‘Kopietje paspoort’ en identiteitsfraude: gevaar zit in een klein hoekje

Vanochtend werd bekend dat het Haags bijles bedrijf DiplomaNu kopieën van identiteitsbewijzen, diploma’s, CV’s en gescande handtekeningen van 180 studenten heeft gelekt die bijles gaven. Een deel van de kopieën is afkomstig van sollicitanten die nooit voor het bedrijf hebben gewerkt. Hun identiteitsbewijs stond echter wel nog in de database van DiplomaNu.

Conform de Wet Meldplicht Datalekken is de Autoriteit Persoonsgegevens ingelicht, er was immers sprake van een datalek. Nu de gegevens die zijn gelekt gevoelige gegevens bevatten, zoals BSN en pasfoto’s, zijn de gedupeerden eveneens ingelicht.

Echter naast de datalek bleek dat het Haagse bedrijf ook in strijd handelde met de Wet bescherming persoonsgegevens (Wbp) door kopieën van identiteitsbewijzen van de studenten die bij het bedrijf solliciteerden te bewaren. Nu deze identiteitsbewijzen, inclusief BSN en pasfoto, op straat liggen en mogelijk in verkeerde handen kunnen vallen bestaat er een risico dat de studenten het slachtoffer kunnen worden van identiteitsfraude.

Hoe zit het dan ook alweer met het opvragen, kopiëren en bewaren van een identiteitsbewijs?

Te pas en te onpas worden kopieën van paspoorten en/of ID-kaarten gevraagd. Veel consumenten zijn zich er niet van bewust dat zij aan dit verzoek om een kopie van hun identiteitsbewijs over te leggen niet hoeven te voldoen. Echter het gebeurt wel op zeer grote schaal en met dito gevolgen.

De Autoriteit Persoonsgegevens heeft op haar website een speciale pagina met informatie over het identiteitsbewijs. Daarnaast heeft de Autoriteit Persoonsgegevens de wettelijke regels omtrent het verzamelen en verder gebruiken van persoonsgegevens voor identificatie uitgewerkt in de Richtsnoeren Identificatie en verificatie van persoonsgegevens.

Bedrijven en organisaties moeten soms de identiteit van iemand kunnen vaststellen. Het tonen van een paspoort of ID-kaart is in de meeste gevallen al voldoende. Indien nodig kan een bedrijf ook nog het nummer van het identiteitsbewijs noteren. Echter het maken van een kopie is in de meeste gevallen overbodig. Alleen in uitzonderlijke gevallen mogen organisaties een kopie of scan maken van iemands identiteitsbewijs. Dit is het geval als er sprake is van een wettelijke verplichting (bijvoorbeeld bij financiële dienstverlening) of ter uitvoering van een overeenkomst of contract. Als een bedrijf vervolgens in het bezit is van een kopie van een identiteitsbewijs dan schept dit ook diverse verplichtingen, zoals beveiligen van de gegevens, informatieplicht, bewaartermijnen e.d.

Het opvragen en onnodig lang bewaren van kopieën van identiteitsbewijzen van sollicitanten en freelancers, zoals werd gedaan door DiplomaNu, is dus niet toegestaan. DiplomaNu was niet het eerst bedrijf dat hier mee te maken kreeg. Afgelopen zomer werd Uitzendbureau Randstad door de Autoriteit Persoonsgegevens op de vingers getikt omdat zij kopieën maakte van identiteitsbewijzen van mensen die een intakegesprek met het bureau voeren, maar er nog niet voor werkten. Ook registreerden zij aard en oorzaak van de ziekte van uitzendkrachten.

Tot slot bleken de uitzendbureaus persoonsgegevens van uitzendkrachten langer dan noodzakelijk te bewaren. Bij Randstad ging het om een termijn van soms meer dan 13 jaar.

Conclusie:

Voor bedrijven en organisaties geldt dus: alleen in uitzonderlijke gevallen mag een kopie van een identiteitsbewijs worden gemaakt. Daarbij is het aan te raden om het BSN en pasfoto af te schermen of onleesbaar te maken.

Voor de consument geldt: pas op met het zomaar afgeven van je paspoort of ID-kaart voor een kopie. Indien het echt noodzakelijk is, zorg ervoor dat je BSN en pasfoto worden afgeschermd of onleesbaar wordt gemaakt.

Ady van Nieuwenhuizen, IE Advocaat

 

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.