Kopietje paspoort verleden tijd

richtsnoerAl in juli 2012 kwam de Autoriteit Persoonsgegevens (toen nog CBP) uit met de richtlijn “Identificatie en verificatie van persoonsgegevens – gebruik van ‘’kopietje paspoort’’ in de private sector.

Door: V.F. Wiendels

‘’Kopietje paspoort’’ verleden tijd

Nog steeds zijn er organisaties, van woningbouwcoöperaties tot telefoonwinkels, die kopieën van paspoorten maken en opslaan. Dit is al sinds 2012 niet toegestaan. (Lees hierover ook de column van Maria Genova in dit blad). Kopieën die nu nog in bestanden van organisaties staan, dienen te worden verwijderd.

Kopieën maken van paspoorten is een slechte gewoonte zegt de Autoriteit Persoonsgegegens.

Een slechte gewoonte. Foto door V.F. Wiendels

Wat zijn nu precies de regels?

Er zijn diverse situaties waarbij een organisatie om legitimatie mag vragen. Drankverkoop aan jongeren, het afsluiten van een huurcontract, een nacht in een hotel, het huren van een auto. Ook bedrijven die dure spullen leveren of langlopende contracten aangaan willen graag weten met wie ze van doen hebben.

Als men om legitimatie vraagt en men neemt daarnaast ook persoonsgegevens over de persoon op in een systeem, dan is men verplicht het originele paspoort te controleren op echtheid. De richtlijn van de Autoriteit Persoonsgegevens is hier stellig in:

Het vragen om legitimatie heeft alleen zin wanneer de medewerker de echtheid en geldigheid van het identiteitsdocument controleert. Wanneer een medewerker zonder deugdelijke controle een vals of vervalst document als ‘bewijs’ accepteert, neemt het risico op identiteitsfraude en andere vormen van criminaliteit juist toe.

Met andere woorden: óf men controleert de identiteit van een persoon goed, óf men doet het niet. De tussenvorm die bij veel bedrijven praktijk was heeft fraudeurs juist in staat gesteld abonnementen af te sluiten op andermans naam. Indien identiteitscontroles noodzakelijk zijn voor de organisatie, dan kan dit alleen in persoon. Aan de balie bekijkt de medewerker of het paspoort inderdaad hoort bij die persoon, en controleert deze het paspoort op echtheid. Echtheidskenmerken treft u aan op de website www.paspoortinformatie.nl.

Alleen werkgevers mogen kopieën van paspoorten van hun werknemers opslaan.

Kopieën van een paspoort mogen alleen gemaakt worden als men hier wettelijk toe verplicht is. Dit is alleen het geval bij arbeidsrelaties.

Een werkgever moet kopieën van paspoorten inclusief pasfoto’s en sofinummers van zijn of haar werknemers opslaan.

Hij of zij moet daarnaast aan twee voorwaarden voldoen:
1. Controle: de werkgever is ook hier verplicht het paspoort op echtheid te controleren en te bekijken of het inderdaad bij die persoon hoort.
2. Afscherming: de werkgever moet ervoor zorgen dat deze kopieën en sofinummers als ‘’bijzondere persoonsgegevens’’ bewaard worden. Dat wil zeggen: niet alle medewerkers binnen de organisatie mogen toegang hebben tot dit bestand.

Er zijn enkele uitzonderingen op deze regel die u kunt lezen op de site van de Autoriteit Persoonsgegevens. In bijzondere situaties is het toch toegestaan een kopie van een paspoort op te slaan, zoals bij bepaalde vormen van financiële dienstverlening. Ook bij autoverhuurbedrijven houdt de autoriteit een slag om de arm: het BSN-nummer dient te worden afgeschermd op de kopie en de kopie moet na afloop vernietigd worden. In bijzondere situaties kan een organisatie aan de Autoriteit om toestemming vragen kopieën van paspoorten te mogen bewaren.

 


BSN Nummers

Soortgelijke restricties gelden ook voor het sofinummer (BSN Nummer). Ook dit nummer komt vaak voor in administraties waar dat niet mag.

Het BSN-nummer is alleen bedoeld voor communicatie tussen burger en overheid. Bij aangifte doen van belasting en aanvragen van zorgtoeslag etc. is het nummer noodzakelijk.

Het BSN-nummer valt in de wet onder de categorie ‘’bijzondere persoonsgegevens’’ waarvoor de strengste veiligheidsvoorschriften gelden. In het verleden zag men weleens dat men het BSN-nummer als een soort klantnummer gebruikte in brieven of mails of zelfs als inlogcode. Dit is echt uit den boze en is een datalek.

Alleen organisaties die wettelijk verplicht zijn om met het BSN-nummer te werken mogen dit doen. Dit zijn:

  • Onderwijsinstellingen (ook kinderopvang)
  • Zorgverleners en zorgverzekeraars
  • Werkgevers

Zij mogen dit alleen onder deze twee voorwaarden:

  1. Controle: Het BSN-nummer dient ook gecontroleerd te worden op echtheid: hoort het wel bij die persoon?
  2. Afscherming: Gegevens afschermen zodat onbevoegde medewerkers geen toegang hebben tot het systeem.

Op de site van Autoriteit Persoonsgegevens zijn allerlei voorbeelden te lezen van wat wel of niet mag met een BSN-nummer. Zo mag een UWV aan een arbodienst, bedrijfsarts of reïntegratiebureau het BSN-nummer van een werkzoekende doorgeven, maar alleen als dat bureau daadwerkelijk met dat individu gaat werken. Men mag geen lijsten met BSN-nummers doorsturen bij een algemene groepscursus of adviesgesprekken of trajecten in het algemeen.


BSNMaskerenOnvoldoendeOndanks het bestaan van speciale apps hiervoor, is alleen het maskeren van het BSN nummer onvoldoende. U mag helemaal niet met kopieen van paspoorten werken. Al sinds 2012 niet, tenzij in een arbeidsrelatie maar dan is versturen met een mobiele app nog steeds uit den boze.

Posted in 2016 Juni Thema Europa Tagged wetgeving

admin

Antropoloog. Journalist. Informatieve teksten. Onderzoek. Interviews.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *