Identificatieplicht: wat mag wel en wat niet?

5 april 2019

In Nederland kennen wij de identificatieplicht. Dit betekent dat elke Nederlander vanaf 14 jaar een geldig identiteitsbewijs moet kunnen tonen. Door deze identificatieplicht zou het voor organisaties makkelijk moeten zijn om te weten met wie ze te maken hebben. Maar mogen organisaties zomaar vragen om een identiteitsbewijs en gegevens daarvan overnemen? Mag een ID-kaart of paspoort gekopieerd worden? En hoe zit het met het gebruik van het burgerservicenummer onder de huidige privacywetgeving? Deze vragen komen aan bod in deze blog

Identiteitsbewijs tonen

Soms is het voor een organisatie nodig om de identiteit of andere informatie van een persoon vast te stellen. Dit kan door iemand te vragen om zijn identiteitsbewijs te laten zien. Met het enkel tonen van een identiteitsbewijs worden geen persoonsgegevens verwerkt. Dit valt daarom niet onder de Algemene Verordening Gegevensbescherming (AVG). Toch mag volgens de Autoriteit Persoonsgegevens alleen om een identiteitsbewijs worden gevraagd als dit de enige manier is om de identiteit of andere informatie van een persoon vast te stellen. De identificatieplicht betekent namelijk niet dat een identiteitsbewijs moet worden getoond aan iedereen die hierom vraagt.

In veel gevallen zijn er ook andere manieren om iemand te identificeren. Een webshop die moet controleren of de persoon aan de telefoon ook de klant is die hij zegt te zijn, kan dat bijvoorbeeld doen met een klantnummer in combinatie met een adres. Dit is minder privacygevoelig. Wanneer een organisatie echt een identiteitsbewijs van een persoon nodig heeft, bijvoorbeeld omdat dit wettelijk verplicht is, dan is het tonen ervan vaak voldoende.

Gegevens van een identiteitsbewijs noteren

Als er gegevens worden overgenomen van een identiteitsbewijs, is de AVG wel van toepassing. Om deze persoonsgegevens te mogen verwerken, moet worden voldaan aan een grondslag uit de AVG én moet er een gerechtvaardigd doel zijn. Eén van de grondslagen uit de AVG is de wettelijke verplichting. Zo is een “inlener” (een werkgever met een werknemer die in dienst is bij een andere werkgever) wettelijk verplicht om onder andere het type, het nummer en de geldigheidsduur van het identiteitsbewijs van een werknemer te noteren. Hiermee kan de inlener de identiteit van de werknemer bij de Belastingdienst aantonen. Zo moet een eigenaar van een accommodatie volgens het Wetboek van Strafrecht de naam en het type identiteitsbewijs van een gast noteren.

Burgerservicenummer

Het burgerservicenummer (BSN)is bedoeld voor contact tussen burgers en overheid. Een overheidsorganisatie mag het BSN gebruiken om zijn taak uit te voeren, maar alleen als het gebruik van het BSN daarvoor noodzakelijk is. Dat is bijvoorbeeld het geval bij het doorgeven van een verhuizing aan de gemeente of bij het aanvragen van huurtoeslag. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dit wettelijk is bepaald en alleen voor het doel dat in die wet staat omschreven. Onder “gebruiken” valt ook noteren, opslaan en doorgeven.

Organisaties kunnen het verbod om het BSN te gebruiken niet omzeilen door het vragen van toestemming aan de betrokkene. Het gebruik van het BSN door een organisatie is dus simpelweg niet mogelijk als de wet hier niet in voorziet. Een wettelijke verplichting voor het verwerken van het BSN geldt bijvoorbeeld in de volgende situaties:

Kopiëren van een identiteitsbewijs

Het kopiëren van een identiteitsbewijs gaat, gelet op de privacy, nog een stapje verder dan het overnemen van een paar (persoons)gegevens. Slechts in een aantal gevallen is het voor een organisatie toegestaan om een kopie of scan van een identiteitsbewijs te maken. In ieder geval moet de betrokkene worden geïnformeerd over het doel en de grondslag. De bevoegdheid voor het maken van een kopie of scan kan uit verschillende wetten voortvloeien:

Is er geen wettelijke verplichting voor een kopie van een identiteitsbewijs, maar wil een organisatie toch een kopie van het identiteitsbewijs opslaan? Dan moet die organisatie de betrokkene erop wijzen om het BSN en de pasfoto op de kopie af te schermen. Dit kan bijvoorbeeld met de Kopie ID-app van de Rijksoverheid.

Daarnaast mogen betrokkenen altijd een tekst door de kopie heen schrijven, mits de persoonsgegevens die nodig zijn leesbaar blijven. Verder geldt dat kopieën niet oneindig lang bewaard mogen blijven. In sommige gevallen is er een wettelijke bewaartermijn vastgelegd, zoals in de Wet ter voorkoming van witwassen en financieren van terrorisme. Daarin is vastgelegd dat een financiële instelling een kopie van een identiteitsbewijs vijf jaar mag bewaren nadat de betrokkene geen klant meer is.

Welke gegevens van een identiteitsbewijs mag een organisatie verwerken?

Kortom, het is niet zomaar toegestaan om iemand te vragen om zijn identiteitsbewijs te laten zien. Ook is het voor een organisatie niet zomaar toegestaan om gegevens van ID-kaarten en paspoorten te verwerken. Omdat het overnemen van gegevens van een identiteitsbewijs en het maken van kopieën of scans daarvan onder de AVG valt, is er een grondslag en een gerechtvaardigd doel voor nodig.

Heeft een organisatie geen wettelijke grondslag om het BSN te gebruiken? Is er geen wettelijke bepaling dat er een kopie of scan van een identiteitsbewijs mag worden gemaakt waarbij alle persoonsgegevens zichtbaar zijn? Dan is dit niet toegestaan.

MEER
LEZEN?

Hoe informeer ik mijn werknemers over de omgang met hun persoonsgegevens?

Met een interne privacyverklaring kunnen werkgevers voldoen aan de informatieplicht naar werknemers toe. Een centraal document over de verwerkingen van hun persoonsgegevens.
Lees meer

Vijf tips om minder te hoeven onderhandelen over een verwerkersovereenkomst

Vijf tips om minder te hoeven onderhandelen over een verwerkersovereenkomst. Hierdoor zul je minder langlopende onderhandelingen krijgen.
Lees meer
Avg geen Juridische kwestie

Security officers are a privacy officer’s best friend

Voldoen aan de AVG doe je niet alleen. De Privacy officer heeft de security officer en andere stakeholders nodig om privacybewustzijn binnen de gehele organisatie te creëren.
Lees meer
ICTRecht

ICTRecht