Online-ID-checks: riskant en vaak onnodig

We kenden al de verplichte (online) ID-checks van banken en verzekeraars. Die checks of verificaties zijn het gevolg van strenge wetgeving. Daar ontkom je niet aan. Sinds kort bieden ook 4 grote onlineplatforms buiten de financiële sector een ID-check aan: 

• Airbnb
• LinkedIn
• Ryanair
• Tinder

Hun ID-check is min of meer vrijwillig. Het moet allerlei vormen van (identiteits)fraude tegengaan. Zo kunnen platformgebruikers niet langer een nepnaam opgeven. Alleen ontstaan hiermee ook nieuwe risico’s. Zo kunnen de ID-kopie en andere persoonsgegevens via een datalek in verkeerde handen komen. Of ze worden gebruikt voor iets anders dan alleen de check. 

We doorliepen de ID-checks van de 4 platforms. We zagen bij alle 4 wat problemen.

Gecheckt: verificatie door LinkedIn  

Carrièreplatform LinkedIn is van techreus Microsoft. Het platform heeft 5,5 miljoen Nederlandse gebruikers. Het biedt sinds 2024 een vrijwillige verificatie. Daarmee zegt het bedrijf nepprofielen te bestrijden.

Hoe werkt het? Met de LinkedIn-app en de telefooncamera scan je je paspoort. Andere identiteitsdocumenten scannen is niet mogelijk. Daarna moet je de NFC-chip van je paspoort uitlezen, ook met de telefoon. Tot slot maak je enkele selfies. Hierna staat er een ‘geverifieerd’-tekentje op je LinkedIn-profiel.

Miranda Molenaar is LinkedIn-expert. Zij is net als duizenden andere zzp’ers afhankelijk van haar reputatie op LinkedIn. ‘LinkedIn beloofde dat een verificatie tot 60% meer bezoek zou opleveren. Ik besloot de kleine lettertjes te lezen bij Persona, het Amerikaanse bedrijf dat voor LinkedIn de verificaties uitvoert.'

Molenaar vervolgt: 'Ik schrok van de hoeveelheid gegevens die Persona wil bewaren en delen met andere bedrijven, ook buiten Europa. Ik raad sindsdien al mijn klanten af om de verificatie te doen. Het is niet nodig voor je zichtbaarheid en je loopt onnodig risico op ID-fraude.’

Gegevens gedeeld

Wij lezen in de privacyvoorwaarden dat Persona de verzamelde gegevens deelt met ‘serviceproviders’ en ‘datapartners’. Zonder een verdere toelichting. Het bedrijf gebruikt een deel van de gegevens voor ‘fraudebestrijding’. Maar het legt niet uit wat dat inhoudt. Het is niet helemaal duidelijk wat er met je data gebeurt. 

Je kunt je ook afvragen of de verificatie van LinkedIn wel vrij en zonder dwang is. Ze beloven je meer bezoek aan je profiel. Maar daarmee pusht het bedrijf je richting het overdragen van gevoelige gegevens. 

Conclusie

De ID-check bij Linkedin lijkt ons overbodig. Je gegevens delen met een Amerikaans bedrijf is een risico op zich. Onnodig zo je biometrische informatie delen is riskant.

Gecheckt: verificatie door Airbnb

Het platform voor tijdelijke verhuur van accommodaties heeft jaarlijks enkele miljoenen Nederlandse gebruikers. Bij LinkedIn is de gebruikersverificatie een optie, maar bij Airbnb is de ID-check sinds 2023 verplicht. Dat komt onder andere door opvallende incidenten, zoals uit de hand gelopen feestjes in gehuurde villa’s.

Voor een deel van de platformgebruikers stelt de check niet veel voor. Je naam, adres en/of andere persoonlijke gegevens maken op Airbnb al een betrouwbare indruk.

Maar van andere gebruikers heeft het platform te weinig betrouwbare gegevens. Zij moeten met een kopie van hun legitimatiebewijs bewijzen dat de door hen opgegeven naam klopt. Airbnb kan ook vragen een selfie te maken. Zo kunnen ze het portret op de ID met de foto vergelijken.

Het verificatieproces is in handen van Airbnb zelf. De privacyverklaring is vaag over wat Airbnb (verder) kan doen met de gegevens. Commercieel gebruik wordt niet nadrukkelijk uitgesloten.

Onveilige instructie

Airbnb adviseert  terecht om het bsn en de QR-code op je legitimatiebewijs af te dekken. Dat verkleint de kans op ID-fraude. Een misser is dat Airbnb - op het moment dat wij kijken - adviseert om alleen het woord ‘kopie’ als watermerk aan te brengen. Dat is onveilig en niet genoeg. Als een fraudeur zo'n beperkt gewatermerkte ID-kopie in handen krijgt, kan hij nog steeds een telefoonabonnement op die naam afsluiten. Er moet staan ‘kopie: alleen bedoeld voor Airbnb’.

Update 26 september

Op ons verzoek heeft Airbnb de instructie inmiddels aangepast. Er staat nu het veilige advies op de ID-kopie te schrijven 'Copy - intended for Airbnb only' of 'Kopie: alleen bedoeld voor Airbnb'.    

Conclusie

Airbnb gaf aanvankelijk niet de meest veilige instructies voor het uitvoeren van de ID-check. Het platform heeft zijn instructies op ons aandringen aangepast en dat is een goede zaak.

