Recruitmentbureau krijgt AVG-boete na Nederlandse klacht over paspoortkopie

Het internationale recruitmentbureau Michael Page heeft van de Spaanse toezichthouder een AVG-boete van 240.000 euro gekregen na een klacht van een Nederlander. Het bedrijf vroeg ten onrechte een kopie van het paspoort van mensen die gebruikmaakten van hun inzagerecht.

De boete werd uitgedeeld door de Agencia Española Protección Dates, de Spaanse toezichthouder. Dat gebeurde na een klacht van een Nederlandse vrouw die naar de Autoriteit Persoonsgegevens was gestapt. Omdat 'de beslissingen van het recruitmentbureau op dit gebied in de Spaanse vestiging van het bedrijf werden genomen' werd het onderzoek echter uitgevoerd door de Spaanse toezichthouder AEPD. Die werkte daarvoor wel samen met de Nederlandse toezichthouder. Het bedrijf krijgt een boete van 240.000 euro, schrijft de AEPD in het boetebesluit.

Het recruitmentbureau vroeg onterecht naar identificatiegegevens als klanten recht wilden op inzage van hun gegevens. Dat mag onder de AVG en het bedrijf moet daarvoor alleen een minimale verificatie doen om te controleren of mensen zijn wie ze zeggen dat ze zijn. Michael Page wilde een kopie van het identiteitsbewijs en een verzekeringspas zien van de vrouw. Ook vroeg het bureau een kopie van een recente brief om het adres te verifiëren.

"Michael Page eiste hiermee onnodig extra persoonsgegevens", schrijft de Autoriteit Persoonsgegevens. De Nederlander had ook via haar klantaccount bij het bedrijf kunnen verifiëren wie ze was. Daarmee overtrad het bureau de AVG, want er waren minder ingrijpende mogelijkheden om zo'n verificatie te doen.

Vorige maand kreeg DPG Media ook al een boete voor een soortgelijke overtreding. Sanoma Media, dat later door DPG werd overgenomen, vroeg klanten ook om een kopie van hun identiteitsbewijs, terwijl hun identiteit ook kon worden bevestigd via een account. De boete voor DPG was met 525.000 euro wel een stuk hoger.

IT-banen

Reacties (75)

Floort

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete

22 maart 2022 09:03

De boete voor DPG was met 525.000 euro wel een stuk hoger.

Ik denk dat het ook relevant is om uit te werken waarom. Voor DPG is in het onderzoek aangetoond dat het om heel veel betrokkenen ging. Voor zover ik kan opmaken gaat het hier om een enkele klacht. Voor DPG kwam de boete wel hoger uit, maar per bewezen overtreding is DPG er veel goedkoper vanaf gekomen.

Grrrrrene

@Floort • 22 maart 2022 10:09

Zou ook niet uitmaken hoe groot een bedrijf is en hoe logisch het is om om een ID te vragen? Voor een recruitmentbureau kan ik me heel goed voorstellen dat je zeker wil weten dat je de juiste voor je hebt, omdat je daarmee een arbeidsrelatie hebt en je inzage geeft in potentieel erg gevoelige informatie. Dit kan ook allemaal via een inlogconstructie natuurlijk, vandaar de boete, maar de data die verstuurd wordt is wel van een andere orde qua privacy dan wat T.net je zou kunnen overhandigen.

@Floort Ik bedoelde meer dat de hoogte van de boete waarschijnlijk afhangt van de omvang van het bedrijf en dus niet in absolute zin met elkaar te vergelijken zijn. Een boete moet pijn doen, maar niet zoveel pijn dat het een bedrijf ruïneert. Genoeg pijn dat andere bedrijven denken "dat moeten we misschien maar niet doen"

[Reactie gewijzigd door Grrrrrene op 23 juli 2024 16:52]

Floort

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete

@Grrrrrene • 22 maart 2022 10:13

De omvang van het bedrijf is zeker relevant voor de hoeveelheid moeite die je mag verwachten om nette processen in te richten en van een groter bedrijf mag je ook meer inspanning per verzoek verwachten. Maar ik zie niet zo snel voor me wat voor gevolgen de omvang van het bedrijf heeft op de middelen die nodig zijn om de identiteit van de betrokkene vast te stellen. Dat hangt meer af van hoe de verwerking in elkaar zit.

mijsk1974 @Floort • 22 maart 2022 10:39

Je kan de lijn ook doortrekken.
M.a.w. het onderzoek zal waarschijnlijk hebben aangetoond dat deze wijze van validatie de norm was.
Ergo 1 klacht met als conclusie dat in potentie iedereen met dit type vraag (theoretisch dus alle klanten) standaard dezelfde response krijgt.

(edit: spelfouten en zinsopbouw aangepast).

[Reactie gewijzigd door mijsk1974 op 23 juli 2024 16:52]

twkr18526 @mijsk1974 • 22 maart 2022 14:30

Je vraagt je af waarom DPG media al die extra gegevens van je wilde hebben zoals een kopie ID (paspoort of rijbewijs).

Ik heb ook een klacht ingediend, omdat ik mijn account wilde verwijderen met mijn nickname en geldig email adres. (Omdat ik ongevraagd spam kreeg van zusterbedrijven.)

Het was heel raar om daarvoor eerst meer persoonlijke informatie te moeten geven. Die gegevens hebben ze nog nooit van me gehad. Dus dat konden ze niet verifiëren. Wilden ze die extra gegevens voor andere doeleinden gebruiken?

ollie1965 @Floort • 22 maart 2022 09:40

Laten we zeggen dat DPG (als rechtsopvolger) er zeer genadig van afgekomen is.
Het had zomaar een factor 3-4 hoger kunnen zijn.
Ik vraag me af wanneer er een paar grote (zorg)verzekeraars nu nog een tik krijgen. Deze vragen ook in sommige gevallen een BSN/kopie paspoort terwijl ze daarvoor niet gerechtigd zijn (volledig gevolmachtigde/ Natuurlijk Persoon bewindvoerder). Een aantal hebben hun werkwijzen aangepast nadat ik een melding had gemaakt bij de AP (persoonlijke situatie), maar er lijken er nog wel te zijn die dit nog steeds doen.

