) echt niet genoeg.
12-06-2013, 12:55 door
S.lenders
Ik identificeer mij met mijn ID / Rijbewijs.
Ik teken een verklaring met mijn naam, BSN en handtekening
Ga je nu zeggen dat men bij ieder ondertekend contract een kopie nodig hebben van mijn identiteit om te bewijzen dat ik hebt getekend. Ik dacht het niet.
Daarnaast, wat hebben ze er nog aan achteraf als ze het zouden vernietigen?
Wat als ik nu te hard heb gereden? Met jou argument moeten ze dan nog steeds mijn kopie hebben willen ze iets kunnen bewijzen.
Ik teken een verklaring met mijn naam, BSN en handtekening
Ga je nu zeggen dat men bij ieder ondertekend contract een kopie nodig hebben van mijn identiteit om te bewijzen dat ik hebt getekend. Ik dacht het niet.
Daarnaast, wat hebben ze er nog aan achteraf als ze het zouden vernietigen?
Wat als ik nu te hard heb gereden? Met jou argument moeten ze dan nog steeds mijn kopie hebben willen ze iets kunnen bewijzen.
Als een bedrijf een copie wil maken van je paspoort op papier sta dat dan alleen toe als je de copie
meteen mag markeren als copie (schuin erover heen geschreven met de naam van het bedrijf
en de datum erbij).
Als ze een "scan" willen doen weiger dat dan.
Als ze zeggen dat je niet naar binnen mag als je niet accoord gaat met de procedure wijs ze dan
op de aanwijzingen van de rijksoverheid en maak het hun probleem.
(okee meneer dan wordt het onderhoud gewoon niet gedaan)
Dit geldt uiteraard allemaal alleen voor bedrijven waar je bezoeker bent.
Je werkgever moet je wel een copie paspoort geven. Dat is een uitzondering.
meteen mag markeren als copie (schuin erover heen geschreven met de naam van het bedrijf
en de datum erbij).
Als ze een "scan" willen doen weiger dat dan.
Als ze zeggen dat je niet naar binnen mag als je niet accoord gaat met de procedure wijs ze dan
op de aanwijzingen van de rijksoverheid en maak het hun probleem.
(okee meneer dan wordt het onderhoud gewoon niet gedaan)
Dit geldt uiteraard allemaal alleen voor bedrijven waar je bezoeker bent.
Je werkgever moet je wel een copie paspoort geven. Dat is een uitzondering.
12-06-2013, 13:20 door
tarunjj
Dit geeft inderdaad problemen. Aannemers moeten kopieën van identiteitsbewijzen opnemen in hun projectadministratie om aan te tonen dat ze zwartwerk tegen gaan. Dit wordt nogal eens geweigerd onder het mom van privacy. Omdat de aannemer een forse boete kan krijgen (€15.000 en hoger) is de keuze makkelijk: kopie Id of ergens anders gaan werken.
12-06-2013, 13:41 door
Arnoud Engelfriet
@S.lenders: het is juist het BSN dat je eigenlijk nooit mag kopiëren of noteren! Dat nummer mag alléén worden gebruikt als de wet dat expliciet toestaat. Zie http://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/vraag-en-antwoord/welke-organisaties-mogen-mijn-burgerservicenummer-bsn-gebruiken.html
12-06-2013, 13:47 door
musiman
Dezelfde vraag stel ik mijzelf ook bij het afsluiten van een bankrekening bij een andere bank. Dit jaar hebben mijn vrouw en ik bij ING een rekening geopend. De dame heeft ongevraagd onze ID-kaarten gekopieerd. Heeft zij dit eerst moeten vragen? Mag zij dit en is hier een uitzondering voor gemaakt? Had ik mijn BSN nummer af moeten plakken? Had ik mijn foto af moeten plakken?
Zover ik weet is de bank verplicht om dit te doen, maar druist dit nu wel of niet in tegen de WBP?
Zover ik weet is de bank verplicht om dit te doen, maar druist dit nu wel of niet in tegen de WBP?
Of woningverhuurders, makelaar, vastgoedbedrijf. Die vragen er ook om. De tiepmiep aan de balie moet het. Diegene waar het van moet kan je echt niet te spreken krijgen. En ook dan... jij wil wat van hen. Mooi die wet, maar als cbp of minister geen tikken gaat uitdelen verandert er niets. Samen met gemeenten en brancheverenigingen structureel hier aandacht aan geven en vooral handhaven. Aan dat laatste schort het.
Leuk stukje op zbc.nu over de 'misleidende richtsnoer'. Dat zou een verklaring kunnen zijn waarom bedrijven er rustig mee door kunnen gaan.
