Bedrijven eisen kopie ID: ‘Belachelijk hoe er wordt omgegaan met gegevens die zo fraudegevoelig zijn’
- Nieuws
- Bedrijven eisen kopie ID: ‘Belachelijk hoe er wordt omgegaan met gegevens die zo fraudegevoelig zijn’
In 2019 gaf 13 procent van de Nederlanders aan slachtoffer te zijn geweest van cybercrime, zo meldt het CBS. Veel mensen schermen daarom uit veiligheid hun burgerservicenummer en foto af als zij zich online moeten identificeren. Maar wat als een bedrijf dit niet accepteert?
Liesbeth Winter liep hier tegenaan bij Vinted, een online marktplaats voor kleding, omdat ze blijkbaar een verkooplimiet naderde. "Ze wilden verifiëren dat ik het echt ben. Er staat overigens nergens wat die limiet dan is, maar ik heb om en nabij 300 à 400 euro aan kleding verkocht."
Ze kreeg ongeveer drie maanden geleden een waarschuwing over het naderen van de verkooplimiet. "Ik kon toen nog best wel wat verkopen. Daarna lukte het niet meer en moest ik mijn ID-bewijs uploaden."
Video niet beschikbaar
Winter: "Ik heb toen gelijk mijn ID-bewijs geüpload, maar hij werd niet geaccepteerd omdat ik het document had voorzien van een watermerk en mijn BSN had doorgestreept."
Op 24 augustus jl. probeerde ze het weer. "Maar toen was mijn BSN wél zichtbaar. Ik had het document weer voorzien van een watermerk. Mijn ID werd toen wel geaccepteerd, maar ik plaats hier vraagtekens bij. Kwaadwilligen kunnen misschien niet letterlijk mijn paspoort gebruiken door een watermerk, maar mijn BSN is wel gewoon zichtbaar en daar kunnen ze wel van alles mee."
Onrechtmatig
Nadia Benaissa, juridisch beleidsadviseur bij Bits of Freedom, meldt dat ze vaker zulke klachten binnenkrijgen van mensen die hun ID-bewijs "moeten" uploaden. "Heel vaak is dat onrechtmatig."
‘Daar is een speciale grondslag voor nodig’
Welke bedrijven mogen dit wel van je eisen en welke niet? Benaissa: "Nou, vrijwel geen bedrijf mag dit via het internet vragen, want het zijn zulke fraudegevoelige gegevens. En zeker het BSN, daar is een speciale grondslag voor nodig. Dat is geregeld in de Algemene Verordening Gegevensbescherming (AVG). Als het niet in die wet is geregeld, en meestal is dat tussen de overheid en een burger, dan mag het niet."
'We slaan geen documenten op in ons systeem'
Vaak geven bedrijven aan dat ze de documenten niet opslaan in hun systeem. Dit wordt ook op de website van Vinted aangegeven. "Elk document gaat rechtstreeks naar onze betalingsprovider MangoPay, waar ze deze veilig verwerken. We streven er altijd naar om Vinted zo veilig mogelijk te houden en een betrouwbare community op te bouwen. Daarom maken we gebruik van betrouwbare betalingsproviders. Deze betalingsproviders kunnen aanvullende gegevens over jou verzamelen om de 'Know Your Customer-procedure (KYC)' uit te voeren."
Volgens de jurist mag het dan echter nog steeds niet. "Op het moment dat je gegevens verwerkt, en dat is niet alleen het opslaan maar ook het doorsturen of inzien, dan heb je dus op basis van de AVG een grondslag nodig en voor het gebruik van een BSN is die er vrijwel nooit, zeker niet voor commerciële partijen."
Ze voegt hieraan toe dat die grondslag er wel is voor overheidsinstellingen. "Maar die zullen het niet zo snel vragen via het internet. Zij maken gebruik van DigiD, wat een veel veiliger middel is dan het verzenden of uploaden van je identiteitsbewijs."
Toch 'even snel' uploaden
Aan mensen die soms toch 'even snel' hun ID-bewijs uploaden om van een bepaalde dienst gebruik te kunnen maken, adviseert Benaissa: "Wees er in ieder geval van bewust dat je ID-bewijs een superfraudegevoelig document is. Als daar misbruik van wordt gemaakt, dan ben je echt de sjaak. Dus denk er goed over na, of je dat wilt doen."
Ze begrijpt dat consumenten zich soms in een lastige positie bevinden omdat ze niet kunnen doen wat ze willen op het internet, als ze er niet in meegaan. "Ze worden eigenlijk gedwongen. In dat geval zou ik in ieder geval een klacht indienen bij de functionaris gegevensbescherming van dat bedrijf. Dat is de interne privacytoezichthouder. Daarnaast zou ik een klachten indienen bij de externe toezichthouder, de Autoriteit Persoonsgegevens."
Ten slotte meldt ze dat je tevens moet oppassen met het delen van je ID-bewijs met Facebook. "Ik weet dat ze er ook om vragen als er problemen zijn met het inloggen. Facebook is bij uitstek dé organisatie waar je het niet mee wilt delen. Maar als je het niet doet, kun je dus ook niet meer inloggen. Het is echt belachelijk hoe er wordt omgegaan met ID-gegevens die zo fraudegevoelig zijn."
De naam van de consument is wegens privacyredenen gefingeerd.
Stax&Toine
Het middagmagazine Stax&Toine hoor je van maandag tot en met donderdag tussen 14.00 en 16.00 uur. Dionne Stax en Toine van Peperstraten nemen de luisteraar op een ontspannen eigenzinnige manier mee door het nieuws van de dag en spreken met gasten die iets bijzonders gaan doen. Muziek en lifestyle spelen een belangrijke rol in het programma.