Kopiëren van paspoorten is verboden, tenzij

| AE 4470 | Privacy | 29 reacties

Van de frase “kopietje paspoort” krijg ik jeuk, maar het is op zich wel goed dat het College Bescherming Persoonsgegevens recent richtsnoeren heeft uitgegeven over het maken van zo’n kopie. Want het begint inderdaad belachelijk te worden, hoe veel bedrijven en instellingen een kopie van je identiteitsbewijs willen maken. En nee, dat mag dus niet zomaar.

In het algemeen hebben medewerkers van bedrijven en organisaties geen wettelijke bevoegdheid om een persoon te verplichten zich te legitimeren, zo beginnen de richtsnoeren. Ze kunnen iemand dus hooguit vragen om legitimatie. Okee, maar je kunt die vraag koppelen aan “anders mag je niet naar binnen/niets kopen” dus dat lijkt me enigszins een wassen neus. Meld het vooraf (bordje bij de deur) en je komt een heel eind.

Belangrijker -ook voor een organisatie zelf- is je afvragen waaróm je wilt dat mensen zich legitimeren. En natuurlijk wat je wilt gaan doen met die legitimaties. Kun je bijvoorbeeld überhaupt vaststellen of een gepresenteerd legitimatiebewijs wel echt is? Ga je je medewerkers op cursus doen om de echtheidskenmerken van een identiteitskaart te leren herkennen?

Soms zijn er wettelijke plichten om iemands identiteit vast te leggen of gegevens vast te leggen. Zo moeten hotels bepaalde gegevens van gasten registreren en die verifiëren uit een officieel identiteitsdocument (wat trouwens wat anders is dan een identiteitsbewijs, en dat is weer wat anders dan een legitimatiebewijs). Maar het vastleggen van die gegevens hoeft niet per se te gebeuren door het hele document te kopiëren, en dat mág dus niet, aldus het Cbp.

Het maken van een kopie van een identiteitsdocument is een verwerking van persoonsgegevens. Daarmee moet die kopie gerechtvaardigd worden onder de Wet bescherming persoonsgegevens. Er moet dus een grondslag zijn. De belangrijkste is de uitdrukkelijke toestemming, en ook de grondslag “dit is nodig om een contract na te komen” of “wettelijke plicht” zal hier vaak een rol spelen. Een werkgever móet bijvoorbeeld een kopie identiteitsbewijs bewaren van werknemers.

“Uitvoering contract” als grondslag komt dus neer op wat ik net zei: je meldt het vooraf en dan hoort het er gewoon bij. Maar in de richtsnoeren trekt het Cbp hier wel een grens: je mag géén contractuele eis stellen dat je een kopie mag maken als je daarmee “bijzondere” gegevens vastlegt, zoals het BurgerServiceNummer. Verwerken daarvan mag immers alléén als daar een wettelijke bevoegdheid voor bestaat, en “we hebben het als algemene voorwaarde bepaald” schept géén bevoegdheid.

Wie dus op grond van zo’n voorwaarde een kopie wil maken, moet het BSN weglaten, net als de foto. Foto’s zijn immers óók bijzondere persoonsgegevens, zodat foto’s niet zomaar mogen worden gekopieerd. Een toegangspas voor werknemers is bijvoorbeeld toegestaan, want een foto heeft daar een duidelijke noodzaak: het tegengaan van gebruik van andermans pas. Maar een hotel heeft voor haar gasten geen reden een foto te bewaren, en mág die dus niet bewaren.

Of je voor overige gegevens (naam, adres, geboortedatum etc) wél zomaar arbitrair mag eisen dat je een kopie mag maken, laat men soort van in het midden. Men zegt:

In zeer uitzonderlijke gevallen kan sprake zijn van het overnemen van gegevens van een identiteits­document of het kopiëren of scannen ervan. Een bedrijf of organisatie moet de noodzaak daartoe dan wel gedocumenteerd kunnen onderbouwen. In de praktijk zal een dergelijke situatie zich niet vaak voordoen, omdat bij een behoefte aan legitimatie het tonen van een identiteitsdocument in beginsel voldoende is.

Dit gaat echter volgens mij over de restcategorie uit de Wbp: de eigen dringende noodzaak die zwaarder weegt dan de privacy. Maar als je het via de algemene voorwaarden aanpakt, zit je niet in deze restcategorie. Dan beroep je je op “noodzakelijk voor uitvoering overeenkomst”, oftewel “dit was afgesproken dat het mocht”.