Leuk stukje op zbc.nu over de 'misleidende richtsnoer'. Dat zou een verklaring kunnen zijn waarom bedrijven er rustig mee door kunnen gaan.
12-06-2013, 14:20 door
schele
Door musiman: Dezelfde vraag stel ik mijzelf ook bij het afsluiten van een bankrekening bij een andere bank. Dit jaar hebben mijn vrouw en ik bij ING een rekening geopend. De dame heeft ongevraagd onze ID-kaarten gekopieerd. Heeft zij dit eerst moeten vragen? Mag zij dit en is hier een uitzondering voor gemaakt? Had ik mijn BSN nummer af moeten plakken? Had ik mijn foto af moeten plakken?
Zover ik weet is de bank verplicht om dit te doen, maar druist dit nu wel of niet in tegen de WBP?
Zover ik weet is de bank verplicht om dit te doen, maar druist dit nu wel of niet in tegen de WBP?
WBP geeft aan dat verzamelen persoonsgegevens mag wanneer dit door een wet verplicht is. In dit geval de AW Rijksbelastingen, dus mag het. Neemt niet weg dat alle andere bepalingen (goed beveiligen, enkel gebruiken voor doel omschreven in de wet, niet doorgeven aan derden zonder toestemming, etc.) nog steeds gelden.
Door musiman: Dezelfde vraag stel ik mijzelf ook bij het afsluiten van een bankrekening bij een andere bank. Dit jaar hebben mijn vrouw en ik bij ING een rekening geopend. De dame heeft ongevraagd onze ID-kaarten gekopieerd. Heeft zij dit eerst moeten vragen? Mag zij dit en is hier een uitzondering voor gemaakt? Had ik mijn BSN nummer af moeten plakken? Had ik mijn foto af moeten plakken?
Zover ik weet is de bank verplicht om dit te doen, maar druist dit nu wel of niet in tegen de WBP?
VZIW is de WBP een zacht eitje in de zin dat zodra er ergens maar in een andere wet staat "doe een kopietje trekken" dat de WBP zegt "okee, dat mag."Zover ik weet is de bank verplicht om dit te doen, maar druist dit nu wel of niet in tegen de WBP?
Er is ergens een regel dat banken een (zwart-wit) kopietje ausweis moeten trekken want SoFi^WBSN opschrijven is banken te moeilijk, dixit belastingdienst. Het is overigens verbazend hoevaak de belastingdienst maar even vanalles verplicht stelt wat dan weer rechtstreeks tegen de geest van privacybescherming ingaat. Dat hele idee leeft daar echt niet. Elders in de overheid ook niet, maar daar helemaal niet.
En verder is er een maatregel die zegt dat er een kleurenkopie paspoort getrokken moet worden, gebeurt door speciale scanners die ook gelijk de echtheid en zo verder moeten controleren. Iets met de VS en "ken uw klant" (lees: politioneer uw klant) druk tegen belastingontduikingsterrorisme, of hoe het deze week heet. Daarvoor is een paar jaar terug iedereen naar de bank gesommeerd om kopietjes te laten trekken. Dat werd ons overigens verkocht als zou dat moeten van de wet persoonsidentificatie, wat dan weer net niet zo was. Beetje veeg teken van banken als vertrouwensinstituten, overigens.
Maargoed. Apropos, zou het wel eens leuk zijn om al die maatregelen tegen het licht te houden en te kijken hoeveel terreur dat nou precies aan het licht gebracht heeft. Vooral staatsterreur waarschijnlijk, maar dat tellen overheden natuurlijk niet mee.
Hier heeft het CBP een mooie site over:
http://www.cbpweb.nl/pages/pb_20120712_gebruik-kopie-identiteitsbewijs.aspx
Heel kort:
Kopie ID bij wet verboden voor aankopen, contracten en lidmaatschappen. (denk vooral aan telecombedrijven, hotels en andere plekken waar je je moet identificeren).
Uitzondering autoverhuurders (wel foto en BSN afschermen)
Bij tonen ID mogen alleen gegevens overgenomen worden welke strikt noodzakelijk zijn: naam en documentnummer maar geen BSN (wie heeft verzonnen dat deze op de voorkant moet?)
Alleen overheid en banken mogen/moeten het wel.
Schrijf ook dwars over de kopie voor wie hij bestemd is.
Bewaar dit op een briefje in je portemonnee of telefoon en je hebt de informatie altijd bij de hand.
http://www.cbpweb.nl/pages/pb_20120712_gebruik-kopie-identiteitsbewijs.aspx
Heel kort:
Kopie ID bij wet verboden voor aankopen, contracten en lidmaatschappen. (denk vooral aan telecombedrijven, hotels en andere plekken waar je je moet identificeren).
