Het wordt tijd voor een wettelijk verbod op het kopiëren van identiteitsbewijzen (kopietje paspoort op grond van Wwft, Wtt en Wft levert identiteitsfraude-risico’s op, aldus CBP)

Terwijl DNB, BFT, AFM en alle andere toezichthouders op grond van de financiële toezichtwetten van de ondernemers verwachten dat er bij het minste of geringste een kopie van het paspoort wordt gemaakt, om te bewijzen dat de persoon is geïdentificeerd, levert dat volgens het College Bescherming Persoonsgegevens (CBP) enorme risico’s op identiteitsfraude op. Zie hierover het artikel op Security.nl:

CBP waarschuwt voor paspoort kopietjes
Vandaag, 11:46 door Redactie

Bedrijven en organisaties kopiëren steeds vaker het identiteitsbewijs van bijvoorbeeld klanten en relaties, wat identiteitsfraude kan veroorzaken, aldus het College Bescherming Persoonsgegevens (CBP). Het CBP noemt het verschijnsel ‘kopietje paspoort’. Volgens de privacywaakhond kunnen mensen hiervan jarenlang financiële en maatschappelijke schade ondervinden.

“Een kopie maken van een paspoort, rijbewijs of identiteitskaart is dan ook – op enkele uitzonderingen na – bij wet verboden. Bedrijven en organisaties in de private sector kunnen in de meeste gevallen voor legitimatie volstaan met de vraag aan klanten om hun paspoort of ander identiteitsdocument te tonen.”

Richtsnoer
Om de regels te verduidelijken zijn er nu richtsnoeren opgesteld voor het overnemen van persoonsgegevens en het kopiëren en scannen van identiteitsdocumenten. De richtsnoeren bevatten ter illustratie veelvoorkomende situaties waarbij om een identiteitsbewijs wordt gevraagd, zoals onder meer bij hotels en sportscholen. De richtsnoeren treden vandaag in werking.

De politie Twitterde eerder al deze week om kopietjes van identiteitsbewijzen te markeren.

Dit bericht illustreert de problemen waarin we terechtkomen met de enorme identificatiebehoefte op grond van allerlei wetgeving. Het zal duidelijk zijn dat de kopie van het identiteitsbewijs niet veilig is bij vele ondernemers die zo’n kopie vragen.

Het wordt dus tijd voor een wettelijk verbod op het kopiëren van identiteitsbewijzen.

Overigens bestaat dat verbod volgens het bericht van de College Bescherming Persoonsgegevens al. Lees wat de CBP er over schrijft:

CBP publiceert richtsnoeren voor het gebruik van een ‘kopietje paspoort’

Kopiëren identiteitsbewijs in de private sector in beginsel niet toegestaan 

Persbericht, 12 juli 2012

Bedrijven en organisaties kopiëren steeds vaker het identiteitsbewijs van bijvoorbeeld klanten en relaties. Dit verschijnsel staat ook wel bekend als ‘kopietje paspoort’.
Het op grote schaal kopiëren of scannen van identiteitsdocumenten brengt risico’s met zich mee voor de persoonlijke levenssfeer van burgers, zoals identiteitsfraude. Mensen kunnen hiervan jarenlang financiële en maatschappelijke schade ondervinden. Een kopie maken van een paspoort, rijbewijs of identiteitskaart is dan ook – op enkele uitzonderingen na – bij wet verboden. Bedrijven en organisaties in de private sector kunnen in de meeste gevallen voor legitimatie volstaan met de vraag aan klanten om hun paspoort of ander identiteitsdocument te tonen. Om de regels te verduidelijken, heeft het College bescherming persoonsgegevens (CBP) richtsnoeren opgesteld voor het overnemen van persoonsgegevens en het kopiëren/scannen van identiteitsdocumenten. De richtsnoeren bevatten ter illustratie veelvoorkomende situaties waarbij om een identiteitsbewijs wordt gevraagd, zoals onder meer bij hotels en sportscholen. De richtsnoeren treden vandaag in werking.

Zie het themadossier ‘Kopie identiteitsbewijs’ op www.mijnprivacy.nl

Mogen bedrijven en organisaties vragen om legitimatie? Ja, mits…
Het kopiëren van legitimatiebewijzen is niet alleen bij wet verboden, in de meeste gevallen volstaat het tonen van een legitimatiebewijs ter identificatie. Het vragen om legitimatie heeft echter alleen zin wanneer de medewerker van een bedrijf of organisatie de echtheid en geldigheid van het originele identiteitsdocument controleert. De richtsnoeren bevatten aanwijzingen voor de wijze waarop identiteitsdocumenten deugdelijk op echtheid kunnen worden gecontroleerd.