Darkstriker @Floort • 22 maart 2022 09:29

Maar het is gewoon redelijk aan te nemen dat ze het elke keer verkeerd doen en dan is 240k weer een veel te schamele boete.

lanarhoades @Floort • 22 maart 2022 10:15

die voetnoot klikt ook een beetje als huilie huilie

Nyarlathotep 22 maart 2022 08:57

'Een minimale verificatie'.
Wat moet ik daar onder verstaan? Het lijkt mij niet meer dan logisch dat het niet simpel moet zijn om een hele kluit aan gegevens op te vragen. Anders kan jan en alleman zomaar jouw gegevens opvragen.

Gropah @Nyarlathotep • 22 maart 2022 09:08

Het probleem in veel gevallen is dat het nogal moeilijk ligt om gegevens daadwerkelijk te verifieren.

Om DPG even als voorbeeld te nemen. DPG wilde een ID zien voordat mensen hun gegevens mochten inzien of laten verwijderen. Dat zou nuttig kunnen zijn, als DPG ooit een ID heeft gezien en daar een kopie van heeft, want dan kun je gegevens van een zelfde bron vergelijken.

Het probleem is alleen dat DPG waarschijnlijk nooit een ID van een klant heeft gezien. Er om vragen, is dus eigenlijk redelijk raar. Ze hebben niets directs van dezelfde bron om het mee te vergelijken. Hetgeen DPG waarschijnlijk wel heeft zijn gegevens die gebruikers zelf hebben ingevoerd bij aanmelden, zoals bijvoorbeeld voornaam en achternaam, email, of een geboortedatum. En ja, dat staat ook allemaal op een ID dus dat kun je vergelijken, maar wie zegt dat de gegevens die bij DPG zijn ingegeven wel allemaal correct zijn?

Ik kan je zo vertellen dat ik genoeg accounts heb die niet zijn geboren op mijn echte geboortedatum of niet mijn echte naam dragen omdat ik het vaak onnodig vind om die gegevens achter te laten bij een organisatie en zij mij niet duidelijk (kunnen) maken waarom ze die gegevens nodig hebben.

Als ik mijn Tweakers account zou willen laten verwijderen moet ik dus een kopie van mijn ID laten zien, iets wat ze niet eerder hebben gezien (ok, waarschijnlijk niet helemaal waar voor mij, maar soit). Ik moet dus extra gegevens delen voordat ik gegevens kan laten verwijderen. Dat voelt (en is) raar.

Wat netter zou zijn is als alle sites via accountinstellingen een GDPR-proof verwijderknop zou hebben, met een bevestigingsvereiste via email of zoiets. En dan het liefst ook met 2FA om in te loggen. Op die manier word er namelijk niet meer gevraagd van de gebruiker, dan wat al is vastgesteld door het bedrijf voldoende te zijn om toegang te krijgen tot betaalde content, namelijk een username, wachtwoord en 2FA device.

Dat is wat mij betreft minimale verificatie. Maar goed, ik ben geen advocaat/rechter of security techneut, alleen iemand die privacy enigzins serieus neemt, dus ik kan er naast zitten.

Floort

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete

@Gropah • 22 maart 2022 09:16

Wat netter zou zijn is als alle sites via accountinstellingen een GDPR-proof verwijderknop zou hebben, met een bevestigingsvereiste via email of zoiets. En dan het liefst ook met 2FA om in te loggen. Op die manier word er namelijk niet meer gevraagd van de gebruiker, dan wat al is vastgesteld door het bedrijf voldoende te zijn om toegang te krijgen tot betaalde content, namelijk een username, wachtwoord en 2FA device.

Daar zijn in de praktijk vaak een aantal issues mee. Bijvoorbeeld de nog grotere impact van gecompromitteerde accounts.
Maar misschien nog wel lastiger is dat veel organisaties niet alle systemen gekoppeld hebben. Bijvoorbeeld: een knop op de site van Tweakers kan niet zomaar data wissen die staat opgeslagen bij een analytics- of advertentie-platform terwijl verwijdering onder art. 17 AVG wel verplicht kan zijn. Ook zijn rechten van betrokkenen niet absoluut en kunnen de nodige afwegingen niet altijd geautomatiseerd genomen worden. Het is een mooi ideaalbeeld om naartoe te werken, maar niet altijd haalbaar of wenselijk.

Gropah @Floort • 22 maart 2022 09:31

Daar zit zeker wat in, maar daarom ook 2FA en bevestiging via email. Ja, lang niet iedereen zal 2FA op elk account zetten, maar meer hebben het wel op email (bij gmail is het tegenwoordig zelfs verplicht).

Op het moment dat overal hetzelfde wachtwoord word gebruikt is er alsnog wel kans op shit aan de knikker. Maar je kunt je afvragen in hoe verre een bedrijf daarin blokades moet opwerpen en rekening mee moet houden. Daarbij vind ik echt dat het opvragen van een ID te ver gaat. Je zou ook een middenweg kunnen proberen te vinden door vragen te stellen die alleen iemand die het account lange tijd gebruikt heeft kan weten.

Floort

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete

@Gropah • 22 maart 2022 09:55

Het koppelen van systemen is niet alleen een aanvullend risico als de accounts van betrokkenen gecompromitteerd raken. Misschien wil je ook niet het risico lopen dat bij een hack van de website alle interne dossiers/databases ook op straat komen te liggen of onomkeerbaar gewist worden.

The Zep Man

Privacy

@Floort • 22 maart 2022 10:09

Misschien wil je ook niet het risico lopen dat bij een hack van de website alle interne dossiers/databases ook op straat komen te liggen of onomkeerbaar gewist worden.

Er ligt een stuk aansprakelijkheid bij de organisatie zelf als die het toestaat dat anderen ongewenst gegevens onomkeerbaar wissen. Disken, servers en datacenters kunnen immers ook gewoon uitvallen of om wat voor reden dan ook plots ophouden te bestaan.