Uitzondering autoverhuurders (wel foto en BSN afschermen)
Bij tonen ID mogen alleen gegevens overgenomen worden welke strikt noodzakelijk zijn: naam en documentnummer maar geen BSN (wie heeft verzonnen dat deze op de voorkant moet?)
Alleen overheid en banken mogen/moeten het wel.
Schrijf ook dwars over de kopie voor wie hij bestemd is.
Bewaar dit op een briefje in je portemonnee of telefoon en je hebt de informatie altijd bij de hand.
Dit is wat het CBP erover zegt:
http://www.mijnprivacy.nl/Vraag/Kopie-identiteitsbewijs/Paginas/Kopie-identiteitsbewijs.aspx
een hotel of een mobiele aanbieder mogen wel gegevens overnemen maar geen kopie maken.
ben eigenlijk wel benieuwd wat er gebeurt als je nu bij het afsluiten van een mobiel abo een kopie weigert. Wat doet de aanbieder dan?
http://www.mijnprivacy.nl/Vraag/Kopie-identiteitsbewijs/Paginas/Kopie-identiteitsbewijs.aspx
een hotel of een mobiele aanbieder mogen wel gegevens overnemen maar geen kopie maken.
ben eigenlijk wel benieuwd wat er gebeurt als je nu bij het afsluiten van een mobiel abo een kopie weigert. Wat doet de aanbieder dan?
Om te snelle 'kopieer-akties' te voorkomen kun je je BSN afplakken op paspoort en rijbewijs (meerdere plaatsen).
Op enkele overheidsites is ook meer info te vinden, zoals:
https://www.cbpweb.nl/pages/pb_20120712_gebruik-kopie-identiteitsbewijs.aspx
http://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/vraag-en-antwoord/welke-organisaties-mogen-mijn-burgerservicenummer-bsn-gebruiken.html
Op enkele overheidsites is ook meer info te vinden, zoals:
https://www.cbpweb.nl/pages/pb_20120712_gebruik-kopie-identiteitsbewijs.aspx
http://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/vraag-en-antwoord/welke-organisaties-mogen-mijn-burgerservicenummer-bsn-gebruiken.html
Qua BSN: In een grote gemeente in het Zuiden de lands
gebruiken ze dat ook op de gemeentelijke burgerservicepas, waarmee je met
korting naar het lokale zwemparadijs mag, en je vuilniszak in de stortklep mag gooien.
gebruiken ze dat ook op de gemeentelijke burgerservicepas, waarmee je met
korting naar het lokale zwemparadijs mag, en je vuilniszak in de stortklep mag gooien.
Een copie van een paspoort is op zich zelf niet onderhevig aan de wbp als er teminste geen geautomatiseerd systeem is wat hier op de een of andere manier gewag van maakt (index oid.)
Zie hiervoor de wet
Artikel 2
1. Deze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Zie hiervoor de wet
Artikel 2
1. Deze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Door Anoniem: Om te snelle 'kopieer-akties' te voorkomen kun je je BSN afplakken op paspoort en rijbewijs (meerdere plaatsen).
De overheid heeft daar gedaan wat ze wel handig leek maar het kost de burger nodeloos extra moeite. Puntje verwijtbare nalatigheid. Maargoed, dat vind ik van wel meer dingen des overheids.Door Anoniem: Qua BSN: In een grote gemeente in het Zuiden de lands
gebruiken ze dat ook op de gemeentelijke burgerservicepas, waarmee je met
korting naar het lokale zwemparadijs mag, en je vuilniszak in de stortklep mag gooien.
In principe was een uniek persoonsnummer bruikbaar voor alles wat de overheid met jouw persoon vermag, precies het doel van dat BSN. Dus in principe is dat correct gebruik van het BSN zoals voorzien (na oprekking), iig naar de geest van de wet.gebruiken ze dat ook op de gemeentelijke burgerservicepas, waarmee je met
korting naar het lokale zwemparadijs mag, en je vuilniszak in de stortklep mag gooien.
Dat dit practisch nare gevolgen heeft, werd toen ook al geroepen maar weggewuifd. Nu krijg je dus dit soort geintjes, ja. Dat is geen zuidelijke dommigheid, dat is goed gesnapt hebben waar dat nummer voor bedoeld was. Dat die originele bedoeling dan onzuiver blijkt en niet vrij blijkt van nare bijwerkingen, ach. Bijzaak. Toch?
Door Anoniem: Een copie van een paspoort is op zich zelf niet onderhevig aan de wbp als er teminste geen geautomatiseerd systeem is wat hier op de een of andere manier gewag van maakt (index oid.)