Daarover iets eerder:

Leveranciers of verkopers staat het in beginsel vrij om aan hun dienst of product voorwaarden te ver­binden. Voordat een overeenkomst wordt aangegaan – zeker als het kostbare producten betreft, langer lopende abonnementen of een koop op afstand – zal een ondernemer (meer) zekerheid willen hebben over met wie hij zaken doet om (toekomstige) betalingen veilig te stellen. Daarvoor kan de ondernemer aanvullende informatie verlangen of voorwaarden stellen om bijvoorbeeld fraude te voorkomen of snel te laten opsporen. Dat betekent overigens niet dat het kopiëren of scannen van identiteitsdocumenten zomaar als voorwaarde gesteld kan worden.

maar men laat het bij die laatste zin, zonder onderbouwing wanneer het dan “zomaar” is en wanneer je wél de voorwaarde mag stellen. Ik zou het eerlijk gezegd niet weten waarom het niet zomaar zou mogen (minus BSN en foto en zo). Zolang er maar een redelijke grond is om die gegevens te willen hebben.

Bij internetdienstverleners wringt dit nog iets meer: je kunt je klanten niet persoonlijk spreken, dus zodra je iets wilt verifiëren dan móet je haast wel een kopie laten opsturen. Denk aan het aangaan van een hostingcontract met achterafbetaling of het indienen van een inzageverzoek onder de Wbp (haha ironie). Ik denk dat het prima is om in die gevallen een kopie te vragen, natuurlijk met weglating van BSN en foto.

Uiteraard moet je wel je beveiliging op orde hebben; gewoon kopietjes paspoort (jeuk) in een doosje doen in het magazijn is natuurlijk niet de bedoeling.

Arnoud

Deel dit artikel

  1. Ook wanneer BSN en foto niet meer hoeven blijft het een probleem dat mijn naar een internetdienstverlener opgestuurde kopie paspoort kan gaan “rondzwerven” : met die kopie kan buiten mijn blikveld bij een andere dienstverlener weer een ander product of dienst worden besteld.

    Ik zet dan ook ALTIJD de bedrijfsnaam waar de kopie naartoe gaat, heel groot op de kopie (scan).

  2. Heeft een hotel genoeg aan het paspoortnummer om mij bij de politie te identificeren mocht ik vergeten te betalen?

    Mag een paspoort voor een Visum aanvraag trouwens wel gekopieerd worden? Als dat niet mag dan kom je gewoon dat land niet in namelijk. Ligt hier ook geen taak voor de overheid om buitenlandse ambassades op te voeden?

    Over privacy gesproken: Voor een Indiaas zakenvisum moest ik zelfs een kopie van een recente salarisstrook inleveren. Ik heb toen wel m’n adres en BSN maar zwart gemaakt.

  3. Volgens mij is de BSN helemaal niet privé, en die schijn wordt zo wel gewekt.

    Het lijkt er op dat het BSN vaak als soort geheim “wachtwoord” wordt gebruikt om je identiteit te “bewijzen”. Na al die jaren roepen dat je geen wachtwoorden op je computerscherm moet plakken, moet je nu verplicht met een ID rondlopen met dit “wachtwoord”.

    Ik zou zeggen: altijd de BSN, om duidelijk te maken dat het om die specifieke persoon gaat (zie ook 1), en al die andere gegevens alleen als nodig.

  4. Waarom valt het hotel niet onder toegangspas? Je krijgt toch een toeganspas voor je kamer, en je wil (als klant) toch dat niet zomaar iedereen je kamer in kan? Foto is de snelste methode voor werknemers om te verifiëren of iemand ook de huurder (?) van de kamer is, zou ik zeggen.

    immetjes: visum is extra ingewikkeld, omdat je dan (ook) met wetten in andere landen te maken hebt. Je kan wel zeggen, ‘dat mag jij niet’, maar dat andere land stuurt je dan gewoon weg. Bovendien zou men het argument kunnen aanvoeren dat het Nederlandse recht niet van toepassing is, omdat de gegevens in dat land bewaard en verwerkt worden.