Anderen kunnen gegevens wissen, maar het is aan de organisatie om te bepalen of dat onomkeerbaar is of niet.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 16:52]

R4gnax

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete
Privacy

@Gropah • 22 maart 2022 12:58

(bij gmail is het tegenwoordig zelfs verplicht)

Het is niet verplicht. Google heeft in het begin voor een paar miljoen mensen waarvan de accountherstelgegevens al ingevuld waren, automatisch 2FA aangezet op basis van die gegevens (en daarmee wellicht nog wel de AVG overtreden in geval die herstelgegevens persoonsgegevens waren - want: verwerking waarvoor ze niet origineel verstrekt waren - maar dat terzijde)

Het originele bronartikel van Google sprak enkel de hoop uit om in de loop van 2021 nog eens 150 miljoen accounts automatisch te hebben overgezet naar het gebruik van 2FA. Nergens wordt er uitgesproken dat het in generieke zin voor iedereen verplicht werd. Sterker nog: ze benadrukken zelfs dat de bestaande 2FA opties niet voor iedereen zullen werken, en dat ze daar nog verder aan zullen werken.
Ze verwachten dus ronduit dat er mensen zullen zijn die het niet aan zullen (kunnen) zetten.

Google dwingt het gebruik van 2FA enkel af als je je als YouTube 'creator' met bepaalde zaken wilt bezigen. That's it.

ronaldmathies @Floort • 22 maart 2022 09:32

Helemaal eens met je betoog maar:

"Maar misschien nog wel lastiger is dat veel organisaties niet alle systemen gekoppeld hebben. Bijvoorbeeld: een knop op de site van Tweakers kan niet zomaar data wissen die staat opgeslagen bij een analytics- of advertentie-platform terwijl verwijdering onder art. 17 AVG wel verplicht kan zijn."

Is natuurlijk niet het probleem van die gebruiker, sterker nog, je creëert hiermee een excuus, als ik als bedrijf er dus voor zorg dat systemen maar niet aan elkaar gekoppeld zijn dan hoef ik de mogelijkheid dus ook niet te bieden.

Floort

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete

@ronaldmathies • 22 maart 2022 09:52

Er is geen verplichting om het uitoefenen van rechten te automatiseren. Er is wel een verplichting om ze (zonder onnodige vertraging) uit te voeren en een verplichting om systemen en processen zo in te richten dat de rechten uitgeoefend kunnen worden. Het is aan de verantwoordelijke of ze een legertje stagiairs aan het werk willen zetten om handmatig systemen door te spitten of dat het gecentraliseerd en geautomatiseerd gebeurt. Er zijn legitieme redenen om het (deels) handmatig te doen. Legacy is een veel-voorkomende reden. Maar als het zo is ingericht dat het uitoefenen van rechten veel werk is, is dat op zichzelf geen excuus. Hoe groter de verwerking, hoe meer moeite men mag verwachten bij het afhandelen van bijvoorbeeld een inzageverzoek. Het wordt vaak ten onrechte gebruikt als excuus.

Jerie

@Floort • 22 maart 2022 10:34

Wat je zou kunnen doen is de data behouden in een offsite, offline, beveiligde backup voor het geval dat [...] (dit voorbeeld) en dat dan vastleggen in de wet.

n4m3l355 @Gropah • 22 maart 2022 09:16

Ik heb het al eerder aangehaald maar persoonlijke gegevens en privacy blijft gewoon moelijk wanneer je overeenkomst aangaat met een derde. Zelf heb ik met Ziggo meermaals meegemaakt dat huurders die uiteraard mijn naam wisten, maar waarschijnlijk via FB mijn geboorte datum zo hun pakket wijzigde. Ondanks dat ik meermaals bij Ziggo dit probleem heb aangekaart, is het toch dus twee keer fout gegaan.

Dus... zeker in dit soort gevallen, maar ook bij MPI hoe wilt men nou zeker weten met wie ze van doen hebben als ze niet diens gegevens mogen verzamelen? MPI heeft een database met vermoedelijk tientallen miljoenen kandidaten. Het is zeker voor hun van belang dat juist deze gegevens juist zijn, voor zowel MPI maar ook voor toekomstige werkgevers. Immers de werkgever zal MPI verantwoordelijk houden wanneer iemand zich verkeerd voordoet (helemaal niet ongewoon, ook dit heb ik bij een head hunter meermaals meegemaakt).

Frame164 @Gropah • 22 maart 2022 10:00

Ik kan je zo vertellen dat ik genoeg accounts heb die niet zijn geboren op mijn echte geboortedatum

Ik gok dat heel veel tweakers/ict-ers 1-1-1970 als geboortedatum hebben voor veel accounts :-) (ik wel in ieder geval)

Rob_Dielemans @Nyarlathotep • 22 maart 2022 09:19

Klopt, maar als je om extra persoonsgegevens vraagt die ze niet hebben, kun je daarna je klantenbestand bijwerken en deze gegevens ook opslaan en dat moeten we niet willen met z'n allen.

[Reactie gewijzigd door Rob_Dielemans op 23 juli 2024 16:52]

ollie1965 @Rob_Dielemans • 22 maart 2022 10:02

Tussen het vragen naar "extra persoonsgegevens" ter identificatie en het verwerken van deze gegevens zit een verschil.
Het puur vragen naar en daarmee identificeren van de persoon is geen verwerking. Pas als ze worden opgeslagen dan is men in overtreding. En ja, dat verschil is niet voor iedereen even duidelijk, vooral niet voor die partijen die al meer vragen dan noodzakelijk is

ikkuhqhp

@ollie1965 • 22 maart 2022 12:05

Dat gaat alleen op als je de gegevens niet digitaal ontvangt (want daarmee buiten de werkingsfeer van de AVG). Zodra ze in je inbox zitten of in je CRM, verwerk je ze al.

roawser @ikkuhqhp • 22 maart 2022 16:06

De AVG maakt geen verschil tussen analoog of digitaal, wel tussen handmatig of geautomatiseerd verwerken. Misschien is dat in de praktijk hetzelfde maar lang niet altijd. Persoonsgegevens als bovenstaande zouden in theorie wel analoog opgeslagen kunnen worden (fotokopietjes) maar als er enig electronisch hulpmiddel is om die opslag grootschalig te gebruiken, val je erbinnen.

En ja, stel dat je fotokopietjes van de paspoorten van je klanten maakt en die in een hangmap stopt en verder niks, dan nog is het niet puur analoog want photocopiers hebben harddisken... Ik denk altijd maar: heb ik persoonsgegevens werkgerelateerd, dan dus AVG.

ikkuhqhp

@roawser • 22 maart 2022 19:50

Art. 2(1) AVG:

Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Daar geen verschil tussen digitaal en analoog in zien is wel bijzonder. Neemt niet weg dat analoge verwerking eronder kán vallen, maar niet zoals in de post waarbij ze niet opgeslagen zouden worden. En jouw voorbeeld van een digitaal onderdeel van een proces vindt Bobek nog wel wat van.

MSalters @Rob_Dielemans • 22 maart 2022 11:53

Dat opslaan van extra persoonsgegevens in een "klantenbestand" is een extra GDPR overtreding bovenop het opvragen. En als je al onder het vergrootglas ligt van een AP, dan moet je misschien geen extra GDPR overtredingen maken.

bbc @Nyarlathotep • 22 maart 2022 09:11

Die "minimale verificatie" hangt een beetje af van het doel.

Bij ons mogen we de identiteitskaart gegevens van bezoekers bijhouden. Het is te zeggen:
- Naam
- Voornaam
- Geboortedatum
- Nationaliteit
- Type identiteitsdocument
- Nummer van het identiteitsdocument

Deze gegevens kunnen gebruikt worden indien er zich een incident voordoet, waar een bezoeker bij betrokken zou zijn. Wij mogen onder geen beding andere gegevens bijhouden van die persoon, en al zeker geen kopie van de identiteitskaart.

@Arnoud Engelfriet Dit is zo voor alle Europese instellingen.

[Reactie gewijzigd door bbc op 23 juli 2024 16:52]

Arnoud Engelfriet @bbc • 22 maart 2022 10:11

Ik ben heel benieuwd naar wat het doel is van deze registratie? Wat voor incidenten moet ik aan denken, dat het relevant is de geboortedatum of nationaliteit van de klant te noemen? De opsomming klinkt als de registratie van gasten in een hotel maar ik dacht dat geboortedatum daar niet relevant was.

(Niet sarcastisch bedoeld.)

@bbc Help me even, wat voor instellingen? Hebben we het over toegangscontrole bij gebouwen van de EU? Verwerking moet immers doelgebonden zijn, welk doel dient deze registratie.

[Reactie gewijzigd door Arnoud Engelfriet op 23 juli 2024 16:52]

MSalters @Arnoud Engelfriet • 22 maart 2022 11:59

Geboortedatum zou redelijkerwijs gebruikt mogen worden wanneer je niet kunt veronderstellen dat de combinatie van voornaam+achternaam uniek is, maar er wel een noodzaak is voor unieke identificatie. Alleen, dat argument valt hier weg omdat het genummerde identiteitsbewijs al die rol vervult.

(En "nationaliteit" is in dat geval ook beperkt tot het identiteitsbewijs)

Thijsmans @Nyarlathotep • 22 maart 2022 09:05

Een aardige vuistregel lijkt mij "niet meer vragen dan bij registratie". Als dat betekent dat jan en alleman gegevens kan opvragen, is dat een aardige indicatie dat er aan de voorkant al wat mis is

Anoniem: 1576590 @Thijsmans • 22 maart 2022 09:36

Een aardige vuistregel lijkt mij "niet meer vragen dan bij registratie". Als dat betekent dat jan en alleman gegevens kan opvragen, is dat een aardige indicatie dat er aan de voorkant al wat mis is

Dat is precies het probleem: organisaties die op verschillende manieren gegevens verzamelen van personen die zelf niets (meer) met die organisatie te maken hebben.

(Denk bijv. aan mensen die geen Facebook account hebben).

Een soort kip-ei dus: om te weten te komen of en zo ja welke info een organisatie over jou heeft, moet je ze allerlei privacygevoelige informatie geven om te "bewijzen" dat jij jij bent.

Oplossing?
Ik denk dat vertrouwde bemiddelaars hier uitkomst zouden kunnen bieden.

Je kunt bijv. op het stadhuis je identiteit laten vaststellen (je handtekening laten legaliseren), maar dat kost geld en je moet er de deur voor uit.

In theorie zou bijv. Logius (of de AP?) een webform kunnen maken waar je gegevens voor zo'n aanvraag invult en waar (timestamped en met korte geldigheidsduur), gebruikmakend van DigiD, een digitale handtekening onder gezet wordt.

Nb. dit is brainstorm-kwaliteit, ik heb onvoldoende over de risico's nagedacht. Voorop moet staan dat een derde niet eenvoudig als jou zo'n aanvraag kan doen.

Floort

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete

@Anoniem: 1576590 • 22 maart 2022 10:24

Dat zou voor een deel een oplossing kunnen zijn, maar:

Veel verwerkingen zijn niet gebaseerd om mijn "echte" officiele identiteit, maar op pseudoniemen zoals een cookie-identifier, mijn e-mailadres, telefoonnummer, etc. Daar gaat zo'n proces niet bij helpen.
Opvallend vaak is identiteit een excuus, geen reden. Wanneer ik aanbied om nog beter mijzelf te identificeren komen er nieuwe redenen om niet in te gaan op mijn verzoek naar voren. Het opwerpen van een administratieve drempel is een effectief middel om minder verzoeken te hoeven behandelen.

Anoniem: 1576590 @Floort • 22 maart 2022 13:26

Dat zou voor een deel een oplossing kunnen zijn, maar:
Veel verwerkingen zijn niet gebaseerd om mijn "echte" officiele identiteit, maar op pseudoniemen zoals een cookie-identifier, mijn e-mailadres, telefoonnummer, etc. Daar gaat zo'n proces niet bij helpen.

Uh... maar dan heeft het ook geen zin om een kopie van je paspoort te sturen (de reden in het topic dat een in Spanje gevestigd recruitmentbureau een boete krijgt).

Als een organisatie alleen pseudoniemen van jou heeft (zoals een e-mail adres), is authenticatie op basis van jouw "officiële" (door overheden geregistreerde) persoonsgegevens sowieso zinloos, dus begrijp ik dit deel van jouw reactie niet.

