In Nederland kennen wij de identificatieplicht. Dit betekent dat elke Nederlander vanaf 14 jaar een geldig identiteitsbewijs moet kunnen tonen. Door deze identificatieplicht zou het voor organisaties makkelijk moeten zijn om te weten met wie ze te maken hebben. Maar mogen organisaties zomaar vragen om een identiteitsbewijs en gegevens daarvan overnemen? Mag een ID-kaart of paspoort gekopieerd worden? En hoe zit het met het gebruik van het burgerservicenummer onder de huidige privacywetgeving? Deze vragen komen aan bod in deze blog.
Identiteitsbewijs tonen
Soms is het voor een organisatie nodig om de identiteit of andere informatie van een persoon vast te stellen. Dit kan door iemand te vragen om zijn identiteitsbewijs te laten zien. Met het enkel tonen van een identiteitsbewijs worden geen persoonsgegevens verwerkt. Dit valt daarom niet onder de Algemene Verordening Gegevensbescherming (AVG). Toch mag volgens de Autoriteit Persoonsgegevens alleen om een identiteitsbewijs worden gevraagd als dit de enige manier is om de identiteit of andere informatie van een persoon vast te stellen. De identificatieplicht betekent namelijk niet dat een identiteitsbewijs moet worden getoond aan iedereen die hierom vraagt.
In veel gevallen zijn er ook andere manieren om iemand te identificeren. Een webshop die moet controleren of de persoon aan de telefoon ook de klant is die hij zegt te zijn, kan dat bijvoorbeeld doen met een klantnummer in combinatie met een adres. Dit is minder privacygevoelig. Wanneer een organisatie echt een identiteitsbewijs van een persoon nodig heeft, bijvoorbeeld omdat dit wettelijk verplicht is, dan is het tonen ervan vaak voldoende.
Gegevens van een identiteitsbewijs noteren
Als er gegevens worden overgenomen van een identiteitsbewijs, is de AVG wel van toepassing. Om deze persoonsgegevens te mogen verwerken, moet worden voldaan aan een grondslag uit de AVG én moet er een gerechtvaardigd doel zijn. Eén van de grondslagen uit de AVG is de wettelijke verplichting. Zo is een “inlener” (een werkgever met een werknemer die in dienst is bij een andere werkgever), die het risico op inleners- of ketenaansprakelijkheid wil beperken, wettelijk verplicht om onder andere het type, het nummer en de geldigheidsduur van het identiteitsbewijs van een werknemer te noteren. Hiermee kan de inlener de identiteit van de werknemer bij de Belastingdienst aantonen. Zo moet een eigenaar van een accommodatie volgens het Wetboek van Strafrecht de naam en het type identiteitsbewijs van een gast noteren.
Burgerservicenummer
Het burgerservicenummer (BSN) is bedoeld voor contact tussen burgers en overheid. Een overheidsorganisatie mag het BSN gebruiken om zijn taak uit te voeren, maar alleen als het gebruik van het BSN daarvoor noodzakelijk is. Dat is bijvoorbeeld het geval bij het doorgeven van een verhuizing aan de gemeente of bij het aanvragen van huurtoeslag. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dit wettelijk is bepaald en alleen voor het doel dat in die wet staat omschreven. Onder “gebruiken” valt ook noteren, opslaan en doorgeven.
Organisaties kunnen het verbod om het BSN te gebruiken niet omzeilen door het vragen van toestemming aan de betrokkene. Het gebruik van het BSN door een organisatie is dus simpelweg niet mogelijk als de wet hier niet in voorziet. Een wettelijke verplichting voor het verwerken van het BSN geldt bijvoorbeeld in de volgende situaties:
- Volgens de Wet op de loonbelasting moet een werkgever het BSN van een werknemer vastleggen;
- Een financiële instelling is op grond van de Algemene wet inzake rijksbelastingen verplicht om het BSN van een klant door te geven aan de Belastingdienst;
- Volgens het Uitvoeringsbesluit Algemene wet inkomensafhankelijke regelingen is een kinderopvangorganisatie verplicht het BSN van ouders en hun kind in de administratie op te nemen en door te geven aan de Belastingdienst.
Kopiëren van een identiteitsbewijs
Het kopiëren van een identiteitsbewijs gaat, gelet op de privacy, nog een stapje verder dan het overnemen van een paar (persoons)gegevens. Slechts in een aantal gevallen is het voor een organisatie toegestaan om een kopie of scan van een identiteitsbewijs te maken. In ieder geval moet de betrokkene worden geïnformeerd over het doel en de grondslag. De bevoegdheid voor het maken van een kopie of scan kan uit verschillende wetten voortvloeien:
- Volgens de Wet op de loonbelasting moet een werkgever een kopie of scan van het identiteitsbewijs van een werknemer bewaren;
- Een werkgever moet aan de inlener op grond van de Wet arbeid vreemdelingen een kopie of scan geven van het identiteitsbewijs van een werknemer die niet de nationaliteit heeft van één van de EER-landen;
- Voor banken, betaaldienstverleners en notarissen is het op grond van de leidraad Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) toegestaan om een (afgeschermde) kopie te maken.
Is er geen wettelijke verplichting voor een kopie van een identiteitsbewijs, maar wil een organisatie toch een kopie van het identiteitsbewijs opslaan? Dan moet die organisatie de betrokkene erop wijzen om het BSN en de pasfoto op de kopie af te schermen. Dit kan bijvoorbeeld met de Kopie ID-app van de Rijksoverheid.
Daarnaast mogen betrokkenen altijd een tekst door de kopie heen schrijven, mits de persoonsgegevens die nodig zijn leesbaar blijven. Verder geldt dat kopieën niet oneindig lang bewaard mogen blijven. In sommige gevallen is er een wettelijke bewaartermijn vastgelegd, zoals in de Wet ter voorkoming van witwassen en financieren van terrorisme. Daarin is vastgelegd dat een financiële instelling een kopie van een identiteitsbewijs vijf jaar mag bewaren nadat de betrokkene geen klant meer is.
Welke gegevens van een identiteitsbewijs mag een organisatie verwerken?
Kortom, het is niet zomaar toegestaan om iemand te vragen om zijn identiteitsbewijs te laten zien. Ook is het voor een organisatie niet zomaar toegestaan om gegevens van ID-kaarten en paspoorten te verwerken. Omdat het overnemen van gegevens van een identiteitsbewijs en het maken van kopieën of scans daarvan onder de AVG valt, is er een grondslag en een gerechtvaardigd doel voor nodig.
Heeft een organisatie geen wettelijke grondslag om het BSN te gebruiken? Is er geen wettelijke bepaling dat er een kopie of scan van een identiteitsbewijs mag worden gemaakt waarbij alle persoonsgegevens zichtbaar zijn? Dan is dit niet toegestaan.
Deze blog is geschreven in samenwerking met werkstudent Demi Rietveld.
