Wat moet een sportclub met mijn paspoort? - Hoofdinhoud
Steeds vaker is voor het verkrijgen van een dienst, product of lidmaatschap vereist om een groot aantal persoonsgegevens, waaronder meestal een kopie van paspoort of ID kaart, af te staan aan bedrijven en organisaties. Telecom aanbieders eisen een kopie van identiteitsbewijs en een bankafschrift voor het verkrijgen van een abonnement, maar ook de plaatselijke sportclub stelt dezelfde eisen voor een lidmaatschap.
Ik heb een aantal bezwaren tegen deze groeiende praktijk, zowel uit oogpunt van privacy als consumentenbescherming. Ten eerste heeft een consument eigenlijk geen echt vrije keus, aangezien in veel gevallen alle bedrijven binnen een sector dezelfde categorieën persoonsgegevens vragen. Het afstaan van een kopie van het identiteitsbewijs en een bankafschrift wordt de facto een voorwaarde voor het verkrijgen van bepaalde diensten en producten. Dit geldt vooral voor essentiële diensten als toegang tot het internet of een telefoonabonnement.
In de tweede plaats lijken de gevraagde gegevens me volstrekt onnodig voor de bedrijfsvoering. Het controleren van de kredietwaardigheid van een klant lijkt in veel gevallen excessief, aangezien het gaat om kleine bedragen voor een dienst die veelal bij wanbetaling simpelweg afgesloten kan worden. In de gevallen waar vooruit moet worden betaald, is het me al helemaal onduidelijk waarom kredietwaardigheid dient te worden getoetst. Ook is mij niet duidelijk waarom het voor een goede bedrijfsvoering essentieel zou zijn om de officiële identiteit van een klant te verifiëren.
Heel veel bedrijven leveren (dure) producten en diensten zonder te vragen om identificatie of kredietwaardigheid. Bijvoorbeeld bestellen van meubels, het verrichten van (verbouwingswerkzaamheden) in huis, het boeken van een vakantiereis, het bezorgen van boodschappen, enzovoort. Mijn grootste bezwaar is echter de grootschalige opslag van de gevraagde persoonsgegevens. Bedrijven leggen feitelijk grote bestanden aan van kopieën van paspoorten en identiteitsbewijzen en bankafschriften. De noodzaak van dergelijke bestanden voor de bedrijfsvoering is mij niet duidelijk. Van veel bedrijven betwijfel ik of ze bekend zijn met de regels inzake bescherming persoonsgegevens (zoals in het voorbeeld van de sportclub), en of de veiligheidsmaatregelen rondom een dergelijk bestand wel adequaat zijn. Dergelijke bestanden brengen aanzienlijke risico’s op verlies, lekken diefstal en fraude met zich mee. Daarnaast is er geen duidelijkheid over de risico’s van gebruik van deze bestanden door derden (inclusief politie, justitie en inlichtingendiensten) en het combineren van deze bestanden met gegevens in andere bestanden.
Een gemiddelde consument komt voor in talloze bestanden. Daardoor kan eenvoudig een gedetailleerd beeld worden gevormd van de levensstijl en activiteiten van een persoon, zonder dat hij/zij zich daarvan bewust is. Tenslotte maakt de interne markt dat bedrijven en consumenten over de grenzen heen diensten en producten kunnen aanbieden respectievelijk afnemen. Dit werpt de vraag op welke regels van toepassing zijn.
(Dit is een bewerking van een brief die Sophie in ‘t Veld eind augustus 2010 heeft geschreven aan het College Bescherming Persoonsgegevens met daarin de vraag of het CBP bekend is met de praktijk en de ontwikkelingen in andere EU Lidstaten)
Tags: College Bescherming Persoonsgegevens, lidmaatschap, persoonsgegevens. privacy, privacy, sophie in t veld