Zie hiervoor de wet
Artikel 2
1. Deze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Een kopietje paspoort samen met een stel anderen in een ordner of een archiefkast plempen valt ook onder de wetstekst zoals je die aanhaalt, dus de redenering erboven wordt hierdoor niet ondersteund. Een scan komt op een "geautomatiseerd systeem" terecht, dunkt me, dus ook daar valt je redenering in duigen. Of je moet willen steggelen wanneer een computer een "geautomatiseerd systeem" in juridische zin is, en wanneer niet. Arnout?Zie hiervoor de wet
Artikel 2
1. Deze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
12-06-2013, 17:13 door
Arnoud Engelfriet
@Anoniem 15:49 Goed punt, pas als het kopietje paspoort een 'bestand' in gaat dan is de Wbp van toepassing.
Maar let wel: ook een analoog bestand kan een 'bestand' zijn, de Wbp geldt ook voor rolodexen en kaartenbakken.
"bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;"
En in het artikel dat je citeert wordt ook verwezen naar "niet-geautomatiseerde verwerking".
De Wbp geldt dus als je een kopietje paspoort in een dossier stopt dat in een doorzoekbare lade zit.
Maar let wel: ook een analoog bestand kan een 'bestand' zijn, de Wbp geldt ook voor rolodexen en kaartenbakken.
"bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;"
En in het artikel dat je citeert wordt ook verwezen naar "niet-geautomatiseerde verwerking".
De Wbp geldt dus als je een kopietje paspoort in een dossier stopt dat in een doorzoekbare lade zit.
12-06-2013, 18:20 door
Arnoud Engelfriet
@Anoniem 17:09: De Wbp werkt heel simpel:
1) is de verwerking elektronisch? Dan geldt de Wbp.
2) is de verwerking niet elektronisch? Dan is de vraag, gaat de verwerking over een bestand? Zo ja,dan geldt de Wbp.
Een visitekaartje krijgen en in je binnenzak stoppen valt buiten de Wbp, want je binnenzak is geen bestand en een visitekaartje is niet elektronisch. Een vcard per mail ontvangen valt wél onder de Wbp want een mail is elektronisch.
1) is de verwerking elektronisch? Dan geldt de Wbp.
2) is de verwerking niet elektronisch? Dan is de vraag, gaat de verwerking over een bestand? Zo ja,dan geldt de Wbp.
Een visitekaartje krijgen en in je binnenzak stoppen valt buiten de Wbp, want je binnenzak is geen bestand en een visitekaartje is niet elektronisch. Een vcard per mail ontvangen valt wél onder de Wbp want een mail is elektronisch.
12-06-2013, 20:09 door
schele
Op het moment dat je kopietjes van paspoorten op naam gaat leggen, heb je dus al een geordend bestand. Dus dat is al echt snel.
Goed artikel. Wel zou ik iedereen adviseren die een kopie van een paspoort moet afstaan voor een legitieme doelstelling, om met een stift op de kopie te zetten waar de kopie voor bedoeld is, zodat het lastig wordt om de kopie voor andere doeleinden te misbruiken (schrijf door de kopie heen, en niet ernaast, zodat het ook niet weggeknipt kan worden).
Je valt alleen onder de WBP als de index van die kopietjes digitaal is (electronisch). Heb je alleen een order met tabbladen dan geldt de WBP niet.
Overigens blijft het mij verbazen dat je ik weet niet waar allemaal je BSN af moet geven en men kopieen van je ID trekt waar ook weer overal je BSN op schijnt te moeten staan (he, wie heeft bepaald dat dat op je paspoort en rijbewijs moet worden afgedrukt? Ik niet), dat alle correspondentie met diverse overheidsinstanties je BSN bevat (aanslagnummer Belastingdienst) en die post komt gewoon onbeschermd binnen, maar toch vindt diezelfde overheid dat jouw BSN uniek van jou is en dat je daar heel zorgvuldig mee om moet gaan als was het je PIN-code?!
Als je in het KvK register staat dan zijn al je gegevens toch voor iedereen op te vragen?
Dan kun je toch moeilijk hard maken dat als met iemands BSN iets illegaals is gedaan (pandje huren voor wietkwekerij of zo) het DUS wel die persoon zelf geweest moet zijn?
Overigens blijft het mij verbazen dat je ik weet niet waar allemaal je BSN af moet geven en men kopieen van je ID trekt waar ook weer overal je BSN op schijnt te moeten staan (he, wie heeft bepaald dat dat op je paspoort en rijbewijs moet worden afgedrukt? Ik niet), dat alle correspondentie met diverse overheidsinstanties je BSN bevat (aanslagnummer Belastingdienst) en die post komt gewoon onbeschermd binnen, maar toch vindt diezelfde overheid dat jouw BSN uniek van jou is en dat je daar heel zorgvuldig mee om moet gaan als was het je PIN-code?!