Opvallend vaak is identiteit een excuus, geen reden. Wanneer ik aanbied om nog beter mijzelf te identificeren komen er nieuwe redenen om niet in te gaan op mijn verzoek naar voren. Het opwerpen van een administratieve drempel is een effectief middel om minder verzoeken te hoeven behandelen.

Dat zal in een deel van de gevallen vast zo zijn.

Maar niet elke organisatie zal zo hufterig zijn. Er zullen er ook zijn die zo betrouwbaar mogelijk willen vaststellen dat het niet om te voorkomen dat derden (phishers bijvoorbeeld) naar persoonsgegevens "hengelen" om die info later te gebruiken om slachtoffers mee te misleiden.

En/of zich met die, illegaal verkregen gegevens, als het slachtoffer voor te kunnen doen bij andere organisaties.

Het is m.i. dus terecht dat je redelijkerwijs moet bewijzen dat jij jij bent als je bij een organisatie opvraagt wat zij van jou weten. Immers, als organisaties jouw gegevens aan een derde geven die zich voordoet als jou, is dat ook een datalek (dat in principe tot boetes kan leiden).

Een kopie van een paspoort is sowieso geen redelijk bewijs, want zodra je dat naar een organisatie hebt gestuurd, kan die organisatie (of een foute medewerker, of een hacker die deze gegevens bemachtigt) zich voordoen als jou.

Het probleem begint dus al op het moment dat maakt-niet-uit-wie het kunnen overleggen van een kopietje-ID als bewijs van de identiteit van die overlegger ziet.

Feitelijk zou je dat principe strafbaar moeten maken om een hele (toenemende) berg aan identiteitsfraude te voorkómen.

Dus is het belangrijk om met alternatieve oplossingen te komen (en dat probeerde ik).

Floort

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete

@Anoniem: 1576590 • 22 maart 2022 13:43

Zeer terechte opmerkingen. Er zijn in de praktijk een aantal terechte en onterechte redenen waarom een dergelijke oplossing niet geaccepteerd zal worden. Maar voor de subset van verantwoordelijken die bereid zijn om inzage te geven en vooral werken op basis van de formele identiteit van betrokkenen zonder accounts kan het inderdaad een goede oplossing zijn. Mijn punt was dat die omstandigheden niet vanzelfsprekend zijn.

Anoniem: 1576590 @Floort • 22 maart 2022 13:52

OK, dank voor de reactie!

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete

@Anoniem: 1576590 • 22 maart 2022 10:28

Dat is precies het probleem: organisaties die op verschillende manieren gegevens verzamelen van personen die zelf niets (meer) met die organisatie te maken hebben.

(Denk bijv. aan mensen die geen Facebook account hebben).

Een soort kip-ei dus: om te weten te komen of en zo ja welke info een organisatie over jou heeft, moet je ze allerlei privacygevoelige informatie geven om te "bewijzen" dat jij jij bent.

Oplossing?
Ik denk dat vertrouwde bemiddelaars hier uitkomst zouden kunnen bieden.

Je kunt bijv. op het stadhuis je identiteit laten vaststellen

Het jammere is dat je er eigenlijk niks aan hebt want die organisaties die info over jouw hebben weten niet zeker wie jij bent. Zo'n organisatie kan dan wel vaststellen dat jij ErikvanStraten bent maar niet dat jij dezelfde persoon bent over wie de informatie hebben.

Nb. dit is brainstorm-kwaliteit, ik heb onvoldoende over de risico's nagedacht. Voorop moet staan dat een derde niet eenvoudig als jou zo'n aanvraag kan doen.

Tot(?) we daar een goede oplossing voor hebben is de beste aanpak om zo min mogelijk op te slaan. Hoe minder je bewaard, hoe minder er mis mee kan gaan. Dat is natuurlijk slecht nieuws voor bedrijven die zijn gebouwd op het verzamelen van info. Dat soort bedrijven zullen zich trouwens meer moeten gaan opstellen als een bank dan als een reclamebureau, als ze waardevolle "spullen" willen blijven opslaan.

Anoniem: 1576590 @CAPSLOCK2000 • 22 maart 2022 13:46

[...]
Het jammere is dat je er eigenlijk niks aan hebt want die organisaties die info over jouw hebben weten niet zeker wie jij bent. Zo'n organisatie kan dan wel vaststellen dat jij ErikvanStraten bent maar niet dat jij dezelfde persoon bent over wie de informatie hebben.

Het topic beschrijft de situatie dat een Nederlandse vrouw bij de AP had geklaagd dat zij een kopie van haar paspoort moest opsturen om te weten te komen welke gegevens een recruitmentbedrijf van haar had.

Mer andere woorden: de echte mevrouw X wil weten of bedrijf Y persoongegevens van haar heeft, ook als het om persoonsgegevens gaat van iemand die qua identificerende gegevens lijkt op mevrouw X of zich heeft voorgdedaan als mevrouw X.

(Denk bijv. ook aan de situatie dat een "grappenmaker" jouw adres of telefoonnummer heeft opgegeven bij een bedrijf en jij vervolgens ongewenste post of belletjes krijgt).

Dat recruitmentbedrijf beschouwt de Nederlandse overheid dus als TTP (Trusted Third Party) voor het bewijzen van de identiteit van die vrouw (ze nemen immers genoegen met een kopie van een paspoort; zelfs als zij al een kopie in hun bezit hebben, kan een aanvrager ondertussen een nieuw paspoort hebben - dus 1-op-1 vergelijken is niet altijd simpel).

Met wat ik voorstel moet zo'n organisatie ook de NL ovverheid als TTP beschouwen, maar dan een stuk minder fraudegevoelig dan met een (foutvrij vermenigvuldigbaar) kopietje-ID.

tweakerbee @Anoniem: 1576590 • 22 maart 2022 12:53

Zoiets als IDIN?

Identificatie via je bank, die daar als trusted third party optreedt.
Via Digid mag niet, dat mag alleen door overheid gebruikt worden.

Anoniem: 1576590 @tweakerbee • 22 maart 2022 13:51

Zoiets als IDIN?

Identificatie via je bank, die daar als trusted third party optreedt.

Denkbaar, maar ik vermoed dat banken dit niet gratis zullen (blijven) doen.