Gecheckt: verificatie door Tinder 

Het Amerikaanse Tinder is een van de grootste onlinedatingplatforms. Gebruikers klagen veel over nepprofielen. Daters die niet eerlijk zijn over hun ware identiteit. Ze doen dit onder andere voor datingfraude (ze gaan bedelen om geld) en catfishing (ze doen zich voor als een ander met gestolen foto’s). In de strijd tegen valse profielen biedt Tinder sinds 2020 een fotoverificatie. Deze is vooralsnog vrijwillig.

Tinder checkt niet de opgegeven naam en foto met een overheidsdocument. Het platform checkt alleen of een scan van het gezicht klopt met de foto’s op het Tinderprofiel. Tinder verwijdert hierna de videoselfie uit zijn systeem.

Tinder bewaart wél geometrische informatie. De vorm, het formaat en de positie van de neus, oren, ogen, enzovoort. Die blijft in het systeem totdat de gebruiker het Tinderprofiel verwijdert. 

Amerikaanse overheid

Het datingplatform bewaart al zijn gegevens op Europese én op Amerikaanse servers. Dus de Amerikaanse overheid kan hier in principe bij. Deze permanente gegevens mogen alleen voor ‘fotoverificatie’ worden gebruikt. Door wie precies staat er niet bij.

Je kunt als Tindergebruiker na de verificatie instellen dat je alleen nog maar geverifieerde profielen te zien krijgt. Dat klinkt heel veilig. Besef wel dat je dan dus alleen beschermd bent tegen catfishers. Nauwelijks tegen fraudeurs. Met alleen een fotocheck kan een oplichter prima een identiteit (naam en woonplaats) verzinnen. Of ‘lenen’ van een anoniem levende persoon. 

Conclusie

De ID-check van Tinder stelt niet veel voor. Tinder bewaart voor lange tijd de biometrische gegevens na de check. Daar kan de Amerikaanse overheid in principe bij (via een beroep op de 'Cloud Act'). Consumenten die veel waarde hechten aan privacy kunnen deze situatie beter vermijden.  

Gecheckt: verificatie door Ryanair 

Ryanair verplicht sinds 2023 álle klanten een gebruikersaccount aan te maken. Ze moeten zich ook voor het boarden laten verifiëren.

• Je kunt kiezen voor een online ‘expressverificatie’. Daarbij laat je je gezicht en je legitimatiebewijs scannen door de Ryanair-app. De foto’s worden met elkaar vergeleken. 
• Je kunt ook kiezen voor een standaard online verificatie. Je kiest dan voor het uploaden van een ID-kopie én een gescand ingevuld formulier. De handtekening wordt vergeleken met die op het legitimatiebewijs.
• Een derde manier is de verificatie 2 uur voor het boarden op het vliegveld te doen. Ryanair rekent dan wel een toeslag. 

Ryanair is de enige vliegmaatschappij die een vergaande ID-check vooraf verplicht. Het bedrijf zegt zeker te willen weten dat het de juiste contactinformatie heeft voor reisupdates, terugbetalingen en veilige en snelle check-ins. Merkwaardig is dat andere vliegmaatschappijen prima zonder check vooraf kunnen functioneren. 

Conclusie

Elke onnodige verificatie waarbij je gevoelige gegevens zoals kopie-ID en gezichtsscan moet delen, kun je beter vermijden. En deze verificatie lijkt ons niet noodzakelijk.

Groeiend risico op lekken 

Van LinkedIn, Airbnb, Tinder en Ryanair is ons niet bekend dat er recentelijk kopieën van legitimatiebewijzen of andere ID-gegevens zijn gelekt. Maar het risico op lekken neemt wel toe. Dat komt doordat er steeds vaker om een ID-kopie en/of selfies wordt gevraagd om de identiteit te bewijzen.

Een ander risico is gewenning. Als het normaal wordt om je legitimatiebewijs te geven, neemt ook phishing toe. Je krijgt dan sneller nepberichten waarin om een foto van je ID wordt gevraagd.

Veiligere alternatieven

De besproken platforms zouden eens moeten kijken naar veiligere verificatiemethoden. Het welbekende en inmiddels behoorlijk veilige DigiD is helaas geen optie voor de hier besproken platforms. DigiD is namelijk alleen bedoeld voor communicatie met overheden en instanties met een publieke taak.

iDIN

Commerciële platforms kunnen als alternatief iDIN gebruiken. Deze verificatiedienst is een product van de Nederlandse banken en werkt ongeveer zoals DigiD. Alleen gebruik je niet je DigiD-app. Je gebruikt dan je eigen bank-app (met je bankgegevens) om je bij een online platform te identificeren.

Per identificatie betaalt het platform dat ermee werkt zo’n €0,50 aan iDIN. Het systeem werkt helaas alleen in Nederland. Je hebt als gebruiker namelijk een Nederlandse bankrekening nodig.

EDI-wallet 

Eind 2026 komt een belangrijke internationale verificatiemethode beschikbaar: de EDI-wallet.  Elk EU-land moet vanaf 2026 minstens 1 veilige online identificatiemethode hebben. Voor zowel bedrijven als overheden. Met de EDI-wallet-app op je telefoon kun je straks jezelf binnen de EU veilig online identificeren en persoonlijke gegevens delen. Dat beloven de ontwikkelaars.

Ook grote ondernemingen van buiten Europa (zoals Google en LinkedIn) mogen deze EDI-wallet gebruiken. Ze moeten zich wel houden aan strenge (privacy)eisen. 

Voor consumenten moet het gebruik van de wallet altijd vrijwillig zijn. Het is even afwachten hoe deze nieuwe wallet-techniek uitpakt. Het klinkt veelbelovend.