Heb jij weleens een kopie van je identiteitsbewijs geüpload of verzonden omdat een bedrijf dat eiste? En mocht je je burgerservicenummer (BSN) toen niet afschermen? Op het forum is te lezen dat een consument tegen deze kwestie aan liep bij Vinted, een marktplaats voor kleding. Maar mag dit eigenlijk wel? Radar legde de vraag voor aan Nadia Benaissa, juridisch beleidsadviseur bij Bits of Freedom.
 

Radar-forum

De betreffende consument, Liesbeth Winter, laat desgevraagd weten dat Vinted om een kopie van haar ID-bewijs vroeg omdat ze blijkbaar een verkooplimiet naderde. 'Ze wilden verifiëren dat ik het echt ben. Er staat overigens nergens wat die limiet dan is, maar ik heb om en nabij 300 à 400 euro aan kleding verkocht.'

Ze kreeg ongeveer drie maanden geleden een waarschuwing over het naderen van de verkooplimiet. 'Ik kon toen nog best wel wat verkopen. Daarna lukte het niet meer en moest ik mijn ID-bewijs uploaden.' Hier kun je het forumbericht nalezen. 

Watermerk

Winter: 'Ik heb toen gelijk mijn ID-bewijs geüpload, maar hij werd niet geaccepteerd omdat ik het document had voorzien van een watermerk en mijn BSN had doorgestreept.'

Op 24 augustus jl. probeerde ze het weer. 'Maar toen was mijn BSN wél zichtbaar. Ik had het document weer voorzien van een watermerk. Mijn ID werd toen wel geaccepteerd, maar ik plaats hier vraagtekens bij. Kwaadwilligen kunnen misschien niet letterlijk mijn paspoort gebruiken door een watermerk, maar mijn BSN is wel gewoon zichtbaar en daar kunnen ze wel van alles mee.'

Onrechtmatig

Nadia Benaissa, juridisch beleidsadviseur bij Bits of Freedom, meldt dat ze vaker zulke klachten binnenkrijgen van mensen die als het ware worden gedwongen hun ID-bewijs te uploaden. 'Heel vaak is dat onrechtmatig.'

Welke bedrijven mogen dit wel van je eisen en welke niet?

Benaissa: 'Nou, vrijwel geen bedrijf mag dit via het internet vragen, want het zijn zulke fraudegevoelige gegevens. En zeker het BSN, daar is een speciale grondslag voor nodig. Dat is geregeld in de Algemene Verordening Gegevensbescherming (AVG). Als het niet in die wet is geregeld, en meestal is dat tussen de overheid en een burger, dan mag het niet.'

'We slaan geen documenten op in ons systeem'

Vaak geven bedrijven aan dat ze de documenten niet opslaan in hun systeem. Dit wordt ook op de website van Vinted aangegeven. 'Elk document gaat rechtstreeks naar onze betalingsprovider MangoPay, waar ze deze veilig verwerken. We streven er altijd naar om Vinted zo veilig mogelijk te houden en een betrouwbare community op te bouwen. Daarom maken we gebruik van betrouwbare betalingsproviders. Deze betalingsproviders kunnen aanvullende gegevens over jou verzamelen om de 'Know Your Customer-procedure (KYC)' uit te voeren.'

Volgens de jurist mag het dan echter nog steeds niet. 'Op het moment dat je gegevens verwerkt, en dat is niet alleen het opslaan maar ook het doorsturen of inzien, dan heb je dus op basis van de AVG een grondslag nodig en voor het gebruik van een BSN is die er vrijwel nooit, zeker niet voor commerciële partijen.'

Ze voegt hieraan toe dat die grondslag er wel is voor overheidsinstellingen. 'Maar die zullen het niet zo snel vragen via het internet. Zij maken gebruik van DigiD, wat een veel veiliger middel is dan het verzenden of uploaden van je identiteitsbewijs.'

Toch 'even snel' uploaden

Aan mensen die soms toch 'even snel' hun ID-bewijs uploaden om van een bepaalde dienst gebruik te kunnen maken, adviseert Benaissa: 'Wees er in ieder geval van bewust dat je ID-bewijs een super fraudegevoelig document is. Als daar misbruik van wordt gemaakt ben je echt de sjaak. Dus denk er goed over na of je dat wilt doen.'

Ze begrijpt dat consumenten zich soms in een hele lastige positie bevinden omdat ze niet kunnen doen wat ze willen op het internet, als ze er niet in meegaan. 'In dat geval zou ik in ieder geval een klacht indienen bij de functionaris gegevensbescherming van dat bedrijf. Dat is de interne privacytoezichthouder. Daarnaast zou ik een klachten indienen bij de externe toezichthouder, de Autoriteit Persoonsgegevens.'

Facebook

Ten slotte meldt ze dat je ook moet oppassen met het delen van je ID-bewijs met Facebook. 'Ik weet dat ze er ook om vragen als er problemen zijn met het inloggen. Facebook is bij uitstek dé organisatie waar je het niet mee wilt delen. Maar als je het niet doet, kun je dus ook niet meer inloggen. Het is echt belachelijk hoe er wordt omgegaan met ID-gegevens die zo fraudegevoelig zijn.'

Lees ook:

De naam van de consument is wegens privacyredenen gefingeerd.