Via Digid mag niet, dat mag alleen door overheid gebruikt worden.

Dat klopt niet helemaal maar ik bedoel niet dat je met DigiD bij zo'n site inlogt.

Wel dat je, via DigiD, ergens een digitale handtekening onder zet.

Zoals ook kon bij het CoronaToegangsBewijs, met als resultaat een QR-code die je door iedereen mag laten controleren.

Waarom zou je dan niet met DigiD een (gestructureerd) aanvraagformulier voor het inzagerecht digitaal kunnen ondertekenen?

bwerg @Nyarlathotep • 22 maart 2022 09:02

Dit mes snijdt inderdaad aan twee kanten. Als privacy-voorvechter kun je wel zeggen dat niet te pas en te onpas naar paspoortkopieën gevraagd moet worden, maar het risico bij onvoldoende verificatie is hier dat alle persoonsgegevens die worden opgevraagd naar een oplichter gestuurd worden. Privacy-technisch ook niet helemaal lekker.

Wel moet "moeilijke" verificatie natuurlijk niet worden gebruikt enkel om een drempel op te werpen, zoals ook wel eens gebeurd bij bedrijven die gewoon geen zin hebben om aan dit soort verzoeken te voldoen.

ollie1965 @bwerg • 22 maart 2022 09:57

Daar zegt de verordening ook wel wat over.
"Hoe groter het aantal persoonlijke gegevens of hoe gevoeliger. Hoe beter de identificatie gedaan moet worden voordat persoonsgegevens geleverd worden" . Komt er op neer dat dan in sommige gevallen er wel een noodzaak aangetoond kan worden om een kopie paspoort te vragen (met melding welke delen met niet wilt/mag zien als ontvanger) of een andere methode van identificatie die voldoet volgens normering.

Ik heb zelf meerdere malen een inzage verzoek geweigerd omdat de betrokkene zich niet op een afdoende methode wilde identificeren. Bij bezwaar/beroep in het gelijk gesteld.

Floort

Privacy
Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete

@ollie1965 • 22 maart 2022 10:10

Dat kan inderdaad volkomen terecht zijn. Wat ik vaker tegen kom is dat ik wordt gevraagd om mezelf te identificeren voor informatie die ik onder art. 14 of 34 AVG al lang had moeten krijgen. Of verantwoordelijken die nog steeds weigeren mee te werken als ik meer dan redelijk aanbied om mee te werken om twijfels over mijn identiteit weg te nemen zoals persoonlijk langskomen op het kantoor met alle relevante accounts/apparaten. Bij redelijke twijfels over de identiteit mag je weigeren verder mee te werken, maar je moet dan wel de betrokkene de gelegenheid geven om zichzelf te identificeren.

ollie1965 @Floort • 22 maart 2022 12:59

En alleen al dat duiden (mogelijkheden van identificatie) en uitleggen is gemiddeld 1/2 - 1 uur in de week.
Deze week toevallig al 2 uur omdat iemand "volhoudend" is in zijn gelijk en rechten al stapelt in zijn eerste verzoek zonder dat deze weet wat ontvangen gaat worden (Correctie, Recht op beperking, Verwijdering).

Hatsjoe @Nyarlathotep • 22 maart 2022 09:01

"Michael Page eiste hiermee onnodig extra persoonsgegevens", schrijft de Autoriteit Persoonsgegevens. De Nederlander had ook via haar klantaccount bij het bedrijf kunnen verifiëren wie ze was. Daarmee overtrad het bureau de AVG, want er waren minder ingrijpende mogelijkheden om zo'n verificatie te doen.

Dat dus. Eigenlijk dus precies zoals allerlei grote sites als onder andere Facebook dat doen. Heb je toegang tot het account? Dan kan je een data dump aanvragen.

[Reactie gewijzigd door Hatsjoe op 23 juli 2024 16:52]

ronaldmathies @Hatsjoe • 22 maart 2022 09:36

Facebook heeft ook hele rare constructies, ik heb jaren geleden (10+) mijn account beëindigd en verwijderd. Maar ik bleef af en toe een mail ontvangen van facebook, dan ga je een keer in zo'n mail klikken om te kijken wat ze te zeuren hebben (iets over het account) en dan ineens is je account "ge-activeerd". Maar ik kan niet inloggen. Gevolg is, wil ik kunnen inloggen moet ik een ID bewijs opsturen, want alleen dan kan ik mijn account weer afsluiten. Resultaat, mijn account is "actief", ik kan er niet bij en ik kan het ook niet weg gooien.

Facebook is echt het meest gare bedrijf ooit wat 0, 0 respect heeft voor hun producten (de gebruikers dus dan he).

Frame164 @ronaldmathies • 22 maart 2022 10:02

[off topic] Het is een misverstand dat FB gebruikers hun producten zijn. Hun product (hetgeen ze verkopen) is advertentieruimte. Als ik zie wat voor onzin advertenties ik geserveerd krijg, dan doen ze dus helemaal niets met mijn data. Anders zou de relevantie een stuk hoger zijn. Facebook kennende zie ik ze er ook nog wel voor aan dat ze adverteerders wijs maken dat ze targeted ads doen (waar die adverteerders dan flink voor betalen) terwijl ze achter de schermen de zooi gewoon willekeurig plaatsen.

[Reactie gewijzigd door Frame164 op 23 juli 2024 16:52]

beantherio @Hatsjoe • 22 maart 2022 09:47

Heb je toegang tot het account? Dan kan je een data dump aanvragen.

Je kunt je afvragen hoe privacy-gevoelig dat is. Het is geen gegeven dat iemand die toegang heeft tot een account ook degene is waarop de informatie betrekking heeft. Accounts kunnen gehackt of gedeeld worden.

Het opvragen van een kopie van een paspoort lijkt me evengoed ook een beetje overkill.

CivLord

@beantherio • 22 maart 2022 12:52

Maar degene die het account gehackt heeft kan al bij heel veel informatie. Het extra risico om diegene die toegang heeft tot het account alle informatie te sturen is minimaal.