  5. Grom, weer een geval dat ik een reactie type die is verdwenen.

    Zolang internetwinkels scans van paspoorten accepteren maakt het natuurlijk niet eens uit of foto en BSN ontbreken. Zolang de kopie / scan uit het archief van de ene winkel gebruikt kan worden om een bestelling bij een andere winkel te doen, blijft het hele mechanisme een wassen neus.

    Om te voorkomen dat scans van mijn paspoort gaan zwerven, zet ik altijd de naam van de winkel groot over de scan van mijn paspoort heen. Ook als ik bij een hotel sta vraag ik altijd de kopie even en zet de naam van het hotel erop. (Natuurlijk kunnen ze altijd stiekem twee kopietjes maken maar zolang niet al te veel mensen dit doen blijft dit wel werken).

  6. @4: Precies mijn probleem: kopietjes die helemaal niks bewijzen worden als bewijs geaccepteerd.

    Zo’n baggerbewijs zorgt er weer voor dat de bewijslast omgedraaid wordt (bewijs maar eens dat jij het niet besteld hebt, of niet in dat hotel bent geweest).

  7. @3 Er is geen enkel hotel dat voor je je kamer in gaat een check doet om te zien of de pas wel écht van jou is door de foto in “het systeem” met je gezicht te matchen. Dat is bij een personeelspas met foto wel zo. Het is in ieder hotel mogelijk om met een gevonden of gestolen pas een kamer te openen, ook al wil ik dat als klant niet.

  8. Want het begint inderdaad belachelijk te worden, hoe veel bedrijven en instellingen een kopie van je identiteitsbewijs willen maken.

    Wie zijn dat dan ?

    Ik heb in de laatste tien jaar alleen een vraag om een kopie gekregen van mijn werkgever en ik dacht ook nog van een organisatie die mijn visum aanvragen voor verre reizen heeft afgehandeld.

  9. @12

    Moet een bank een kopie van mijn paspoort maken en bewaren?
    Banken en financiële dienstverleners zijn niet verplicht om een kopie of een scan van uw identiteitsbewijs te maken. Financiële instellingen zijn wel verplicht de gegevens van uw identiteitsbewijs te controleren en vast te leggen. Dit staat in de Wet ter voorkoming van witwassen en financieren van terrorisme (WWFT).

    http://www.rijksoverheid.nl/onderwerpen/consumentenzaken/vraag-en-antwoord/moet-een-bank-een-kopie-van-mijn-paspoort-maken-en-bewaren.html

    Helaas vind het CBP het een acceptabele methode of de minst belastende methode.
    http://www.cbpweb.nl/Pages/uit_z2006-01407.aspx

  10. Dat verhaal over het BSN is natuurlijk nogal krom. Daar wordt heel moeilijk over gedaan, bedrijven mogen het niet zomaar verwerken en iedereen moet het ten alle tijden zo geheim mogelijk houden.

    Dan de realiteit. Nederland telt richting 700.000 zelfstandigen waarbij iedere zichzelf respecterende ook wel een website heeft. Een website moet volgens Europese regels ook het BTW nr. vermelden. Voor een eenmanszaak is het BTW nr. gelijk aan het BSN nr. met wat punten en .01 erachter. Het BSN is door iedereen met gemak uit het BTW nr. te halen. Door de overheid wordt hier en daar gesust dat dat niet zo belangrijk is en dat je het ook wel weg mag laten (dus: het is wel onwettig om weg te laten, maar wordt gedoogd). Toch is er wel een zwaarwegende verplichting van de belastingdienst om op elke factuur het BTW nr. te vermelden. Goed, dat is al minder openbaar dan op de website, maar als je in je richtsnoeren roept dat bedrijven geen BSN nummers mogen behandelen als ze daar geen wettelijke bevoegdheid voor hebben dan heb je toch een behoorlijke plaat voor je kop als het om BTW nummers gaat.

  11. Ik wilde een nieuw glasvelzel abonnement afsluiten. De provider vroeg daarvoor om een kopie-tje legitimatie. Deze heb ik opgestuurd met foto, bsn en lengte zwart gemaakt.
    Deze kopie werd niet geaccepteerd, en om die reden willen ze me niet aannemen als klant.

    Wat doe je in zo’n situatie? Andere provider zoeken, die exact het zelfde vraagt?
    Je staat toch in feite met je rug tegen de muur?

