“Kun je even een foto van je ID sturen?” Het lijkt een simpele vraag en in de praktijk gebeurt het dagelijks. Toch gaat het juist hier regelmatig mis.
Een identiteitsbewijs bevat meer gegevens dan je denkt
Een paspoort of identiteitskaart bevat gevoelige persoonsgegevens. Denk aan een pasfoto, documentnummer, nationaliteit en vaak ook het burgerservicenummer (BSN).
Daarom gelden er strenge regels voor het maken en bewaren van kopieën van identiteitsbewijzen. Het uitgangspunt is simpel: een organisatie mag alleen een kopie of foto van een identiteitsbewijs maken als daarvoor een wettelijke verplichting of duidelijke wettelijke grondslag bestaat. Voor veel organisaties is dat helemaal niet het geval. Dat iemand zich moet identificeren, betekent namelijk niet automatisch dat je ook een foto of kopie van het identiteitsbewijs mag bewaren.
Controleren is iets anders dan bewaren
Dit onderscheid zorgt in de praktijk voor veel verwarring. Een vereniging mag bijvoorbeeld controleren of iemand degene is die hij zegt te zijn. Een zorgverlener moet de identiteit van patiënten vaststellen. Een school mag bij een inschrijving gegevens controleren.
Maar dat betekent niet automatisch dat er een kopie van het identiteitsbewijs in de administratie mag worden opgeslagen. In veel situaties is het voldoende om bepaalde gegevens over te nemen of alleen het identiteitsbewijs te controleren. Juist daarom is het verstandig om jezelf altijd eerst af te vragen: “Waarom willen we deze kopie eigenlijk bewaren?”
Een smartphone vol identiteitsbewijzen
De Autoriteit Persoonsgegevens beschrijft in haar klachtenrapport een opvallend praktijkvoorbeeld. Na een tip ontdekte de AP dat een fietsverhuurbedrijf foto’s maakte van identiteitsbewijzen en creditcards van klanten. Deze foto’s stonden opgeslagen op een telefoon die niet eens met een toegangscode was beveiligd. Inmiddels stonden er duizenden foto’s op het toestel. Nadat de AP ingreep, verwijderde het bedrijf alle foto’s en werden de werkwijzen aangepast.
Veel organisaties zullen denken: dat zouden wij nooit doen.
Maar kijk eens kritisch naar je eigen organisatie. Staan er misschien foto’s van identiteitsbewijzen in mailboxen? In een WhatsApp-gesprek? Op een telefoon van een vrijwilliger? Of in een gedeelde cloudmap? Vaak ontstaan risico’s niet door opzet, maar door gemak.
Werkgevers vormen een belangrijke uitzondering
Er zijn situaties waarin het bewaren van een kopie juist verplicht is. Werkgevers moeten bijvoorbeeld bij indiensttreding de identiteit van werknemers controleren én een kopie van het identiteitsbewijs bewaren in de loonadministratie. Deze bewaarplicht loopt door tot vijf jaar nadat een medewerker uit dienst is gegaan. Maar die uitzondering geldt niet automatisch voor andere organisaties, vrijwilligers, klanten of bezoekers.
Een goede vraag voor vandaag
Loop eens door je organisatie en stel jezelf één simpele vraag:
Waar bewaren wij eigenlijk foto’s of kopieën van identiteitsbewijzen?
Het antwoord levert vaak verrassingen op. En juist omdat een identiteitsbewijs zoveel gevoelige persoonsgegevens bevat, is dit één van die onderwerpen waarbij een kleine gewoonte ongemerkt kan uitgroeien tot een groot privacyrisico.
Probeer AVG-support.nl 30 dagen gratis
Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