Rinzwind @Hatsjoe • 22 maart 2022 09:57

Facebook vraagt te pas en onpas ineens om kopie ID om toegang tot je account te krijgen. Absurd en moet aangepakt worden. Idem, zij hebben nooit je ID gezien. Waarom om vragen? Om echte namen te koppelen. Idem met telefoonnummers. Ze gaan gewoon hun gang.

mddd @Nyarlathotep • 22 maart 2022 09:01

Zoveel als nodig is, maar niet meer. Bijvoorbeeld: als je op Tweakers inlogt kun jij alles doen: posten, verlanglijstjes bijhouden, etc. Je accountnaam en wachtwoord is voldoende identificatie daarvoor. Dan is het raar als je voor een data-verzoek opeens een paspoort zou moeten opsturen.

Vergelijkbaar is het hier. Als Michael Page of DPG al een manier hebben om jou te identificeren, die voor al hun normale processen blijkbaar veilig genoeg is, dan hoeven ze je niet om andere documenten te gaan vragen wanneer je je data wilt inzien.

hscheper @Nyarlathotep • 22 maart 2022 09:01

"... had ook via haar klantaccount bij het bedrijf kunnen verifiëren wie ze was". Zo dus.

grasmanek94 @Nyarlathotep • 22 maart 2022 09:11

Tja of je doet het zoals veel grote partijen het doen...
1. Log in op je account
2. Klik 'download gegevens'
3. Mensen krijgen een link in hun mailbox om de gegevens te downloaden
4. Waarschijnlijk klikt men daarna nog op 'delete account'

[Reactie gewijzigd door grasmanek94 op 23 juli 2024 16:52]

_Galavant @Nyarlathotep • 22 maart 2022 09:04

Je zou bijvoorbeeld een brief naar het bekende adres kunnen sturen met een verificatie code + noodzaak van mail uit bekend emailadres of als iemand al ingelogd is een account van bedrijf in combinatie met toegang tot bekend email. SMS codes naar aanwezige telefoonnummers etc.

Zijn zat redenen waarbij ik niet een een officieel identicatie bewijs ergens naar bedrijf x moet sturen. Nou scherm ik de boel altijd af, maar er zouden zat zijn die hun ID/paspoort onafgeschermt ergens heen met alle gevolgen van dien.

Een bedrijf weet toch niet hoe ik er uit zie? Ze zien een kopie waar naam & geboortedatum van desbetreffend persoon op staan.. wat is hier meer secuur aan dan andere gegevens die ze toch al kende?

[Reactie gewijzigd door _Galavant op 23 juli 2024 16:52]

FrankHe

@Nyarlathotep • 22 maart 2022 09:06

Het e-mailadres is vaak bekend en aan dat e-mailadres hangt vaak een account / login op de website. Als de aanvraag via een support ticket op de site wordt ingediend dan is er in beginsel voldaan aan een minimale verificatie. Het is relatief eenvoudig.

IStealYourGun @Nyarlathotep • 22 maart 2022 09:37

Je kan een bevestiging sturen naar het mail adres dat geassocieerd is met het account of een pm/support ticket als je dat hebt gekoppeld aan een profiel.

Persoonlijke verstuur ik mijn aanvraag vaak gewoon als een pdf attachment dat digitaal is ondertekent met mijn eid. Helaas ondersteunen de standard pdf browser viewers niet de detectie of verificatie van digitale signatures

kraanwagen @Nyarlathotep • 22 maart 2022 11:46

Het kan toch simpel met IDIN?

maddog4004 22 maart 2022 09:07

Ik heb dus ook een partij nu waar ik een lening heb lopen, die willen dat ik een vage app van de store download, waar ik foto's van mijn identiteitsbewijs moet maken en uploaden.. Vraag mij af of dat allemaal legaal is. Het is gewoon kant en klare informatie om identiteitsfraude mee te plegen maar ze snappen het gewoon niet.

J_van_Ekris @maddog4004 • 22 maart 2022 09:18

Val jij met die lening niet gewoon onder wetgeving voor financiele dienstverlening? Want dan is er een reden om een paspoort te vereisen....

Het.Draakje @maddog4004 • 22 maart 2022 09:24

Voor een financiële overeenkomst moet je dat soort informatie verstrekken. Banken en dergelijke bedrijven worden daarop gecontroleerd. Dit gebeurd o.a. om over-creditering, witwassen, belastingontduiking en nog een hele hoop meer misdrijven te bestrijden.

ACM Software Architect @maddog4004 • 22 maart 2022 09:24

Financiele instellingen hebben te maken met de wetgeving rond witwassen en terrorismebestrijding. Daarin zijn ze verplicht jouw identiteit vast te stellen. En waar je vroeger naar een bankkantoor kon gaan om je identificatiebewijs te tonen, is dat met online instellingen natuurlijk een stuk lastiger...

killercow @maddog4004 • 22 maart 2022 09:29

Dat mag (meestal), maar ze hebben wel een zorgplicht over die gegevens, die app *moet* dus veilig zijn, en er moet duidelijk zijn met wie ze die gegevens (inc de uitbater van die app dus), delen, en wat daarmee bij al die partijen gebeurt etc.
Zeker bij shady apps kan het nog best eens voorkomen dat er inderdaad een weak link tussen zit, of dat die gegevens via de app-bouwer of hoster in de VS terecht komen wat naar alle waarschijnlijkheid niet mag.

moonlander 22 maart 2022 09:23

Het vreemde was dat ik laatst ook kopie paspoort moest sturen voor een airbnb boeking in Spanje. Dat was verplicht! En dat moest dan gestuurd worden via de airbnb website via de chat.

Of ik moest zelf naar een lokaal politie bureau en daar een bewijs halen. Voor een weekendje weg vond ik dat wat te veel moeite dus heb ik maar kopie gestuurd...

Hoe moet je zoiets wel AVG proof doen? Niemand gaat toch naar zo'n lokaal politie bureau of ??

Het.Draakje @moonlander • 22 maart 2022 09:40

Is in strijd met de wet. https://www.justitia.nl/privacy/kopie-paspoort# Ze mogen inzage vragen, geen kopie.

RoestVrijStaal 22 maart 2022 09:44

Heeft het wel zin om je gegevens uit het bestand van een recruitmentbureau's te halen?

