De kopie van je paspoort is een tijdbom die ontmanteld moet worden

In dit artikel:

Nederlanders geven aan privacy belangrijk te vinden, maar delen routinematig persoonsgegevens met techbedrijven en dienstverleners zonder daar consequenties van te voelen. Een maand geleden maakte de hack bij telecombedrijf Odido die afstand tussen woorden en daden pijnlijk duidelijk: criminelen wisten miljoenen persoonsgegevens buit te maken, waaronder nummers van legitimatiebewijzen en gevoelige data van zo’n zestienduizend medewerkers uit vitale sectoren.

Het lek vergroot direct het risico op identiteitsfraude; jaarlijks worden meer dan honderdduizend Nederlanders slachtoffer. Het Centraal Justitieel Incassobureau (CJIB) merkt een toename van vragen over verdachte berichten, mogelijk gerelateerd aan de hack. De zaak laat ook twee structurele problemen zien: organisaties bewaren kopieën van ID-bewijzen veel te lang — vaak langer dan noodzakelijk om iemands identiteit vast te stellen — en een enkele kwaadwillende medewerker met toegang volstaat om grote schade te veroorzaken.

Tegelijkertijd speelde bij de Hoge Raad een zaak met verstrekkende gevolgen. Een klant van creditcardverstrekker ICS weigerde een kopie van zijn ID en een selfie te sturen; ICS beëindigde de overeenkomst omdat de klant niet voldeed aan de identificatie-eis. ICS beroept zich op de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) die volgens hen een bewaarplicht van vijf jaar oplegt. Die uitleg is echter niet eenduidig en de Hoge Raad heeft vragen voorgelegd aan het Europees Hof. Als het Hof stelt dat het eisen en opslaan van kopieën in strijd is met de AVG, kan dat grote gevolgen hebben voor banken en andere meldplichtigen die nu enorme databases van ID-kopieën aanleggen.

Opmerkelijk is dat banken volgens de Nederlandse uitvoering van de AVG (art. 42 UAVG) niet verplicht zijn klanten te informeren bij een datalek; slachtoffers van gestolen ID-kopieën zouden dus mogelijk nooit weten dat hun gegevens zijn uitgelekt.

Juristen zoals Danny Mekić betogen dat het massaal eisen en bewaren van ID-kopieën en selfies een ernstige inbreuk vormt op het recht op privacy. Volgens hen zouden instellingen kunnen volstaan met het vastleggen van losse identificatiegegevens in plaats van volwaardige kopieën; voor selfies ontbreekt in ieder geval een wettelijke grondslag.

Een mogelijke technische oplossing is de Europese Digitale Identiteit (EDI): een gecertificeerde wallet-app waarmee gebruikers verijlbare identiteitskenmerken versleuteld delen zonder complete ID-kopieën te verstrekken. Nederland moet uiterlijk eind 2026 minimaal één gratis, gecertificeerde wallet beschikbaar hebben; acceptatie door overheden en zorg is verplicht, private partijen volgen een jaar later. Of dat tijdig en effectief werkt, is nog onzeker. De uitkomst van de rechtszaak en de invoering van de EDI zullen bepalen of het huidige systeem van massale opslag van ID-kopieën wordt doorbroken.