Volgens mij mag iedereen wel jaarlijks een nieuw paspoort, rijbewijs of identiteitskaart en BSN nummer krijgen want de lekken zijn overal (en vooral niet te zien).

Ok, personeelsadministratie uitbesteden, dat kan natuurlijk. Maar ICT bedrijfje toch: how about je beveiliging en encryptie van de data van je klanten?
Klein beetje off topic; hoezo besteed de provincie dit uit, snap dat het geen kerntaak is en misschien efficiënter en goedkoper dan zelf doen; maar je bent met 12; moet ledere provincie hier zelf zorg voor dragen? Werk samen, dan kun je ook met die schaalvoordelen je data robuust en adequaat beveiligen.
Wel juiste stappen nadien gezet.

Raar als een kopietje paspport het bewijs van echtheid is dan zijn kopietjes van een geldbiljet ook echt geld.
Het duidt op het echten probleem dat een gedegen controle op de juiste persoon niet als voorwaarde gezien wordt.
Dat zal nog flink wat privacy problemen veroorzaakt door privacyvoorvechters geven.

Je kunt dan mensen flink geld geven om ze op te hemelen voor privacy het is het resultaat wat echt telt.

Als het kalf verdronken is, dempt men de put. En nu eens beginnen na te denken over echte oplossingen,
moeten wij wel alles op een server zetten die toegankelijk is via internet. Het is algemeen bekent dat het
een kwestie van tijd is voor alle gegevens van ons allemaal op straat liggen.

En dan waarom alles regelen via internet, het is toch absurd dat je alles via internet moet regelen.

Het wordt tijd dat gedupeerde hier schadevergoeding over hoort te krijgen, en dat mogen fikse bedragen zijn,
ook al betekent het gevolg een faillissement van een bedrijf.

Ik vraag me trouwens af of hier ook gegevens van burgers bij zijn.

Als het gaat om identiteitsfraude doordat kopietjes van identiteitsdocumenten zijn uitgelekt, waarom werden deze documenten dan niet direct van een watermerk voorzien voor ze werden opgeslagen?

Uit wat ik schreef op 30 augustus in https://security.nl/posting/718423:

Waar blijft de richtlijn van de Autoriteit Persoonsgegevens dat dit not done is, plus stevige boetes voor partijen die niet (willen) snappen wat dataminimalisatie inhoudt?

Werkgevers vinden dat niet handig, maar zijn het wettelijk verplicht. En een kopie rijbewijs is ook niet toegestaan.

Ons bedrijf met minder dan 10 medewerkers is daarvoor ook al eens op de vingers getikt bij een controle van de loonadministratie. Wij kennen elkaar zo persoonlijk dat dit onzin leek, maar zelfs de kopieën rijbewijs werden afgekeurd omdat daar geen nationaliteit op staat.

Als je als groot bedrijf alles papierloos ingericht hebt, is het heel omslachtig er ook nog een papieren administratie op na te houden voor een papieren versie van dit kopietje paspoort. Ik kan me zelfs voorstellen dat de wet eist dat alles bij elkaar bewaard wordt vanwege een efficiënte controle mogelijkheid.
In ons geval gaven we bij de controle b.v. aan dat de personeelsleden zelfs de originele papieren bij zich hadden. Dat accepteerde de controleur ook niet.

De wet eist dat deze kopieën aanwezig zijn, dus het AP kan bedrijven daar nooit op beboeten.

We moeten gewoon stoppen met het gebruik van paspoorten voor identificatie anders dan aan de grens of anderszins fysiek. Bij banken zou je gewoon moeten kunnen indentificeren via iets als IRMA. Dan is die gekte met selfies waar je moet glimlachen ook niet meer nodig.

Je lult uit je nek als je stelt dat werkgevers verplicht zouden zijn om een kopie van het identiteitsbewijs van elk van hun personeelsleden in de cloud te bewaren - "zodat elk personeelslid daar dan zelf bij kan" of om welke andere onzinnige reden dan ook.

Bizar dat je het essentiële deel van mijn bijdrage hierover weglaat in jouw quote:

Een nog grotere overheid bedoel je? Je weet al hoe complex IT bij een overheid is? En dan alles nog samen voegen?Cool..... in een kluis zonder enige controle. Misschien niet de beste methode?
Kluizen worden gestolen. Controle is complex en lastig. Ik zou denken niet AVG compliant.

Overigens vind ik het opmerkelijk en onverstandig als de arbeidsinspectie, de belastingdienst en de politie het accepteren dat digitale kopiën van identiteitsbewijzen van personeel uitsluitend in (klaarblijkelijk niet altijd voldoende beveiligde) cloudopslag worden bewaard. Dat zou fraude daarmee wel eens eenvoudiger kunnen maken dan wanneer die kopiën door de werkgever in een kluis worden bewaard; naast dat confidentialiteit in het belang is van de werknemers, zijn integriteit en beschikbaarheid immers in het belang van opsporingsdiensten.