    • Hetzelfde geldt voor de banken. Mijn bank, waarbij ik al veertig (!) jaar een rekening heb eist nu ineens een kopie van mijn legitimatiebewijs, anders ontvang ik mijn nieuwe bankpas niet. De oude pas wordt binnenkort geblokkeerd. Dus… ook daar sta je met je rug tegen de muur: hoe kom ik hier onderuit?

  12. Bij het opnemen van een geldbedrag bijvoorbeeld net boven het toegestaande PIN-maximum maken de banken een kopie van je identiteitsbewijs. Kopie zelfs in KLEUR!!!!!! Protesteren helpt niet want anders krijg je geen geld. Volgens de banken is dit onderling met alle banken afgesproken en is dit wettelijk plicht. ?! Dit althans is hun antwoord aan de burger. Bij protest krijg je doodleuk te horen: Dit hebben wij zo afgesproken en zo blijven wij het doen. Het staat je vrij om ergens anders heen te gaan.
    Dit gaat mij te ver. E.e.a. getuigt van totale arrogantie en machtsmisbruik door banken. Dat legitimatie verplicht is, ok, verificatie van je identiteitsbewijs eveneens ok maar steeds weer een nieuwe kopie maken die naar hun eigen zeggen zelfs 5 jaar bewaard wordt gaat bij mij over de grens van het toelaatbare. De overheid zelf heeft de mond vol over het voorkomen van identificatiefraude etc. Welke maatregelen kunnen genomen worden? Mogen de banken deze stelling wel hanteren?

  13. Wat zijn precies de overwegingen t.a.v. het gebruik van alleen het paspoortnummer? Er wordt dus geen kopie gemaakt van het paspoort zelf, alleen het documentnummer (niet het BSN) wordt opgeschreven in een overeenkomst. Persoonlijk denk ik dat het praktisch nut hiervan zeer beperkt is, aangezien een nummer niets zegt over de identiteit van een persoon zonder dat een kopie van het paspoort bij de overeenkomst zit. Aan de andere kant, een documentnummer zegt zelfstandig niets over een geïdentificeerde of identificeerbare persoon, en zou als zodanig ook niet als persoonsgegeven kwalificeren. Je zou toegang moeten hebben tot nationale databanken om er achter te komen welke identiteit bij een documentnummer hoort. Kunnen we er in dit geval niet vanuit gaan dat het bijzonder onwaarschijnlijk is dat bij een overeenkomst tussen twee private partijen (twee ondernemingen) over de capaciteit beschikken om dergelijke checks uit te voeren?

    • Een paspoortnummer is uniek, dus het kan dienen als verwijzing naar het paspoort. “De heer Jansen, houder van paspoort 123″. Als Jansen ooit zegt, dat wás ik niet, dan zou je kunnen zeggen, maar uw paspoort heeft nummer 123 en de handtekening daarop is gelijk aan de handtekening onder het contract. Of er ligt een foto van de beveiligingscamera en een notitie “Toegelaten na tonen paspoort 123″; vergelijk de foto van het paspoort met de camerabeelden en er staat vast dat het Jansen was.

      Hm. Dit voelt wel wat gezocht. Het verschil met een kopie paspoort bewaren zie ik eigenlijk niet, sterker nog het is onhandiger omdat Jansen kan weigern zijn paspoort te laten zien bij een geschil dus daar sta je dan met je mooie paspoortnummer.

      • @ Arnoud; ik sta in dit geval meer aan de kant van de persoon die het documentnummer moet overleggen. Ik wil eigenlijk niet dat dit gebeurd. Het is volgens mij zeer ongebruikelijk om een vertegenwoordiger van een bedrijf een documentnummer van een paspoort te vragen, en ik zie eigenlijk nog steeds niet de toegevoegde waarde. Het feit dat meneer Jansen getekend heeft wordt door niemand betwist, en ik kan me geen situatie voorstellen waarin dat in het geval van deze overeenkomst zou gebeuren.

  14. Er zijn banken die geen US persons accepteren. Om na te gaan of iemand wellicht een US person is, wordt er gekeken naar de nationaliteit op het (kopietje) paspoort van de prospect. Is het gebruiken van het paspoort voor dit doeleinde (het nagaan van iemands nationaliteit) niet in strijd met de Privacywetgeving?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS