Kopiëren van ID – wanneer wel én wanneer niet?

maart 2017

Het is binnen de werkwijze van onze gemeente gebruikelijk om regelmatig een kopie van een identificatiemiddel op te slaan in een dossier. Bijvoorbeeld een kopie van rijbewijs of paspoort van nieuwe werknemers of gedetacheerde krachten. Er staan echter ook persoonsgegevens op een identificatiemiddel. Moet er bij het kopiëren van een identificatiemiddel ook rekening worden gehouden met de (nieuwe) Europese privacyregelgeving?

Antwoord in het kort:

Ja, bij het kopiëren van een identificatiemiddel moet ook rekening gehouden worden met de Europese privacyregelgeving. Op een identificatiemiddel staan namelijk diverse persoonsgegevens genoteerd. Deze persoonsgegevens zijn grondrechtelijk beschermd. De wet- en regelgeving omtrent privacy vereist dan ook dat er zorgvuldig met persoonsgegevens omgegaan wordt.

Daarnaast is relevant dat een identiteitsbewijs zowel een pasfoto als een nationaal identificatienummer bevat; twee zogenaamde ‘bijzondere persoonsgegevens’, waarvoor de Europese Algemene verordening gegevensbescherming (AVG) nog extra beschermende bepalingen kent. Voor het bewaren, kopiëren en verwerken van ‘bijzondere persoonsgegevens’, waar ook het BSN onder valt, gelden strikte regels.

Algemene verordening gegevensbescherming

De Europese Algemene verordening gegevensbescherming (AVG) is, na een lange onderhandelingsprocedure tussen de Raad, het Europees Parlement en de Europese Commissie op 25 mei 2016 in werking getreden. Decentrale overheden hebben echter nog ongeveer een jaar om aan de verplichtingen uit de AVG te voldoen. De AVG is namelijk van toepassing met ingang van 25 mei 2018 (zie ook art. 99 AVG). Op onder andere de themapagina Privacy vindt u meer informatie over de verplichtingen voor decentrale overheden onder de AGV. Ook leest u in dit verdiepende artikel lezen over deze verplichtingen.

Wet bescherming persoonsgegevens

Via de Nederlandse Wet bescherming persoonsgegevens (Wbp) is de momenteel geldende Europese richtlijn bescherming persoonsgegevens (95/46/EG) uit 1995 geïmplementeerd. De AVG stelt dat deze Europese richtlijn per inwerkingtreding van de AGV en dus per 25 mei 2018 ingetrokken wordt.

Rechtstreekse werking

De AVG is een Europese verordening, en heeft daarom zogenaamde rechtstreekse werking. Dit betekent dat de bepalingen uit de verordening zonder verdere tussenkomst van een nationale wetgever (of aparte implementatieslag) in de lidstaten moeten worden toegepast. Lees hier meer over de rechtstreekse werking van Europese verordeningen.

Uitvoeringswet

Doordat er in de verordening ruimte gegeven wordt aan de lidstaat om bepaalde bepalingen in te voeren, heeft Nederland voor wat betreft de AVG een uitvoeringswet in concept ontworpen. Hierin wordt bijvoorbeeld de Autoriteit Persoonsgegevens als toezichthoudende autoriteit aangewezen.

Persoonsgegevens op ID verwerken

Een ID (paspoort, rijbewijs of ID-kaart) bevat persoonsgegevens in de zin van de AVG. Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon zijn persoonsgegevens (art. 4 lid 1 AVG). Ook informatie waarmee een persoon indirect of direct kan worden geïdentificeerd zijn persoonsgegevens. De AVG is enkel van toepassing is als deze persoonsgegevens ook nog eens verwerkt worden (art. 2 AVG). Het kopiëren en opslaan van persoonsgegevens, en dus van een ID, kan als het verwerken van persoonsgegevens gezien worden. De definitie van verwerken staat in artikel 4 lid 2 AVG.

Bijzondere persoonsgegevens

Het verwerken van bijzondere persoonsgegevens wordt nadrukkelijk beschermd. Dit vloeit voort uit artikel 9 AVG. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens waaruit ras of etnische afkomst blijken. Het verwerken van bijzondere persoonsgegevens is in principe verboden, tenzij er een uitzondering uit artikel 9 AVG van toepassing is. Bijvoorbeeld wanneer er uitdrukkelijke toestemming gegeven wordt of wanneer er een wettelijke grondslag voor is. Bij het kopiëren van het ID-bewijs of paspoort worden ook bijzondere persoonsgegevens verwerkt, omdat deze een pasfoto bevat welke ook informatie kan bevatten over ras, etnische afkomst, religieuze overtuigingen, enzovoort. Niet alle grondslagen uit artikel 6 AVG gelden dus bij het verwerken van bijzondere persoonsgegevens.