Denkbaar is namelijk dat een werkgever m.b.v. "sjoemelsoftware" andere kopiën kan tonen afhankelijk van wie daarom vraagt, of dat t.g.v. configuratiefouten medewerkers hun "kopietje-paspoort" door een gemanipuleerd exemplaar kunnen vervangen.

Een paspoort heeft echtheidskenmerken een kopietje niet.
Probeer het eens met kopietje van een bankbiljet.

Een smartphone is geen bewijs van de juiste persoon. Daat gaat irma volledig de mist in.
Een hoogleraar aan veel geld helpen omdat hij anders lastig is lijkt me geen beste combinatie. Een klokkelnuider zou er mee in een nare situatie kunnen komen.

Jammer maar de wettelijke verplichting dat een werkgever een kopie paspoort moeten van al hun werknemers is wel degelijk waar.
https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf Daar zijn meerdere goede redenen voor.
Een ervan is controle op uitbuiting van werknemers en illegsliteit.

Ik had een éénmanszaak. Met een webshop. De overheid verplicht mij een BTW-nummer te hebben. En dit makkelijk vindbaar op de website te vermelden. Net als het bedrijfsadres. En bij gebrek aan een fysieke winkel MOET dat dan je privéadres zijn. En nu komt het: het BTW-nummer in geval van een eenmanszaak is het sifinummer of BSN-nummer van de eigenaar.

Maar ik krijg van de fiscus een nieuw BTW- nummer dat nu niet herleidbaar is. Maar ik kreeg geen nieuw BSN-nummer, wat doe regels van de overheid op internet vermeld MOEST worden.

Had lekker mijn BTW-nummer zo gelaten en mij een nieuw BSN-nummer gegeven. Makkelijker, want ik hoef dan mijn leveranciers niets uit te leggen. Veiliger, want ik heb dan meteen een nieuw BSN-nummer wat niet bekend is op internet.

Vergoeden ze die paspoorten dan ook (ook aan de slachtoffers van GGD lek?) inclusief een nieuw BSN nummer?

Je mag altijd een nieuw paspoort aanvragen. Ook zonder het initiatief van provincie Gelderland.

Jij drukt (net als Briolet) op "Reageer met quote", verwijdert (net als Briolet) het stuk tekst waarin ik schrijf dat werkgevers kopiën van identiteitsbewijzen IN EEN KLUIS i.p.v. in de cloud zouden moeten bewaren, en stelt vervolgens (net als Briolet) dat ik niet snap dat werkgevers kopiën van identiteitsbewijzen moeten bewaren?!?

Wat is dit voor een kinderachtig gedoe?

Ik zie het nut van een nieuw paspoort niet in.
De data die gestolen is ach deze blijft bestaan in een ander officieel document.
Als het BSN niet gewijzigd wordt (geloof dat dit niet mogelijk is van wegen een koppeling met pensioenen)

Dan is het ook nog het feit dat er bedrijven (ook in Nederland) deze gestolen data verzamel in hun database voor bepaalde doeleinden en hier een verdienmodel op gebouwd hebben.

Dat is in de beveiligingswereld geen wet van Meden en Perzen. En ik kan er over meepraten, aangezien ik 14 jaar in die beveiligingswereld heb gezeten.

Als iemand een kleine gecertificeerde kluis laat aanleggen en op de juiste wijze laat verankeren door een specialist van het kluizenbedrijf bijvoorbeeld, dan wordt het een heel ander verhaal. Maar omdat fysieke beveiliging niet voldoende is, moet er ook (zeker voor bedrijven) een goed alarmsysteem zijn die ook wordt onderhouden en gecomplementeerd wordt met de juiste alarmopvolging. Dan is het nog maar de vraag of deze kluis met succes wordt gestolen.

Wat vaak wél gebeurt is dat er goedkope speelgoed-kluisjes (dus zonder enige certificering) worden gekocht in de bouwmarkt die je in mum van tijd open krijgt. Het zijn juist deze kluisjes die gestolen worden, omdat deze kluisjes niet op de juiste wijze zijn verankerd, maar door amateurs in een achter-namiddag zijn 'vastgemaakt'. Het zijn ook deze kluisjes die niet te verzekeren zijn. Wordt het ding gestolen, dan is in zo'n geval alle schade gegarandeerd voor de benadeelde partij. Goedkoop is in de beveiligingswereld zeker ook duurkoop.

Dan komt dit in je post kennelijk zo tot uiting.
Wat behoorlijk kinderachtig is, dat is de hele aandacht om kopieen van een paspoort.
Leg maar eens uit wat voor waarde een kopietje van iets zou horen te hebben.

Als het zo eenvoudig is om het voor een origineel aan te zien dat gaan de controle op echtheid behoorlijk fout.
Schieten we door dat anonimiteit een recht is om geen verantwoordelijkheid te hebben dan snap je de achtergrond waarom je je met beveiliging en vastlegging / archivering moet bezighouden niet.