Als je in het KvK register staat dan zijn al je gegevens toch voor iedereen op te vragen?
Dan kun je toch moeilijk hard maken dat als met iemands BSN iets illegaals is gedaan (pandje huren voor wietkwekerij of zo) het DUS wel die persoon zelf geweest moet zijn?
Als bij ons een klant een auto meeneemt voor een proefrit, en deze auto komt niet terug, krijgen we in principe geen verzekeringsuitkering, tenzij we een kopie legitimatie kunnen overhandigen (en een proefritformulier met naw-gegevens). Bij auto's boven een bepaalde waarde moeten we zelfs het rijbewijs én een id kunnen overleggen.
En die kopie ID wordt nadrukkelijk genoemd in de voorwaarden, dus met alleen overnemen van gegevens zijn we niet gedekt.
En die kopie ID wordt nadrukkelijk genoemd in de voorwaarden, dus met alleen overnemen van gegevens zijn we niet gedekt.
Door Anoniem: En die kopie ID wordt nadrukkelijk genoemd in de voorwaarden, dus met alleen overnemen van gegevens zijn we niet gedekt.
Dat wil niet zeggen dat die voorwaarden daarmee niet de WBP overtreden. Zo te horen doen ze dat wél.Nu is het wellicht interessant het CBP te tippen, maar eigenlijk zet dat geen zoden aan de dijk, want wat mij betreft is dit een faalactie van de overheid.
De overheid heeft verplicht (altijd makkelijk, dat verplichten) dat iedereen altijd een ausweis mee moet zeulen. Vervolgens zeggen veel bedrijven, "hee, je hebt dat ding tóch bij je, doe maar even een kopietje dan", en geef ze eens ongelijk, want het is ontegenzeggelijk handig (voor hen, maar niet goed voor jou), en vreselijk makkelijk. Alleen mag dat dus niet omdat de overheid er een nummertje op gezet heeft wat niet zomaar gekopieerd mag worden door niet-overheden.
Met andere woorden, met simpelweg zeggen "mag niet, heur!" ben je er niet, zeker niet als het zo makkelijk is dat iedereen het lekker toch doet. Dit moet beter, bijvoorbeeld door kaartjes uit te geven die wel gekopieerd mogen worden, of gewoon die hele verplichting kaartjes mee te zeulen te laten vallen, want ook de po-li-tie en de rest van de overheid wordt er overduidelijk wel erg gemakszuchtig van.
Het is dan ook de taak van de overheid het zo te regelen dat het beter wordt. En onze taak dit tegen onze volksvertegenwoordigers te zeggen: Overheid, ga eens wat nuttigs doen.
13-06-2013, 15:31 door
Arnoud Engelfriet
@Anoniem 11:01: Sorry, een niet-elektronisch bestand valt wel degelijk onder de Wbp. Een order met tabjes is een 'bestand', zie definitie hierboven. Er is geen eis in de Wbp dat er enige band met elektronisch moet zijn.
Artikel 2
1. Deze wet is van toepassing op ... de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Artikel 2
1. Deze wet is van toepassing op ... de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Door Arnoud Engelfriet: @S.lenders: het is juist het BSN dat je eigenlijk nooit mag kopiëren of noteren! Dat nummer mag alléén worden gebruikt als de wet dat expliciet toestaat. Zie http://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/vraag-en-antwoord/welke-organisaties-mogen-mijn-burgerservicenummer-bsn-gebruiken.html
Hier zou je eens een artikel over kunnen schrijven misschien, volgens mij is er bijna niemand die dat weet. Ik nu wel in ieder geval, en bij deze bedank ik je hartelijk voor die informatie.Door Anoniem: Als bij ons een klant een auto meeneemt voor een proefrit, en deze auto komt niet terug, krijgen we in principe geen verzekeringsuitkering, tenzij we een kopie legitimatie kunnen overhandigen (en een proefritformulier met naw-gegevens). Bij auto's boven een bepaalde waarde moeten we zelfs het rijbewijs én een id kunnen overleggen.
En die kopie ID wordt nadrukkelijk genoemd in de voorwaarden, dus met alleen overnemen van gegevens zijn we niet gedekt.
Dan moet je kunnen volstaan met een copie op papier, deze bewaren tot de klant terug komt van de proefrit,En die kopie ID wordt nadrukkelijk genoemd in de voorwaarden, dus met alleen overnemen van gegevens zijn we niet gedekt.
en dan deze in het bijzijn van de klant vernietigen of met de klant meegeven.
