Menig lezer vroeg me:

LinkedIn vraagt om de identiteit van gebruikers te verifiëren door via de NFC-chip van een identiteitsbewijs gegevens op te vragen, zoals de volledige naam, geboortedatum en het BSN. Is dit juridisch gezien wel in lijn met de wet, zoals de AVG? Hotels mogen niet zomaar je paspoort kopiëren, waarom LinkedIn dan wel?

Dit systeem is door sociaal netwerk LinkedIn ingevoerd om meer vertrouwen te introduceren. Zaken doen (toch min of meer het doel van dit netwerk) gaat beter als je weet wie je tegenover je hebt. En hoewel je natuurlijk prima kunt werken onder pseudoniem of artiestennaam, ligt het wel erg voor de hand om dat te verbinden aan de naam aan je overheidsidentificatiedocument.

De uitvoering is uitbesteed aan het bedrijf Persona Identities, een Amerikaans bedrijf dat zich hierin specialiseert. Dat heeft praktische voordelen, zoals dat zij het veiliger en sneller kunnen. Ook aan AVG compliance is gedacht:

Persona is GDPR and CCPA compliant, which means we’ve implemented a robust privacy program that includes secure data transfer and processing practices. We also achieved SOC 2 Type II at the end of 2019. We have an intake process for data subject rights requests, continuous privacy impact assessments, secure data transfer and storage, and privacy and cookie policies reviewed by external legal counsel. We also maintain records of processing as both a controller and processor.

Men opereert – in de dienstverlening naar LinkedIn – als een verwerker: LinkedIn moet zeggen welke gegevens moeten worden uitgelezen en aan haar gegeven, waarna het sociaal netwerk bepaalt wat daarmee gebeurt. Meer informatie hierover zul je bij Persona dus niet vinden, en moeten we bij LinkedIn zijn:

  • Your name as it appears on your government issued ID
  • The type of ID document you’ve submitted to Persona to verify your identity (i.e., passport)
  • The issuer of that ID document
  • A hashed, unique identifier generated by Persona during the ID verification process (“UID”)
  • Your RequestID
  • … LinkedIn doesn’t receive your biometric data or photos, numbers, or expiry or issue dates associated with your government issued ID (e.g. passport).

Het is dus zeker mogelijk dat Persona het bsn uitleest als deel van de chipleesactie (hoewel ik dacht dat het bsn niet op de chip stond), maar dat gaat dus niet naar LinkedIn. Hetzelfde zal gelden voor andere informatie. En ja, je moet ze op hun woord geloven maar dat heb je altijd.

Blijft over de vraag: mag LinkedIn dit zo doen? Het antwoord is ja, gezien de beperkte uitvraag van je ID-kaart en het feit dat het volledig vrijwillig is. Je krijgt niet meer of minder functionaliteiten door je identiteit te verifiëren, je wordt niet afgesloten en je komt niet hoger of lager in algoritmische overzichten.

Arnoud