Hoe snel geeft u uw paspoort af als u incheckt in een hotel? Of bij het huren van een auto? Het onterecht verzamelen van ID-bewijzen komt helaas nog steeds voor. Zeker met de zomervakantie voor de deur is het goed om u af te vragen wanneer u echt uw paspoort moet overhandigen.

De basisregel voor het mogen inzien van een paspoort is relatief eenvoudig. De Autoriteit Persoonsgegevens geeft hiervoor duidelijke aanwijzingen. Een organisatie mag niet zomaar aan iemand vragen om zijn identiteitsbewijs te laten zien. Laat staan hier een kopie van maken! Kan de organisatie de identiteit van deze persoon ook op een andere, minder vergaande manier vaststellen? Dan moet de organisatie daarvoor kiezen.

Heeft een organisatie wel echt een identiteitsbewijs nodig om iemands identiteit te controleren? Dan is het vaak genoeg als diegene zijn identiteitsbewijs, zoals een paspoort of identiteitskaart, laat zien. Er mag in principe géén kopie worden gemaakt. Als een organisatie toch een kopie wil, dan moet deze de persoon actief op de volgende punten wijzen:

  • Het doel waarvoor de kopie van het identiteitsbewijs wordt gemaakt.
  • De grondslag voor de verwerking (art. 6 AVG).
  • Als de persoon de kopie zelf aanlevert of moet aanleveren: welke persoonsgegevens van het identiteitsbewijs niet strikt noodzakelijk zijn om het doel te bereiken, zodat deze kunnen worden weggelaten.
  • Welke maatregelen iemand kan nemen om niet-noodzakelijke persoonsgegevens af te schermen, zoals een kopie maken met de KopieID app van de Rijksoverheid. Daarnaast kan de betrokkene het doel van de verstrekking van de kopie en/of de ontvanger op de kopie schrijven.

Niet alleen op vakantie wordt er te vaak een kopie van een ID-bewijs gemaakt. Er wordt sowieso snel gevraagd om een legitimatiebewijs om iemands identiteit vast te stellen. Terwijl er ook andere manieren zijn om dit eenvoudig en praktisch te realiseren:

  • Bedrijven met een webshop hebben meestal een beveiligd inlogsysteem voor klanten. Het uitoefenen van iemands rechten kan hierin worden geïntegreerd.
  • Een vorm van tweefactorauthenticatie met klantgegevens uit de eigen administratie ter controle, zoals:
    • Na het ontvangen van een verzoek via e-mail vragen om een bevestiging per sms. Dit mobiele nummer moet dan kloppen met de klantgegevens uit de administratie.
    • Een telefonisch verzoek laten bevestigen per e-mail. Het e-mailadres moet dan overeenkomen met de klantgegevens uit de administratie.
    • Vragen om de laatste drie cijfers van het rekeningnummer, de geboortedatum en/of het klantnummer ter controle.
  • Iemand langs laten komen om het ID-bewijs te tonen, zonder een kopie te maken. Er moet hierdoor natuurlijk geen drempel ontstaan om inzage te geven, bijvoorbeeld omdat iemand niet in de buurt woont.

Dus of u nu zelf om een identiteitsbewijs wordt gevraagd of dat u als organisatie zeker wilt weten dat u de juiste persoon voor u heeft: het overhandigen van een identiteitsbewijs is lang niet altijd noodzakelijk.

Heeft u vragen over de invulling van de AVG, de rol van functionaris gegevensbescherming of ISO27001? We helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.