Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Identificatieplicht: wat mag wel en wat niet?

29 maart 2019 Door

Juridisch Product

De privacy juristen van adviesbureau ICTRecht helpen uw organisatie bij het in lijn handelen met de nieuwe privacywetgeving. Van het uitvoeren van een privacy audit tot het opstellen van diverse privacydocumenten; onze privacy juristen staan voor u klaar.

In Nederland kennen wij de identificatieplicht. Dit betekent dat elke Nederlander vanaf 14 jaar een geldig identiteitsbewijs moet kunnen tonen. Door deze identificatieplicht zou het voor organisaties makkelijk moeten zijn om te weten met wie ze te maken hebben. Maar mogen organisaties zomaar vragen om een identiteitsbewijs en gegevens daarvan overnemen? Mag een ID-kaart of paspoort gekopieerd worden? En hoe zit het met het gebruik van het burgerservicenummer onder de huidige privacywetgeving? Deze vragen komen aan bod in deze blog.

Identiteitsbewijs tonen

Soms is het voor een organisatie nodig om de identiteit of andere informatie van een persoon vast te stellen. Dit kan door iemand te vragen om zijn identiteitsbewijs te laten zien. Met het enkel tonen van een identiteitsbewijs worden geen persoonsgegevens verwerkt. Dit valt daarom niet onder de Algemene Verordening Gegevensbescherming (AVG). Toch mag volgens de Autoriteit Persoonsgegevens alleen om een identiteitsbewijs worden gevraagd als dit de enige manier is om de identiteit of andere informatie van een persoon vast te stellen. De identificatieplicht betekent namelijk niet dat een identiteitsbewijs moet worden getoond aan iedereen die hierom vraagt.

In veel gevallen zijn er ook andere manieren om iemand te identificeren. Een webshop die moet controleren of de persoon aan de telefoon ook de klant is die hij zegt te zijn, kan dat bijvoorbeeld doen met een klantnummer in combinatie met een adres. Dit is minder privacygevoelig. Wanneer een organisatie echt een identiteitsbewijs van een persoon nodig heeft, bijvoorbeeld omdat dit wettelijk verplicht is, dan is het tonen ervan vaak voldoende.

Gegevens van een identiteitsbewijs noteren

Als er gegevens worden overgenomen van een identiteitsbewijs, is de AVG wel van toepassing. Om deze persoonsgegevens te mogen verwerken, moet worden voldaan aan een grondslag uit de AVG én moet er een gerechtvaardigd doel zijn. Eén van de grondslagen uit de AVG is de wettelijke verplichting. Zo is een “inlener” (een werkgever met een werknemer die in dienst is bij een andere werkgever), die het risico op inleners- of ketenaansprakelijkheid wil beperken, wettelijk verplicht om onder andere het type, het nummer en de geldigheidsduur van het identiteitsbewijs van een werknemer te noteren. Hiermee kan de inlener de identiteit van de werknemer bij de Belastingdienst aantonen. Zo moet een eigenaar van een accommodatie volgens het Wetboek van Strafrecht de naam en het type identiteitsbewijs van een gast noteren.

Burgerservicenummer

Het burgerservicenummer (BSN) is bedoeld voor contact tussen burgers en overheid. Een overheidsorganisatie mag het BSN gebruiken om zijn taak uit te voeren, maar alleen als het gebruik van het BSN daarvoor noodzakelijk is. Dat is bijvoorbeeld het geval bij het doorgeven van een verhuizing aan de gemeente of bij het aanvragen van huurtoeslag. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dit wettelijk is bepaald en alleen voor het doel dat in die wet staat omschreven. Onder “gebruiken” valt ook noteren, opslaan en doorgeven.

Organisaties kunnen het verbod om het BSN te gebruiken niet omzeilen door het vragen van toestemming aan de betrokkene. Het gebruik van het BSN door een organisatie is dus simpelweg niet mogelijk als de wet hier niet in voorziet. Een wettelijke verplichting voor het verwerken van het BSN geldt bijvoorbeeld in de volgende situaties:

Kopiëren van een identiteitsbewijs

Het kopiëren van een identiteitsbewijs gaat, gelet op de privacy, nog een stapje verder dan het overnemen van een paar (persoons)gegevens. Slechts in een aantal gevallen is het voor een organisatie toegestaan om een kopie of scan van een identiteitsbewijs te maken. In ieder geval moet de betrokkene worden geïnformeerd over het doel en de grondslag. De bevoegdheid voor het maken van een kopie of scan kan uit verschillende wetten voortvloeien:

Is er geen wettelijke verplichting voor een kopie van een identiteitsbewijs, maar wil een organisatie toch een kopie van het identiteitsbewijs opslaan? Dan moet die organisatie de betrokkene erop wijzen om het BSN en de pasfoto op de kopie af te schermen. Dit kan bijvoorbeeld met de Kopie ID-app van de Rijksoverheid.

Daarnaast mogen betrokkenen altijd een tekst door de kopie heen schrijven, mits de persoonsgegevens die nodig zijn leesbaar blijven. Verder geldt dat kopieën niet oneindig lang bewaard mogen blijven. In sommige gevallen is er een wettelijke bewaartermijn vastgelegd, zoals in de Wet ter voorkoming van witwassen en financieren van terrorisme. Daarin is vastgelegd dat een financiële instelling een kopie van een identiteitsbewijs vijf jaar mag bewaren nadat de betrokkene geen klant meer is.

Welke gegevens van een identiteitsbewijs mag een organisatie verwerken?

Kortom, het is niet zomaar toegestaan om iemand te vragen om zijn identiteitsbewijs te laten zien. Ook is het voor een organisatie niet zomaar toegestaan om gegevens van ID-kaarten en paspoorten te verwerken. Omdat het overnemen van gegevens van een identiteitsbewijs en het maken van kopieën of scans daarvan onder de AVG valt, is er een grondslag en een gerechtvaardigd doel voor nodig.

Heeft een organisatie geen wettelijke grondslag om het BSN te gebruiken? Is er geen wettelijke bepaling dat er een kopie of scan van een identiteitsbewijs mag worden gemaakt waarbij alle persoonsgegevens zichtbaar zijn? Dan is dit niet toegestaan.


Deze blog is geschreven in samenwerking met werkstudent Demi Rietveld.

Maurice Boshuizen

Juridisch adviseur

Maurice Boshuizen werkt binnen ons privacyteam als juridisch adviseur en is Certified Information Privacy Professional/Europe (CIPP/E). Maurice zijn jarenlange ervaring bij een internationaal advocatenkantoor in China en Hong Kong maakt Maurice een specialist in complexe juridische (internationale) vraagstukken. Onafhankelijk van de complexiteit van een dossier geeft hij zijn cliënten praktische adviezen in begrijpelijke taal. Door zijn internationale ervaringen kan Maurice makkelijk omgaan met uiteenlopende uitdagingen en grote tijdsdruk.


Er zijn 2 reacties

  1. ´Zo is een “inlener” (een werkgever met een werknemer die in dienst is bij een andere werkgever) wettelijk verplicht om onder andere het type, het nummer en de geldigheidsduur van het identiteitsbewijs van een werknemer te noteren.´

    Is dit werkelijk een verplichting?

    1. Bedankt voor je reactie, Malou! Het is inderdaad geen algemene verplichting. Als je het risico op inleners- of ketenaansprakelijkheid wilt beperken, is het echter wel verplicht. We hebben de blog iets aangescherpt om dit duidelijk te maken.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie