Advies omtrent verwerken DigiD’s binnen het IDO

11 april 2022

Aanleiding

Bibliotheken hebben in samenwerking met de KB en diverse overheidsinstanties IDO’s geopend. In vestigingen van de bibliotheken in heel Nederland worden burgers geholpen bij het vinden van hun weg in de Digitale Overheid. De hulp bestaat uit het geven van informatie, het wegwijzen binnen de digitale overheid en het doorverwijzen naar lokale doorverwijspartners. Zij helpen de klant verder bij meer persoonlijke casuïstiek, het invullen van formulieren en het aanvragen van bijvoorbeeld toeslagen. Dat behoort nadrukkelijk niet tot de taken van het IDO. De grenzen van de dienstverlening zijn vastgelegd in de Handreiking ‘Hulp bieden binnen het Informatiepunt Digitale Overheid’.

Echter de dienstverlening van het IDO verandert. Tijdens de periode dat Nederland geteisterd werd door de coronapandemie werd de CoronaCheck-app en de QR-toegangscode geïntroduceerd. Bibliotheken werden door de overheid aangewezen als plek waar klanten praktische hulp bij het aanmaken van een code konden krijgen. Maar ook hulp bij het aanmaken en activeren van een DigiD en het helpen bij het maken van een booster/vaccinatie-afspraak.

Naar aanleiding van deze veranderende en steeds meer uitvoerende rol van de IDO’s lopen we tegen meer juridische grenzen aan.
Om duidelijkheid te krijgen, heeft Probiblio advies gevraagd bij de juristen van Dirkzwager Legal & Tax. Dit is de samenvatting van het advies dat door hen gegeven werd. Het is aan te raden om de goed leesbare en praktische stuken in zijn geheel te lezen. Er worden meer vragen behandeld, nuances aangebracht en praktische tips gegeven. De stukken zijn op te vragen via privacy@probiblio.nl

Vragen

A: Mag een IDO-medewerker een DigiD aanvragen voor een ander en daarbij alle genoemde handelingen uitvoeren?

IDO-medewerkers mogen geen DigiD aanvragen voor klanten. In de wet is namelijk bepaald dat men alleen voor zichzelf een DigiD mag aanvragen, niet voor anderen. De medewerkers mogen de klant wel helpen bij de aanvraag en “over de schouder kijken”.

B: Is in de wet een regeling opgenomen waarbij hulpverleners of hulpverlenende instanties een DigiD aan mogen vragen voor mensen die hier psychisch, lichamelijk of juridisch niet toe in staat zijn?

Nee. Dit is een lacune in de wet. Er wordt wel gewerkt aan een oplossing, maar hoe deze eruit zal zien, of het een oplossing voor IDO’s zal zijn en wanneer deze oplossing gerealiseerd zal zijn, is op dit moment niet bekend.

C: Hoe mag de klant wel geholpen worden bij het aanmaken van een DigiD.

Het belangrijkste obstakel is het BSN-nummer. Het BSN is geen bijzonder persoonsgegeven, maar ook geen “normaal” persoonsgegeven. Op grond van artikel 46 van de Uitvoeringswet AVG (UAVG) mag een BSN bij de verwerking van persoonsgegevens slechts worden gebruikt “ter uitvoering van de desbetreffende wet dan wel voor doeleinden bij de wet bepaald”. Het BSN mag dus alleen worden verwerkt indien en voor zover de wet dit uitdrukkelijk toestaat. Er is hierbij, anders dan in de rest van de privacyregelgeving, geen ruimte voor eigen afwegingen van de private partij.

Centraal staat dat de aanvraag van een DigiD moet worden gedaan door de betrokkene zelf, en dat de IDO-medewerkers het BSN niet mogen verwerken. Binnen die kaders mogen de IDO-medewerkers wel persoonsgegevens verwerken bij het helpen. Een belangrijke waarborg daarbij is dat er geïnformeerde, specifieke en uitdrukkelijk toestemming is voor de hulpverlening.

Beter is de klant zelf de gegevens in te laten voeren en hem daarbij te coachen door over de schouder mee te kijken en aanwijzingen te geven. De klant dient zelf de aanvraag te voltooien.

Het verdient aanbeveling om altijd uitgebreide informatie te geven in zeer begrijpelijke vorm. Neem niet zomaar aan dat toestemming van de klant ook kwalificeert als een vrije, specifieke, geïnformeerde en ondubbelzinnige toestemmingsuiting. Ook is het opstellen, naleven en verspreiden van een privacystatement belangrijk.

D: Mag een IDO-medewerker in een account inloggen van een klant als deze toestemming geeft?

Ja dat mag. Daarvoor is wel de uitdrukkelijke toestemming van de klant voor nodig. Regel dit met een toestemmingsformulier dat voldoet aan de eisen die de AVG daaraan stelt. [AVG: artikel 7]

E: Mag de IDO-medewerker een app installeren op de telefoon van de klant?

Ja dat mag. De klant dient hiervoor toestemming te verlenen aan de IDO-medewerker. Voor de zorgvuldigheid zou je ook hiervoor schriftelijke toestemming kunnen vragen.

F: Mag een IDO-medewerker een Corona QR-code activeren voor de klant of een vaccinatie-afspraak maken?

Ja dat mag, vermits daar uitdrukkelijk toestemming voor gevraagd wordt middels een toestemmingsformulier dat voldoet aan de eisen die de AVG daaraan stelt. [AVG: artikel 7]
Tijdens het proces zijn bijzondere persoonsgegevens zichtbaar. Bijzondere persoonsgegevens worden beschouwd als extra privacygevoelig omdat ze iets zeggen over bijvoorbeeld seksuele voorkeuren, politieke, religieuze of levensbeschouwelijke opvattingen en de gezondheid van een persoon. In dit geval zijn medische gegevens over vaccinatie, test of herstel van corona zichtbaar. [AVG: Artikel 9]

G: Kwalificeert meekijken volgens de AVG ook als verwerken en is daar toestemming voor nodig?

Juridisch wordt “over de schouder kijken” weliswaar als een verwerkingshandeling beschouwd, maar een IDO-medewerker zal geen verwerkingshandeling verrichten wanneer hij over de schouder meekijkt van de klant. De klant is degene die de verwerkingshandeling verricht.

H: Mag een toestemmingsverklaring vormgegeven worden waarbij gebruik gemaakt wordt van aankruisvakjes waarop de verschillende uit te voeren handelingen worden vermeld waarvoor toestemming nodig is?

Ja dat mag, zolang het toestemmingsformulier voldoet aan de eisen die de wet eraan stelt [AVG: Artikel 7] en er geen kruisjes vooraf staan aangevinkt. Het is dan wel zaak om de betrokkene actief te betrekken bij het aankruisen, bijvoorbeeld door op te lezen wat er naast het aankruisveld staat. De klant een handtekening laten zetten is een goede manier om te voldoen aan het vereiste van een actieve handeling.