Ik krijg de indruk dat de meesten gebruik maken van (commerciele) databanken die door de jaren heen aangevuld zijn door bots die o.a. LinkedIn en andere (semi)-publieke databanken scrapen.

Aangezien die databanken niet zelf kan aanschrijven of in een niet-EU land opereren, komen je gegevens telkens opnieuw terug in de databanken van de recruiters.
Die zouden dan wel je op een zwarte lijst kunnen zetten, maar dan moeten ze wel je gegevens weten

Jorissie87 22 maart 2022 11:59

Ik heb sowieso het gevoel dat recruitmentbureaus lak hebben aan de AVG regels. Ik heb zo'n 10 jaar geleden bij het aanmaken van mijn LinkedIn mijn telefoonnummer op mijn profiel geplaatst. Ik heb die nog geen jaar later wegens privacy redenen weer weggehaald. Tot op vandaag wordt ik zeker eens per maand door een recruitmentbureau gebeld. Wanneer ik vraag hoe ze aan mijn telefoonnummer komen is het altijd "oh, dat weet ik niet. Die stond in ons systeem en daar ga ik niet over". Ze geven aan mijn nummer uit het systeem te verwijderen om in de toekomst gewoon doodleuk nog eens te bellen. Waarschijnlijk hebben ze mijn gegevens gekocht als prospectlijst van een broker ofzo maar ik heb daar nooit om gevraagd of goedkeuring voor gegeven en ik kom er ook gewoon niet vanaf.

MrMonkE @Jorissie87 • 22 maart 2022 12:47

haha mijn inbox staat gelukkig niet lager vol met hun meuk.
Maar twee dappere dodos sturen me nog elke maand braaf een paar job-openinngs

100% AVG overtreding. maar is maar een druppel in de zee van mijn spam dus meh

Jorissie87 @MrMonkE • 22 maart 2022 12:52

Mail vind ik prima, dat kan ik op eigen initiatief en gelegenheid openen mocht ik ooit open staan voor een transfer. Een telefoontje zit ik gewoon niet op te wachten. Voor mijn werk moet ik goed bereikbaar zijn dus beantwoord ook telefoontjes als ik het nr niet ken of onbekend is. Als het dan een recruiter is die geforceerd mijn beste vriend gaat lopen spelen omdat hij/zij iets van mij nodig heeft dan ben ik er alweer klaar mee.

MrMonkE @Jorissie87 • 22 maart 2022 13:00

Ach, Zoals de meeste verkopers: kunnen niets, weten niets..
Alles wat ze zeggen kun je toch niet op aan ivm "kunnen niets, weten niets".
(Over vakinhoudelijke zaken dan.)

En van dat laatste dat weet je toch.
Gewoon laten glijen die gasten en wellicht hou je er een leuke opdracht aan over.
En zodra je de opdracht hebt hoor je meestal niets meer.
1x heeft een recruiter me elke maand bezocht op een opdracht, checken hoe het ging enz. Die gozer deed het wel serieus. Maar goed.. toegevoegde waarde 0 als je zelfs maar een klein beetje assertief bent en niet in een of ander aso bedrijf zit.

Deido 22 maart 2022 11:03

Ik krijg een beetje het gevoel dat
Mevrouw wel heel erg zit te muggenziften.

Bescherming van gegevens is belangrijk, maar volgens mevrouw zijn haar gegevens verifierbaar met haar account info en is identificatie van de actieve users niet belangrijk. Dat vind ik op basis van privacy niet heel veilig klinken. Nu weet ik niet hoe groot de database is en of er 2fa gebruikt wordt (zoverre dat helpt).

Maar omdat 1 Nederlander niet ok was om een deels afgeschermde paspoort kopie te sturen naar de recruiter, krijgen ze gelijk 240.000 op de broek.

Wow, en wat heeft mevrouw hieruit gewonnen? Haar privacy? Ik betwijfel het.

MSalters @Deido • 22 maart 2022 12:00

Bedrijven hebben zich gewoon aan de wet te houden. Dat is geen "muggenziften".

55martin 22 maart 2022 09:35

Bedrijven weten heel goed waar ze mee bezig zijn. Je merkt telkens weer dat bedrijven drempels opwerpen voor de consument/klant. Ook als het om privacy gaat, maar niet alleen. Mocht men het allemaal niet zo goed weten, dan is men traag en nalatig en is er werk aan de winkel. Zorg dat je processen op orde zijn. Een boete is dan een aardig drukmiddel. Een keer een foutje wordt niet met een torenhoge boete afgestraft.

peterpijpelink 22 maart 2022 09:42

Het is niet de vraag of je als persoon of bedrijf/organisatie gehackt gaat worden, maar wanneer. Dat zeg ik steeds. En zeker bij een organisatie bijvoorbeeld als KVK waar ik verplicht gegevens moet aanleveren (UBO regeling), (privé bankrekening 1 ct overmaken), ID opsturen zonder BSN te mogen doorhalen etc.. is het de vraag wanneer dit eens mega fout gaat. Dan gaat iedereen huilie-huilie doen terwijl we juist blij moeten zijn met dit soort boetes. Juist omdat regels op Europees worden doorgedrukt (voorbeeld is eerder genoemde UBO regeling) is het goed dat we scherp blijven en nadenken. Dit soort boetes leren bedrijven nadenken blijkbaar. En zoals iemand hiervoor al zegt, online identificatie moet want er zijn geen fysieke kantoren meer. Onzin, het gaat niet om het ontbreken van een kantoor, maar om geld. Organisaties willen geen kosten maken voor veilige en goed identificatie en nemen liever het risico, terwijl ik voor legitimatie bij een bank of KVK wel tijd wil inruimen als ik ook 100% zeker weet dat het systeem waar mijn gegevens worden opgeslagen offline is, anders heeft het nog geen zin...

x280 22 maart 2022 10:28

Ik ga eens al mijn recruitment vrienden een bericht sturen met dit resultaat. Ik ben benieuwd of ze nu anders gaan werken ...

Op dit item kan niet meer gereageerd worden.

Recruitmentbureau krijgt AVG-boete na Nederlandse klacht over paspoortkopie

Lees meer

IT-banen

Reacties (75)

Sorteer op:

Weergave: