Meldingen van identiteitsfraude gekoppeld aan online ingediende identiteitsscans zijn vorig jaar met ruim 50% gestegen, meldt de Telegraaf, omdat een groeiend aantal platforms gebruikers vraagt om kopieën van hun paspoort of identiteitskaart te uploaden.
Het overheidsrapportagecentrum voor identiteitsfraude (CMI) ontving in 2025 3.373 meldingen van fraude door gebruikers die scans van hun identiteitsbewijs overhandigden – tegen 2.208 een jaar eerder – aldus de krant, onder verwijzing naar de interne gegevens van het bureau. Het aantal meldingen is opnieuw gestegen van 326 in januari dit jaar naar 1.350 in april.
Alleen bepaalde soorten organisaties zijn wettelijk verplicht om de identiteit van klanten te verifiëren met een volledige ID-scan – banken, verzekeraars, cryptocurrency-platforms en gelicentieerde goksites, op grond van de wet ter voorkoming van witwassen en de kansspelwet.
Maar Airbnb, Tinder, LinkedIn, Ryanair, Instagram, Facebook, Pornhub en OnlyFans hebben allemaal ID-scancontroles geïntroduceerd of uitgebreid, aldus de Telegraaf, daarbij verwijzend naar de detectie van nepprofielen, leeftijdsverificatie onder de EU Digital Services Act, of vertrouwen en veiligheid.
Gerouteerd via een Amerikaans bedrijf
Veel van deze platforms, waaronder LinkedIn, Ryanair, Airbnb en Roblox, sturen hun cheques via Persona, een in San Francisco gevestigd bedrijf voor identiteitsverificatie. In februari ontdekten onderzoekers dat Persona de volledige codebase van het overheidsdashboard – 53 megabytes verdeeld over 2.456 bestanden – publiekelijk toegankelijk had gelaten op een door de Amerikaanse overheid geautoriseerde server.
Privacy-expert Brenno de Winter vertelde de Telegraaf dat de Amerikaanse autoriteiten op grond van de US Cloud Act Amerikaanse bedrijven kunnen dwingen gegevens te overhandigen, wat betekent dat Nederlandse paspoortscans die door Persona worden verwerkt in principe door Amerikaanse instanties kunnen worden opgevraagd.
Dezelfde blootstelling aan de Cloud Act ligt aan de basis van de voortdurende controverse over de voorgestelde Amerikaanse overname van Solvinity, dat het DigiD-identiteitssysteem van de overheid huisvest, evenals een collectieve actie tegen Odido na het lekken van ID-gegevens van 6,2 miljoen klanten in februari.
Wat de toezichthouder zegt
De Nederlandse gegevensbeschermingsautoriteit zegt dat sociale-mediaplatforms alleen een identiteitsscan mogen eisen als er een geloofwaardige reden is om aan de identiteit van een gebruiker te twijfelen en als er geen alternatieve verificatiemethode beschikbaar is.
Gebruikers die om een scan worden gevraagd, moeten vragen waarom deze nodig is, contact opnemen met de functionaris voor gegevensbescherming van het platform en hun BSN-nummers verbergen, samen met eventuele andere onnodige informatie. Met de KopieID-app van het ministerie van Binnenlandse Zaken kunnen gebruikers een watermerk toevoegen met het doel en de datum van de kopie.
EU-leeftijdscontrole
De Europese Commissie heeft er bij de lidstaten op aangedrongen om tegen het einde van het jaar een app voor leeftijdsverificatie in de hele EU uit te rollen, waarmee gebruikers kunnen bewijzen dat ze ouder zijn dan 18 jaar zonder hun identiteit of geboortedatum bekend te maken.
Nederland behoort niet tot de zeven landen die de technologie testen – Cyprus, Denemarken, Frankrijk, Griekenland, Ierland, Italië en Spanje – en Brussel is er niet in geslaagd de app verplicht te stellen.
