Identificatieplicht: wat mag wel en wat niet?

5 april 2019

In Nederland kennen wij de identificatieplicht. Dit betekent dat elke Nederlander vanaf 14 jaar een geldig identiteitsbewijs moet kunnen tonen. Door deze identificatieplicht zou het voor organisaties makkelijk moeten zijn om te weten met wie ze te maken hebben. Maar mogen organisaties zomaar vragen om een identiteitsbewijs en gegevens daarvan overnemen? Mag een ID-kaart of paspoort gekopieerd worden? En hoe zit het met het gebruik van het burgerservicenummer onder de huidige privacywetgeving? Deze vragen komen aan bod in deze blog

Identiteitsbewijs tonen

Soms is het voor een organisatie nodig om de identiteit of andere informatie van een persoon vast te stellen. Dit kan door iemand te vragen om zijn identiteitsbewijs te laten zien. Met het enkel tonen van een identiteitsbewijs worden geen persoonsgegevens verwerkt. Dit valt daarom niet onder de Algemene Verordening Gegevensbescherming (AVG). Toch mag volgens de Autoriteit Persoonsgegevens alleen om een identiteitsbewijs worden gevraagd als dit de enige manier is om de identiteit of andere informatie van een persoon vast te stellen. De identificatieplicht betekent namelijk niet dat een identiteitsbewijs moet worden getoond aan iedereen die hierom vraagt.

In veel gevallen zijn er ook andere manieren om iemand te identificeren. Een webshop die moet controleren of de persoon aan de telefoon ook de klant is die hij zegt te zijn, kan dat bijvoorbeeld doen met een klantnummer in combinatie met een adres. Dit is minder privacygevoelig. Wanneer een organisatie echt een identiteitsbewijs van een persoon nodig heeft, bijvoorbeeld omdat dit wettelijk verplicht is, dan is het tonen ervan vaak voldoende.

Gegevens van een identiteitsbewijs noteren

Als er gegevens worden overgenomen van een identiteitsbewijs, is de AVG wel van toepassing. Om deze persoonsgegevens te mogen verwerken, moet worden voldaan aan een grondslag uit de AVG én moet er een gerechtvaardigd doel zijn. Eén van de grondslagen uit de AVG is de wettelijke verplichting. Zo is een “inlener” (een werkgever met een werknemer die in dienst is bij een andere werkgever) wettelijk verplicht om onder andere het type, het nummer en de geldigheidsduur van het identiteitsbewijs van een werknemer te noteren. Hiermee kan de inlener de identiteit van de werknemer bij de Belastingdienst aantonen. Zo moet een eigenaar van een accommodatie volgens het Wetboek van Strafrecht de naam en het type identiteitsbewijs van een gast noteren.

Burgerservicenummer

Het burgerservicenummer (BSN)is bedoeld voor contact tussen burgers en overheid. Een overheidsorganisatie mag het BSN gebruiken om zijn taak uit te voeren, maar alleen als het gebruik van het BSN daarvoor noodzakelijk is. Dat is bijvoorbeeld het geval bij het doorgeven van een verhuizing aan de gemeente of bij het aanvragen van huurtoeslag. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dit wettelijk is bepaald en alleen voor het doel dat in die wet staat omschreven. Onder “gebruiken” valt ook noteren, opslaan en doorgeven.

Organisaties kunnen het verbod om het BSN te gebruiken niet omzeilen door het vragen van toestemming aan de betrokkene. Het gebruik van het BSN door een organisatie is dus simpelweg niet mogelijk als de wet hier niet in voorziet. Een wettelijke verplichting voor het verwerken van het BSN geldt bijvoorbeeld in de volgende situaties:

Kopiëren van een identiteitsbewijs

Het kopiëren van een identiteitsbewijs gaat, gelet op de privacy, nog een stapje verder dan het overnemen van een paar (persoons)gegevens. Slechts in een aantal gevallen is het voor een organisatie toegestaan om een kopie of scan van een identiteitsbewijs te maken. In ieder geval moet de betrokkene worden geïnformeerd over het doel en de grondslag. De bevoegdheid voor het maken van een kopie of scan kan uit verschillende wetten voortvloeien:

Is er geen wettelijke verplichting voor een kopie van een identiteitsbewijs, maar wil een organisatie toch een kopie van het identiteitsbewijs opslaan? Dan moet die organisatie de betrokkene erop wijzen om het BSN en de pasfoto op de kopie af te schermen. Dit kan bijvoorbeeld met de Kopie ID-app van de Rijksoverheid.

Daarnaast mogen betrokkenen altijd een tekst door de kopie heen schrijven, mits de persoonsgegevens die nodig zijn leesbaar blijven. Verder geldt dat kopieën niet oneindig lang bewaard mogen blijven. In sommige gevallen is er een wettelijke bewaartermijn vastgelegd, zoals in de Wet ter voorkoming van witwassen en financieren van terrorisme. Daarin is vastgelegd dat een financiële instelling een kopie van een identiteitsbewijs vijf jaar mag bewaren nadat de betrokkene geen klant meer is.

Welke gegevens van een identiteitsbewijs mag een organisatie verwerken?

Kortom, het is niet zomaar toegestaan om iemand te vragen om zijn identiteitsbewijs te laten zien. Ook is het voor een organisatie niet zomaar toegestaan om gegevens van ID-kaarten en paspoorten te verwerken. Omdat het overnemen van gegevens van een identiteitsbewijs en het maken van kopieën of scans daarvan onder de AVG valt, is er een grondslag en een gerechtvaardigd doel voor nodig.

Heeft een organisatie geen wettelijke grondslag om het BSN te gebruiken? Is er geen wettelijke bepaling dat er een kopie of scan van een identiteitsbewijs mag worden gemaakt waarbij alle persoonsgegevens zichtbaar zijn? Dan is dit niet toegestaan.

MEER
LEZEN?

AVG

Voldoen aan privacywetgeving: het levert je organisatie voordelen op

Uit onderzoek blijkt namelijk dat het voldoen aan de privacywetgeving ook goed is voor je business. Door de juiste privacymaatregelen te treffen, ervaren organisaties voordelen, zoals: minder datalekken en minder verkoopvertragingen.
Lees meer

Met deze truc stel je ongemerkt inkoopvoorwaarden buiten werking

Wie met grotere bedrijven zaken doet, heeft ze vast al eens langs gehad: de inkoopvoorwaarden (General Purchasing Terms of GPT). Vaak heel lange en dreigend klinkende documenten, waar je dan maar even mee akkoord moet gaan anders geen inkooporder voor jou. Erg vervelend, want als je zomaar tekent dan ben je volledig aansprakelijk voor het kleinste foutje of vergissinkje. Er is echter een truc waarmee je het jezelf een stuk eenvoudiger maakt om van lastige inkoopvoorwaarden af te komen.
Lees meer

Zes contracten die iedere (internet)ondernemer moet hebben

Contracten, het liefst wil menig ondernemer er niets mee te maken hebben. Gezeur over kleine lettertjes staat het zakendoen maar in de weg. Toch is het onverstandig om volledig zonder contracten de weg op te gaan, althans als je geen zin hebt in juridische claims en hoge schadevergoedingen. Wees dus voorbereid en zorg dat je deze contracten in je tas (of hippe rugzak) hebt.
Lees meer
ICTRecht

ICTRecht