Het is niet nodig om een permanent bestand van deze copieen aan te leggen, bijvoorbeeld door de ID te scannen
of door de papieren copieen permanent te bewaren.
Helaas wordt er onder het mom van "we moeten dat wel want" vaak veel te veel gedaan. Kijk waarom het moet en
wat er dan nodig is.
Wat er natuurlijk eigenlijk nodig is, is dat je in dit soort situaties zou kunnen beschikken over een reader die uit de
chip in een paspoort een vercijferde unieke ID kan opslaan.
Als er dan problemen komen, en alleen in dat geval, kun je met die vercijferde ID naar de politie gaan die deze bij
de opsporing kan gebruiken om weer achter de identiteit van de houder van het paspoort te komen.
Om dat mogelijk te maken zou de chip een combinatie van een random getal en het BSN e.d. moeten vercijferen met
een publieke key waarvan alleen de opsporingsinstanties de secret key hebben en het geheel kunnen ontcijferen
en weer het BSN (en evt dingen zoals geldigheidsdatum en paspoortnummer) te voorschijn te halen, zonder dat
iemand een bestand kan aanleggen van "vercijferde BSN nummers die hij al eens eerder gezien heeft".
(het idee is dan dat het random nummer steeds anders is en de vercijfering zodanig werkt dat dan het hele blok
anders wordt, zodat hetzelfde paspoort steeds een andere vercijferde ID geeft die wel allemaal naar hetzelfde
paspoort te herleiden zijn, maar niet door ze onderling te vergelijken)
Of de chip in het paspoort dit soort dingen al kan weet ik niet.
Door Anoniem: Wat er natuurlijk eigenlijk nodig is, is dat je in dit soort situaties zou kunnen beschikken over een reader die uit de
chip in een paspoort een vercijferde unieke ID kan opslaan.
Als er dan problemen komen, en alleen in dat geval, kun je met die vercijferde ID naar de politie gaan die deze bij
de opsporing kan gebruiken om weer achter de identiteit van de houder van het paspoort te komen.
Dit is een prima idee. Ik ben erg blij om dit geopperd te zien. Echt waar. Er zijn nog wat details die je er aan kan toevoegen om dat hele chip idee veel breder nuttig te maken, en dat zou ook een goed idee zijn. Maar daar hebben we het later wel over. Eerst een practisch probleempje.chip in een paspoort een vercijferde unieke ID kan opslaan.
Als er dan problemen komen, en alleen in dat geval, kun je met die vercijferde ID naar de politie gaan die deze bij
de opsporing kan gebruiken om weer achter de identiteit van de houder van het paspoort te komen.
Er zitten aan dit idee maar paar kleine haakjes: De overheid en ICT, waar ze zo weinig van bakken dat het ondertussen expres lijkt te zijn, en oh ja, de po-li-tie waar je langs kan komen met nog zoveel bewijs in je hand, maar ze zullen er he-le-maal niets mee aanvangen. Want dat is te moeilijk of het lijk ze teveel op werk, of weetikhet. Van beide problemen zijn voorbeelden te over te vinden in het nieuws. En dan is er nog de polletiek, waarmee in vergelijking de ambtenarij redelijk effectief en kundig gaat lijken.
Met andere woorden, een prima suggestie als technologie het enige probleem zou zijn. Maar dat is het niet. En dat is een probleem want je kan geen technologie een organisatie inschuiven en dat het dan simpelweg werkt. Je hebt draagvlak nodig, mensen die snappen dat de nieuwe werkwijze een beter idee is en dat ze daar dan mee leren omgaan en dat ze dan inderdaad meer voorelkaar krijgen met minder moeite enzo. Doe je dat niet, dan flopt het geheel. Dus het niet-technische gedeelte moet éérst opgelost, helaas.
En zelfs dat niet-technische gedeelte, dat mensenwerk, krijgt de polletiek niet voorelkaar. Wat toch wel ironisch is want heel de polletiek is bij uitstek mensenwerk.
Bij het huren of bij een testrit van een auto wil men de kopie van je id-bewijs.
Dit doen ze omdat wanneer je een proefrit maakt en een verkeersboete krijgt (achteraf) zij jou aansprakelijk kunnen stellen.
En ondertussen hebben ze een kast vol met kopietjes waar de schoonmaak, stagair of een inbreker zijn slag kan slaan ...
Wat te denken van een faillissement ? een onderschat beveiligingsrisico.
Dit doen ze omdat wanneer je een proefrit maakt en een verkeersboete krijgt (achteraf) zij jou aansprakelijk kunnen stellen.