Gebruik BSN

Het Burger Service Nummer (BSN) is in de eerste plaats bedoeld voor het contact tussen burger(s) en de overheid en overheden onderling. Ook andere organisaties kunnen een BSN gebruiken, bijvoorbeeld zorginstanties. Overheidsorganisaties, maar ook andere organisaties, mogen het BSN alleen verwerken wanneer dit wettelijk bepaald is (art. 87 AVG en art. 24 Wbp). In de AVG is een speciale bepaling gewijd aan het identificatienummer (BSN). Volgens art. 87 kunnen lidstaten de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer, of enige andere identificator van algemene aard, nader vaststellen.

In art. 44 van de concept-uitvoeringswet Algemene verordening gegevensbescherming wordt aandacht besteed aan het BSN. Evenals in de huidige Wbp, staat in de concept-uitvoeringswet dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens slechts gebruikt kan worden ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. Het is in feite een kapstokbepaling, op basis waarvan in andere wetten invulling gegeven kan worden aan dergelijke nummers.

Voorbeelden

Hieronder worden enkele voorbeelden gegeven, wanneer het verwerken van het BSN en specifiek het kopiëren van een ID inclusief BSN wettelijk verplicht zou kunnen zijn

Gebruik BSN overheid

Voor gebruik door de overheid (dus ook de gemeente) van het BSN is e.e.a. geregeld in artikel 10 Wet algemene bepalingen burgerservicenummer (Wabb). Overheidsorganen kunnen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun publieke taak, gebruik maken van het BSN, zonder dat daarvoor nadere regelgeving vereist is. Een overheid die een BSN wenst te verwerken, dient dit dus wel altijd in de uitoefening van een publieke taak te doen.

Wanneer wel: nieuwe werknemer

Op grond van de Wet op de loonbelasting (Wlb)is een werkgever verplicht om bij indiensttreding van een werknemer zijn of haar identiteit te controleren via een origineel en geldig paspoort of een ID-kaart (geen rijbewijs). Na deze controle is de werkgever ingevolge de Wlb verplicht om een kopie van het gecontroleerde identiteitsbewijs – inclusief BSN en pasfoto – in de loonadministratie te bewaren. Het is dus mogelijk om een kopie van een identificatiemiddel te maken, wanneer er sprake is van een werkgever-werknemer relatie. De kopie moet wel tot minstens vijf jaar na het kalenderjaar waarin de werknemer uit dienst is gegaan bewaard worden. Let wel, werkgevers mogen alleen een kopie bewaren van het paspoort/ID van hun eigen werknemers en niet van gedetacheerde krachten.

Wanneer niet: opdrachtgever-opdrachtnemer relatie

Voorheen moesten gemeenten bij het inhuren van personeel, bijvoorbeeld ZZP-ers, als opdrachtgever op grond van de Verklaring Arbeidsrelatie verplicht de identiteit van de ondernemer vaststellen en een kopie van het ID-bewijs in de administratie hebben. De hierbij gebruikte Verklaring Arbeidsrelatie (VAR) is inmiddels (sinds 1 mei 2016) afgeschaft, en de nationale wettelijke basis voor het kopiëren van het ID-bewijs van ingehuurd personeel is hiermee komen te vervallen. Het is dus niet langer toegestaan om een kopie van het ID te maken.

Conclusie:

Binnen de gemeente mogen niet zomaar kopieën gemaakt worden van een ID. Op een ID staat het BSN, en er moet een wettelijke taak zijn om het BSN te verwerken.

Wanneer wel: Bij het uitoefenen van een publieke taak, of het in dienst nemen van personeel
Wanneer niet: bij detachering.

Heeft de decentrale overheid geen wettelijke grondslag om het BSN te verwerken, mag dit dus niet op de kopie staan die wordt aangeleverd. Via de KopieID-app van de Rijksoverheid kunnen burgers een kopie maken van hun identiteitsbewijs en daarbij de gegevens wegstrepen die de ontvangende organisatie niet nodig heeft.

Door:

Femke Salverda, Europa decentraal

Meer informatie:

Themapagina Privacy, Europa decentraal
Autoriteit Persoonsgegevens, website

Meer weten over dit onderwerp?

Werkt u voor een decentrale overheid of het Rijk en hebt u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal:

STEL UW VRAAG