Blog: Kopie ID? Weg ermee!

De zomervakantie staat voor de deur! Terwijl sommige collega’s al lekker richting de zon vertrekken, werken anderen gestaag door. Gelukkig is het meestal wat rustiger op de afdelingen, waardoor er ook ruimte is voor ‘zomerklusjes’. De IBD wil graag een suggestie doen voor zo’n zomerklusje.

Ook dit jaar is er helaas weer een aantal gemeenten slachtoffer geworden van een hack. In sommige gevallen zijn daarbij de buitgemaakte gegevens online gezet. Zo’n datalek is op zich natuurlijk al heel vervelend, maar als daar ook kopietjes van identiteitsbewijzen tussen zitten, dan is dat nog eens extra problematisch. De kans op identiteitsfraude neemt dan toe, waardoor gemeenten niet anders kunnen dan de identiteitsbewijzen van betrokkenen ongeldig te verklaren en ze te voorzien van nieuwe documenten. Ook dit is voor betrokkenen natuurlijk ​vervelend.

Houd dus je digitale gemeentehuis op orde en verwijder privacygevoelige bestanden op tijd! Dan kun je er ook geen negatieve gevolgen van ondervinden in het geval je gehackt wordt.

Het bewaren van kopietjes van identiteitsbewijzen is over het algemeen verboden. Slechts in heel specifieke gevallen is dat toegestaan en eerlijk is eerlijk: die gevallen komen bij de gemeente niet veel voor. Toch worden er veel kopietjes opgeslagen, of worden ze (onterecht) door inwoners aangeleverd en blijven ze ‘hangen’ in een zaaksysteem, mailbox of dossier. Met alle gevolgen van dien op het moment dat er een beveiligingsincident plaatsvindt… De hoogste tijd dus om op te gaan ruimen!

Een eerste actie kan zijn om simpelweg eens te zoeken op ID en dan te wissen wat er naar boven komt. Op basis daarvan kun je -wellicht in de zomer- een plan maken voor een kleine campagne te starten die medewerkers bewust maakt van de gevaren die kleven aan het opslaan van kopietjes ID. Die campagne kan heel gericht zijn, niet alle afdelingen hebben immers met deze documenten te maken.

Het kan best zijn dat een werkwijze moet worden aangepast, voordat er iets kan veranderen. Ga hierover met de afdelingen in gesprek. Simpelweg roepen dat iets niet (meer) mag is vaak niet de juiste weg.

Denk ook aan de verschillende momenten waarop een kopie ID de organisatie kan binnenkomen en/of kan worden opgeslagen:

  • Ongevraagd door inwoner aangeleverd (maak in aanvraagformulieren duidelijk wanneer dit wel of juist niet de bedoeling is)
  • Opgevraagd door een medewerker en direct verstrekt via e-mail (laat medewerkers ook eens in de eigen e-mailarchieven zoeken op ‘kopie ID’ of ‘ID’ en vernietig wat er dan naar boven komt)
  • Aangeleverd via een zaaksysteem (kijk of er een label ‘kopie ID’ (of iets dergelijks) aan is toegevoegd en voer daar, in overleg met de afdeling DIV/Archief een vernietigingsactie op uit)
  • Opgeslagen in een applicatie(dossier) (kijk of er een label ‘kopie ID’ (of iets dergelijks) aan is toegevoegd en voer daar, in overleg met de afdeling DIV/Archief een vernietigingsactie op uit)

Het probleem is waarschijnlijk niet in één klap opgelost, maar verhoogde bewustwording, het dichtdraaien van de kraan voor wat betreft de aanlevering van nieuwe kopietjes ID en het opschonen van oude kopietjes ID gaan al een wereld van verschil maken en zijn het begin van een kopie ID-vrije organisatie!

– Rozemarijn Smink, privacyadviseur IBD