Is ‘kopietje paspoort’ toegestaan? Nee, tenzij…
Soms is het tonen van het identiteitsbewijs niet voldoende en kan het noodzakelijk zijn om hiervan bepaalde gegevens over te nemen of dit te kopiëren. Het bedrijfsleven mag in beginsel alleen maar een kopie maken van een identiteitsbewijs als daarvoor een wettelijke verplichting bestaat. Het bedrijf moet mensen hoe dan ook informeren over de noodzaak voor het overnemen of kopiëren van gegevens en wijzen op hun recht op inzage in en correctie van hun persoonsgegevens. Bovendien schept de Wet bescherming persoonsgegevens  verplichtingen om de kopieën met soms gevoelige persoonsgegevens goed te beveiligen tegen verlies en misbruik.

Checklist voor consument
Op zijn website www.mijnprivacy.nl heeft het CBP een speciaal dossier ‘Kopie identiteitsbewijs‘ geplaatst met antwoorden op veelgestelde vragen over het afgeven van een kopie paspoort.

Als het inderdaad verboden is om identiteitsbewijzen te kopiëren, dan wordt het tijd om daar eens flinke straffen op te zetten.

Uit de genoemde richtsnoeren van het CBP blijkt dat Wwft-plichtige ondernemers wel gerechtigd zijn om kopieën te maken en te bewaren. Echter, de groep Wwft-plichtige ondernemers is zo ruim geworden, dat het de vraag is of het wel verstandig is hen allen het recht te geven kopie-identiteitsbewijzen te maken en te bewaren. Voorbeelden van Wwft-plichtige ondernemers zijn niet alleen banken en verzekeringsmaatschappijen, maar ook:

  • administratiekantoren
  • makelaars
  • handelaren in zaken met grote waarde
  • domicilieverleners (die niet vallen onder de definitie ‘trustkantoor’)

Het wordt tijd om de wettelijke verplichtingen tot het bewaren van kopie-identiteitsbewijzen eens zorgvuldig onder de loep te nemen en daar waar mogelijk en nuttig te schrappen of te beperken.

Aanvulling 21 december 2012
Zie over de risico’s verbonden aan alle kopieën die van identiteitsbewijzen worden gemaakt ook het artikel “Privacywetgeving en het kopietje paspoort” van mr. P.E. Lucassen en mr. drs. J.W.A. Dousi dat is verschenen in het tijdschrift Vennootschap & Onderneming, nummer 12 van 2012.

Aanvulling 13 februari 2014
Het kopiëren van paspoorten blijft een probleem, zo blijkt uit een bericht van het CBP van vandaag:

CBP: Bedrijven vragen om kopie paspoort in strijd met de wet
Toezichthouder ontvangt meer dan 1.000 signalen

Persbericht, 13 februari 2014
Het College bescherming persoonsgegevens (CBP) constateert dat bedrijven in verschillende sectoren nog steeds in strijd met de wet om een kopie van een identiteitsbewijs vragen. De afgelopen tijd heeft het CBP meer dan 1.000 signalen ontvangen die te maken hebben met het kopiëren van identiteitsdocumenten. In sectoren uiteenlopend van de evenementen- tot de hotelbranche vragen bedrijven om een kopie van het paspoort. Het CBP heeft naar aanleiding van de signalen met verschillende organisaties contact opgenomen en hen ertoe bewogen hun beleid of hun communicatie over het kopiëren van ID-bewijzen aan te passen. “Natuurlijk moeten bedrijven kunnen controleren of hun klanten zijn wie ze zeggen dat ze zijn. Maar stapels kopietjes van paspoorten is bijna vragen om identiteitsfraude. Met grote financiële en maatschappelijke gevolgen voor burgers”, zegt Wilbert Tomesen, collegelid van het CBP. De onderzochte bedrijven hebben hun werkwijze aangepast en de overtredingen beëindigd. Het optreden van het CBP heeft er ook toe geleid dat de Belastingdienst en Transport en Logistiek Nederland bedrijven juist informeren over kopie paspoort.


Lees de richtsnoeren identificatie en verificatie van persoonsgegevens


Het CBP heeft in juli 2012 richtsnoeren gepubliceerd voor het gebruik van ‘kopietjes paspoort’ in de private sector om de wettelijke regels te verduidelijken. Het hoge aantal signalen dat het CBP sinds die tijd heeft ontvangen, was voor het CBP mede reden om een aantal bedrijven in de betreffende sectoren aan te spreken. Het CBP constateerde dat bij het afsluiten van abonnementen, bijvoorbeeld bij een sportschool of een wellnesscentrum om een kopie paspoort werd gevraagd. Een organisator van een groot publieksevenement vroeg aan iedereen die zich wilde inschrijven een kopie van hun identiteitsbewijs. Bovendien weigerde deze organisator een kopie te accepteren waarop het burgerservicenummer (BSN) en de foto waren afgeschermd. Het CBP nam ook contact op met een zwembad, een handelaar in metalen en een containerreinigingsbedrijf. De onderzochte bedrijven hebben verklaard dat zij inmiddels geen kopieën van identiteitsbewijzen meer maken en de in bezit zijnde kopieën vernietigen.

