Hoe kun je complexe vraagstukken als privacy en informatiebeveiliging populariseren en toegankelijk maken voor een breed publiek? Bijvoorbeeld door er een landelijke campagne aan te wijden. Dit doet de Autoriteit Persoonsgegevens, een jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG). In deze serie blogs schrijf ik over het populariseren van mijn vakgebied, vandaag de tweede editie over hoe om te gaan met de beruchte kopie van het paspoort.
“Hoe weet ik zeker dat een klant is wie hij zegt dat hij is?” spreekt een vrouwenstem in het radiospotje van de Autoriteit Persoonsgegevens. Wanneer je als organisatie een verzoek krijgt van een klant om bijvoorbeeld in te zien welke persoonsgegevens je over hem of haar hebt, moet je een aantal stappen doorlopen.
De eerste stap is de identiteitscheck. Je voorkomt hiermee dat de verkeerde persoon toegang krijgt tot de gegevens. Maar stel de identiteit liever niet vast door middel van een kopie identiteitsbewijs. Tenminste, niet als je serieus geeft om de privacy van klanten. Het risico is namelijk dat je in plaats van minder, juist meer persoonsgegevens verzamelt over de klant. Dat deze kopieën een rustplaats vinden op een vergeten berg van persoonsgegevens in jouw bedrijf.
Gelukkig neemt het vanzelfsprekend maken van (onbeveiligde) kopieën van deze identiteitsdocumenten sinds de AVG aanzienlijk af. Voorheen moest ik op vakantie bij elk hostel mijn ID afgeven. Om een kopie van te maken, of zelfs als onderpand in bewaring te geven. Ook websites om een vakantie te boeken, zoals Airbnb, maakten tot voor kort gebruik van BSN-nummers. Inmiddels vraagt Airbnb je om deze zelf af te plakken.
De e-mailbox is daarnaast vaak een bron van kopieën van identiteitsdocumenten, zoals rijbewijzen, paspoorten en ID-kaarten. Meestal van voor het tijdperk van apps om beveiligde kopieën te maken, zoals ‘KopieID’ van de Nederlandse overheid. Een zoekopdracht met ‘ID’, in een willekeurige mailbox, is dan ook een goudmijn voor identiteitsfraudeurs. Dit komt door laksheid, maar ook uit angst om iets weg te gooien dat later nog belangrijk kan zijn. Op dit omvangrijke thema van ‘de e-mailbox’ kom ik in een andere blog terug.
De autoriteit geeft een aantal alternatieven voor de identiteitscheck. Bijvoorbeeld door de klant te laten inloggen in een bestaand inlogsysteem, waar degene al een account heeft. Of door een vorm van tweefactorauthenticatie, zoals een bevestiging per sms of het telefonisch beantwoorden van extra vragen.
Voor het inzien van ‘bijzondere persoonsgegevens’, zoals medische gegevens of informatie over religie of seksuele geaardheid, is een zwaarder middel dan een accountcheck nodig. Je kunt bijvoorbeeld een extra check doen door iemand zelf te laten langskomen met een identiteitsbewijs en deze te tonen. Zonder een kopie te maken. Maar dit mag niet opgeworpen worden als drempel voor inzageverzoeken. Er moeten alternatieven zijn, die minder tijdsinvestering vragen. Zoals via een check door middel van IDEAL, bijvoorbeeld via iDIN. In de retailsector zien we hiervan al de eerste veelbelovende resultaten bij de aanschaf van nieuwe producten.
Het is kortom belangrijk om goede beveiliging te garanderen van de gegevens. Zowel de gegevens die je wilt inzien als de data die nodig zijn voor de identiteitscheck. Zo laat je zien dat je ook hebt nagedacht over de privacy en informatiebeveiliging tijdensafhandeling van het verzoek. Dat je echt geeft om de privacy van klanten zonder de privacy van anderen in gevaar te brengen.
Over Maria
Maria van Leeuwen is adviseur privacy, security & datamanagement bij CRANIUM Nederland. Ze is een adviseur met een onderzoekende houding, organisatietalent en gevoel voor politieke verhoudingen. Zij geeft praktische en toepasbare adviezen aan mensen en organisaties, zodat zij zich bewuster worden over hun omgang met data.