Kopiëren van paspoorten is verboden, tenzij
19/07
2012
2012
In het algemeen hebben medewerkers van bedrijven en organisaties geen wettelijke bevoegdheid om een persoon te verplichten zich te legitimeren, zo beginnen de richtsnoeren. Ze kunnen iemand dus hooguit vragen om legitimatie. Okee, maar je kunt die vraag koppelen aan “anders mag je niet naar binnen/niets kopen” dus dat lijkt me enigszins een wassen neus. Meld het vooraf (bordje bij de deur) en je komt een heel eind.
Belangrijker -ook voor een organisatie zelf- is je afvragen waaróm je wilt dat mensen zich legitimeren. En natuurlijk wat je wilt gaan doen met die legitimaties. Kun je bijvoorbeeld überhaupt vaststellen of een gepresenteerd legitimatiebewijs wel echt is? Ga je je medewerkers op cursus doen om de echtheidskenmerken van een identiteitskaart te leren herkennen?
Soms zijn er wettelijke plichten om iemands identiteit vast te leggen of gegevens vast te leggen. Zo moeten hotels bepaalde gegevens van gasten registreren en die verifiëren uit een officieel identiteitsdocument (wat trouwens wat anders is dan een identiteitsbewijs, en dat is weer wat anders dan een legitimatiebewijs). Maar het vastleggen van die gegevens hoeft niet per se te gebeuren door het hele document te kopiëren, en dat mág dus niet, aldus het Cbp.
Het maken van een kopie van een identiteitsdocument is een verwerking van persoonsgegevens. Daarmee moet die kopie gerechtvaardigd worden onder de Wet bescherming persoonsgegevens. Er moet dus een grondslag zijn. De belangrijkste is de uitdrukkelijke toestemming, en ook de grondslag “dit is nodig om een contract na te komen” of “wettelijke plicht” zal hier vaak een rol spelen. Een werkgever móet bijvoorbeeld een kopie identiteitsbewijs bewaren van werknemers.
“Uitvoering contract” als grondslag komt dus neer op wat ik net zei: je meldt het vooraf en dan hoort het er gewoon bij. Maar in de richtsnoeren trekt het Cbp hier wel een grens: je mag géén contractuele eis stellen dat je een kopie mag maken als je daarmee “bijzondere” gegevens vastlegt, zoals het BurgerServiceNummer. Verwerken daarvan mag immers alléén als daar een wettelijke bevoegdheid voor bestaat, en “we hebben het als algemene voorwaarde bepaald” schept géén bevoegdheid.
Wie dus op grond van zo’n voorwaarde een kopie wil maken, moet het BSN weglaten, net als de foto. Foto’s zijn immers óók bijzondere persoonsgegevens, zodat foto’s niet zomaar mogen worden gekopieerd. Een toegangspas voor werknemers is bijvoorbeeld toegestaan, want een foto heeft daar een duidelijke noodzaak: het tegengaan van gebruik van andermans pas. Maar een hotel heeft voor haar gasten geen reden een foto te bewaren, en mág die dus niet bewaren.
Of je voor overige gegevens (naam, adres, geboortedatum etc) wél zomaar arbitrair mag eisen dat je een kopie mag maken, laat men soort van in het midden. Men zegt:
In zeer uitzonderlijke gevallen kan sprake zijn van het overnemen van gegevens van een identiteitsdocument of het kopiëren of scannen ervan. Een bedrijf of organisatie moet de noodzaak daartoe dan wel gedocumenteerd kunnen onderbouwen. In de praktijk zal een dergelijke situatie zich niet vaak voordoen, omdat bij een behoefte aan legitimatie het tonen van een identiteitsdocument in beginsel voldoende is.
Dit gaat echter volgens mij over de restcategorie uit de Wbp: de eigen dringende noodzaak die zwaarder weegt dan de privacy. Maar als je het via de algemene voorwaarden aanpakt, zit je niet in deze restcategorie. Dan beroep je je op “noodzakelijk voor uitvoering overeenkomst”, oftewel “dit was afgesproken dat het mocht”.
Daarover iets eerder:
Leveranciers of verkopers staat het in beginsel vrij om aan hun dienst of product voorwaarden te verbinden. Voordat een overeenkomst wordt aangegaan – zeker als het kostbare producten betreft, langer lopende abonnementen of een koop op afstand – zal een ondernemer (meer) zekerheid willen hebben over met wie hij zaken doet om (toekomstige) betalingen veilig te stellen. Daarvoor kan de ondernemer aanvullende informatie verlangen of voorwaarden stellen om bijvoorbeeld fraude te voorkomen of snel te laten opsporen. Dat betekent overigens niet dat het kopiëren of scannen van identiteitsdocumenten zomaar als voorwaarde gesteld kan worden.
maar men laat het bij die laatste zin, zonder onderbouwing wanneer het dan “zomaar” is en wanneer je wél de voorwaarde mag stellen. Ik zou het eerlijk gezegd niet weten waarom het niet zomaar zou mogen (minus BSN en foto en zo). Zolang er maar een redelijke grond is om die gegevens te willen hebben.
Bij internetdienstverleners wringt dit nog iets meer: je kunt je klanten niet persoonlijk spreken, dus zodra je iets wilt verifiëren dan móet je haast wel een kopie laten opsturen. Denk aan het aangaan van een hostingcontract met achterafbetaling of het indienen van een inzageverzoek onder de Wbp (haha ironie). Ik denk dat het prima is om in die gevallen een kopie te vragen, natuurlijk met weglating van BSN en foto.
Uiteraard moet je wel je beveiliging op orde hebben; gewoon kopietjes paspoort (jeuk) in een doosje doen in het magazijn is natuurlijk niet de bedoeling.
Arnoud
Kent u onze boekenserie Deskundig en praktisch juridisch advies al? Webwinkels, hosting, software, security en meer!
Datum: donderdag 19 juli 2012, 08:02
Bron: Iusmentis Blog
Categorie: Internet en ICT
Gerelateerde berichten:
- Voorlopige versie van het richtsnoerdocument `Kopietje Paspoort’ (24/02/13 10:32)
- Overheid lanceert nieuwe versie van KopieID-app (15/07/19 08:17)
- Mag See Tickets bij Kraftwerkconcertkaartjes wel vragen om het nummer van je identiteitsbewijs? (25/07/13 08:09)
- Waarom moet ik elke keer een kopietje paspoort opsturen als ik onder de AVG wat vraag? (23/05/19 08:17)
- Ik mag geen kopie van mijn eigen camerabeelden?! (12/01/16 08:12)
Reacties:
Er zijn nog geen reacties op dit bericht.