En ondertussen hebben ze een kast vol met kopietjes waar de schoonmaak, stagair of een inbreker zijn slag kan slaan ...
Wat te denken van een faillissement ? een onderschat beveiligingsrisico.
Tja, ik was juni 2013 een dagje op excursie naar Marokko. Passen werden in een plastic zak ingezameld in de bus door onze gids. (Geen prettig gevoel). Grens over, vervolgens de wandeltocht gehad. Zonder reispapieren!
Dit druist tegen mijn gevoel voor privacy in. Je wordt daar echter gedwongen. En je geeft er aan toe. Vreemd hè?
Hilbert
Dit druist tegen mijn gevoel voor privacy in. Je wordt daar echter gedwongen. En je geeft er aan toe. Vreemd hè?
Hilbert
Je kunt geen kopie laten maken van je paspoort, want dat heb je niet: het paspoort is (en blijft) namelijk eigendom van de Nederlandse staat. Je heb alleen de plicht om er goed voor te zorgen. Het maken van een kopie verandert zeer waarschijnlijk niets aan de toestand van je paspoort, dus ben je gewoon gedekt.
Hallo Engelfried,
Dank voor artikel. Het verduidelijkt al veel. Aanvullend heb ik een vraag.
Stel de volgende situatie voor: je hebt een contract met een leverancier voor een resultaatverplichting, in casu catering of onderhoud aan de gebouwinstallaties. De medewerker(s) van deze leverancier zijn niet bij jou in dienst, maar werken wel binnen jouw werkomgeving. Zelfstandig en zonder toezicht (anders is niet efficiënt). Wat mag dan wél: mag je dan wel een kopie van het ID-bewijs maken? Immers, in geval van malafide activiteiten wil je zeker weten wie er bij je binnen was.
Vast bedankt voor het antwoord.
Dank voor artikel. Het verduidelijkt al veel. Aanvullend heb ik een vraag.
Stel de volgende situatie voor: je hebt een contract met een leverancier voor een resultaatverplichting, in casu catering of onderhoud aan de gebouwinstallaties. De medewerker(s) van deze leverancier zijn niet bij jou in dienst, maar werken wel binnen jouw werkomgeving. Zelfstandig en zonder toezicht (anders is niet efficiënt). Wat mag dan wél: mag je dan wel een kopie van het ID-bewijs maken? Immers, in geval van malafide activiteiten wil je zeker weten wie er bij je binnen was.
Vast bedankt voor het antwoord.
Door Anoniem: [...] Wat mag dan wél: mag je dan wel een kopie van het ID-bewijs maken? Immers, in geval van malafide activiteiten wil je zeker weten wie er bij je binnen was.
Let er even op dat een kopie ausweis wél makkelijk maar níet strikt noodzakelijk is. Iemand zo'n kaart laten tonen, kijken of de foto klopt, naam en ausweisnummer opschrijven (NIET het BSN) zou ook volstaan.Dat kopie is dus pure gemakszucht. En het ís (veel te) makkelijk om even een kopietje te trekken. Je kan er nog mee wegkomen door het BSN onleesbaar te maken op het kopie. Maar het is schijnveiligheid, want dan nog weet je niet of die persoon wel voor je aannemer werkt.
Je kan natuurlijk ook afspreken dat die "vreemde" werknemers een pasje van de werkgever tonen. Of je geeft zelf pasjes uit, eventueel zelfs met foto, nadat je de eerste keer geverifieërd hebt dat die-en-die inderdaad voor je aannemer werkt. Iets waarmee hun baas instaat voor hun werknemerschap. Dan heb je ook gelijk een aanspreekpunt mocht er iets aan de hand zijn. Kun je contractueel regelen, eventueel inclusief aansprakelijkheid.
Maar je moet even nadenken over wat je nou precies weten wil. Het kan namelijk best zijn dat je meer geholpen bent met een registratie, eventueel zelfs van papier(!), wie wanneer naarbinnen wandelt, zonder kopietjes paspoort, dan met een stapel kopietjes paspoort met WBP-problematiek zonder in- en uitlooplogboek.
Dat nadenken over wat je nodig hebt, wat je weten wil, is veel belangrijker dan gemakszuchtig maar even snel kopietjes trekken en dan uiteindelijk een stapel problemen creëren zonder dat het je echt verder helpt.
Mis/gebruik van copietjepaspoort en BSN is algemeen bekend, wijdverbreid en inmiddels de normaalste zaak van de wereld. Zelfs het - op eigen kosten - aanleveren van een VOG is al schering en inslag. Een BKR-toetsing vinden sommigen ook al handig.
Bijv. Rabobank eist al een digitaal copietjepaspoort als je een cv opstuurt.
Niet meesturen of indien gegevens onleesbaar gemaakt zijn (BSN bijvoorbeeld, cf. CBP-richtsnoer) kom je al niet eens door de voorselectie. Iedereen doet maar mee want uiteindelijk moet er toch brood op de plank.
Bij een beetje vacature staan daar dus een paar honderd copietjespaspoort in het systeem.
Goudmijntje voor hackers.
Instanties die zich daarom zouden moeten bekommeren doen er weinig of niets mee.
Toch wel een teken aan de wand dat deze discussie (op diverse plaatsen) om de zoveel tijd opnieuw voorbij komt.
Misschien moet de discussie toch eens verplaatst worden van 'wat het het probleem' naar 'wat is de oplossing'.
Bijv. Rabobank eist al een digitaal copietjepaspoort als je een cv opstuurt.
Niet meesturen of indien gegevens onleesbaar gemaakt zijn (BSN bijvoorbeeld, cf. CBP-richtsnoer) kom je al niet eens door de voorselectie. Iedereen doet maar mee want uiteindelijk moet er toch brood op de plank.
Bij een beetje vacature staan daar dus een paar honderd copietjespaspoort in het systeem.
Goudmijntje voor hackers.
Instanties die zich daarom zouden moeten bekommeren doen er weinig of niets mee.
Toch wel een teken aan de wand dat deze discussie (op diverse plaatsen) om de zoveel tijd opnieuw voorbij komt.
Misschien moet de discussie toch eens verplaatst worden van 'wat het het probleem' naar 'wat is de oplossing'.
22-06-2013, 12:40 door
PJW9779
Mis/gebruik van copietjepaspoort en BSN is algemeen bekend, wijdverbreid en inmiddels de normaalste zaak van de wereld. Zelfs het - op eigen kosten - aanleveren van een VOG is al schering en inslag. Een BKR-toetsing vinden sommigen ook al handig.
Bijv. Rabobank eist al een digitaal copietjepaspoort als je een cv opstuurt.
Niet meesturen of indien gegevens onleesbaar gemaakt zijn (BSN bijvoorbeeld, cf. CBP-richtsnoer) kom je al niet eens door de voorselectie. Iedereen doet maar mee want uiteindelijk moet er toch brood op de plank.
Bij een beetje vacature staan daar dus een paar honderd copietjespaspoort in het systeem.
Goudmijntje voor hackers.
Instanties die zich daarom zouden moeten bekommeren doen er weinig of niets mee.
Toch wel een teken aan de wand dat deze discussie (op diverse plaatsen) om de zoveel tijd opnieuw voorbij komt.
Misschien moet de discussie toch eens verplaatst worden van 'wat het het probleem' naar 'wat is de oplossing'.
Bijv. Rabobank eist al een digitaal copietjepaspoort als je een cv opstuurt.
Niet meesturen of indien gegevens onleesbaar gemaakt zijn (BSN bijvoorbeeld, cf. CBP-richtsnoer) kom je al niet eens door de voorselectie. Iedereen doet maar mee want uiteindelijk moet er toch brood op de plank.
Bij een beetje vacature staan daar dus een paar honderd copietjespaspoort in het systeem.
Goudmijntje voor hackers.
Instanties die zich daarom zouden moeten bekommeren doen er weinig of niets mee.
Toch wel een teken aan de wand dat deze discussie (op diverse plaatsen) om de zoveel tijd opnieuw voorbij komt.
Misschien moet de discussie toch eens verplaatst worden van 'wat het het probleem' naar 'wat is de oplossing'.
mag mijn werkgever een kopie van mijn ID pas met de factuur meesturen naar de klant ?
Ik ben op zoek naar een nieuwe huurwoning. De verhuurder ( makelaar) eist een kopie van het identiteitsbewijs.
Ze zeggen dat dit noodzakelijk is om de potentiële huurder te screenen.
Wanneer ik geen kopie van het identiteitsbewijs afgeef kom ik niet in aanmerking voor een optie cq een huurwoning.
Is dit wettelijk toegestaan?
Ze zeggen dat dit noodzakelijk is om de potentiële huurder te screenen.
Wanneer ik geen kopie van het identiteitsbewijs afgeef kom ik niet in aanmerking voor een optie cq een huurwoning.
Is dit wettelijk toegestaan?
Hoe zit het als je door je werkgever (waar je in loondienst bent), aan het werk gezet wordt bij een klant: mag die klant een BSN opslaan? Het gaat niet om detachering of verhuur van personeel. De werkgever heeft een project gekregen van de klant, en gebruikt eigen mensen om het project uit te voeren.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
