Waarom moet ik elke keer een kopietje paspoort opsturen als ik onder de AVG wat vraag?

23/05
Een lezer vroeg me:

Met enige regelmaat vraag ik bij organisaties een kopie van mijn persoonsgegevens op, zodat ik fouten kan laten herstellen of oude gegevens kan laten wissen. Dat kost al moeite genoeg, maar ik word er echt ontzettend moe van dat ik elke keer een kopietje paspoort moet opsturen. Ook als ze heus al wel weten wie ik ben, laatst zelfs nog was de procedure dat ik online moest inloggen (op “Uw Mijn xyz”, excuses aan de taalkundigen…) en daarna via het portaal mijn ID-bewijs moest uploaden. Kunnen ze dat echt van me eisen?

Nee, dat kunnen ze niet. Maar de praktijk is hier weer eens weerbarstiger dan de theorie.

Onder de AVG heb je diverse rechten, zoals inderdaad het recht op inzage en kopie van je persoonsgegevens (artikel 15). Die kopie kun je bijvoorbeeld gebruiken om fouten in je persoonsgegevens te spotten en die laten corrigeren, of om verouderde gegevens op te sporen en te laten verwijderen.

Praktisch punt bij die rechten uitoefenen is dat de verantwoordelijke natuurlijk wel moet nagaan dat jij het bent die het verzoek indient. Een dossier naar de verkeerde vrager sturen is een datalek, en dat moet je als bedrijf natuurlijk voorkomen. Dus een verificatie van de identiteit daar ontkom je niet aan.

Veel organisaties grijpen dan lui en makkelijk naar het kopietje identiteitsbewijs. Naast dat dit lang niet altijd zinnig is (ik kan een kopie paspoort van een ander opsturen, immers) mag het ook helemaal niet van de AVG. Artikel 12 maakt duidelijk dat je geen extra gegevens mag vragen alvorens een verzoek te honoreren. Je moet dus als verantwoordelijke nagedacht hebben hoe je betrokkenen herkent.

Specifiek bij online portalen is de AVG nog duidelijker. Overweging 57 zegt

(57) Indien een verwerkingsverantwoordelijke aan de hand van de door hem verwerkte persoonsgegevens geen natuurlijke persoon kan identificeren, mag hij niet worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende gegevens te verkrijgen ter identificatie van de betrokkene. De verwerkingsverantwoordelijke mag evenwel niet weigeren de door de betrokkene tot staving van de uitoefening van zijn rechten verstrekte aanvullende gegevens aan te nemen. De identiteit van de betrokkene dient ook digitaal te worden vastgesteld, bijvoorbeeld aan de hand van dezelfde persoonlijke beveiligingsgegevens, die door de betrokkene worden gebruikt voor het aanmelden op de door de verwerker van de gegevens aangeboden onlinedienst.

In gewone taal: als iemand ingelogd is, dan weet je dat hij het is en dan mag je geen extra identificatie van hem vragen. Dat lijkt me ook logisch, als ik ingelogd ben op Uw Mijn Online punt ennel (waar ik dan vervolgens met jij en jou wordt aangesproken, behalve in de foutmeldingen, argh) dan bén ik die klant. En als je zegt, iedereen kan inloggen op jouw account, dan erken je dus dat je beveiliging niet op orde is. En dan moet je dat oplossen in plaats van lapmiddelen zoals kopietjes paspoort gaan eisen.

Arnoud

Het bericht Waarom moet ik elke keer een kopietje paspoort opsturen als ik onder de AVG wat vraag? verscheen eerst op Ius Mentis.

Datum: donderdag 23 mei 2019, 08:17
Bron: Iusmentis Blog
Categorie: Internet en ICT

Gerelateerde berichten:

Reacties:

Er zijn nog geen reacties op dit bericht.


Website by Web Chemistry