Belastingdienst
Het CBP ontving in 2013 veel signalen over inleners of aannemers die een kopie paspoort verlangden van werknemers die zij inhuren van een ander bedrijf. Werkgevers mogen een kopie van het identiteitsbewijs van hun werknemers verwerken, maar bedrijven die personeel inhuren of werk uitbesteden mogen dat niet. De Belastingdienst bleek bedrijven echter te adviseren een kopie van het identiteitsbewijs te maken. De Belastingdienst heeft na optreden van het CBP het beleid gewijzigd en informeert bedrijven nu dat het maken van een kopie paspoort niet noodzakelijk en daarmee in strijd met de wet is.

Transport en Logistiek Nederland (TLN)
Het CBP ontving ook regelmatig vragen van vrachtwagenchauffeurs die willen weten of het verplicht is een kopie van hun identiteitsbewijs af te staan bij de ingang van een bedrijf waar zij goederen komen afleveren. Zij geven aan dat als een chauffeur weigert, hij zijn lading niet kwijt kan en in sommige gevallen dat het bedrijf weigert nog langer zaken te doen met het vervoersbedrijf waarvoor de chauffeur werkt. Het CBP heeft naar aanleiding van de steeds terugkerende vragen contact opgenomen met brancheorganisatie TLN, die beide ‘partijen’ – vervoerders en logistiek dienstverleners – als achterban heeft. Hierop heeft TLN zijn achterban laten weten dat chauffeurs bij het afleveren van goederen niet om een kopie paspoort mag worden gevraagd.

Aanvulling 25 september 2014
Zie over dit onderwerp de aanbevelingen die aan advocaten worden gedaan in een artikel in het Advocatenblad.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Capelle aan den IJssel (Rotterdam), telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.wordpress.com/ ||| modernisering ondernemingsrecht: http://flexbv.wordpress.com/
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce en getagged met , , , , , . Maak dit favoriet permalink.

10 reacties op Het wordt tijd voor een wettelijk verbod op het kopiëren van identiteitsbewijzen (kopietje paspoort op grond van Wwft, Wtt en Wft levert identiteitsfraude-risico’s op, aldus CBP)

  1. Peter Westerhof zegt:

    Bij detacheringsbureaus en intermediairs is het algemeen gebruik een electronische copie ID met alle leesbare gegevens te eisen. Meestal reeds voorafgaand aan bemiddeling.
    Men zou bekend moeten zijn met vigerende regelgeving. Maar zelfs indien daarop gewezen ‘heeft men een eigen mening’.

    • Elektronische gegevens verstrekking blijft een riskante zaak: wie kunnen die gegevens onderscheppen, wie kunnen die gegevens lezen en zijn degenen die over de gegevens beschikken wel goed beveiligd tegen digitale ‘inbraak’. Ook bij goedwillende en nette bedrijven kan worden ingebroken.

      • Ook een werkgever dient de regels te kennen. Die regels zijn niet vrijblijvend en ook niet vatbaar voor persoonlijke interpretatie. Iets dat helaas toch een beroepstrekje bij HRM’ers (b)lijkt te zijn.
        Indien gewezen op de achtergronden en consequenties haalt men de schouders op.

        Het CBP is volstrekt helder over ‘copietje paspoort’ : http://www.cbpweb.nl/Pages/pb_20120712_gebruik-kopie-identiteitsbewijs.aspx

        De werkgever mag/moet een copie-ID vragen, een Opdrachtgever is echter geen werkgever.
        Ook een intermediair is voorafgaand aan een inhuurovereenkomst geen werkgever. Bij voorbaat vragen om een copie-ID, laat staan een VOG staat op gespannen voet met de wet en met internationale regelgeving en richtlijnen. En om electronische versies per mail vragen is al helemaal je op glad ijs begeven.

        Governance & Compliance is nog steeds een ondergeschoven kindje bij de meeste organisaties. Oók bij politie. Bij de laatste is men zelfs niet in staat gebleken de meest elementaire zaken in te regelen, ook niet via externe inhuur : http://www.cbpweb.nl/Pages/rap_2011_privacyaudit_politie_bod.aspx

        Het CBP heeft inmiddels de teugels strakker aangetrokken, óók richting politie.

  2. Randy zegt:

    Hoi,

    Ben werkzaam als derde bij politie tbv montage en kom bij enkele buro’s ondanks mijn screening die is goed gekeurd niet binnen omdat ik ter plaatsen geen kopie van legitimatie wil afgeven. Naar mijn inzien vreemd want heb een screening die positief is en nu begin ik in conflict te raken met mijn werkgever. Wat mij betreft mag er nog morgen een verbod komen op het afgeven van een kopie.

    Groetjes

    • Beste Randy,
      Het zou kunnen zijn dat voor werkzaamheden op een politiebureau andere regels gelden. Misschien moet je dat eens aan je werkgever vragen. Er zijn strikte regels over het bewaren van kopieën van identiteitsbewijzen, als het goed is, weet jouw werkgever daar alles van af.
      Groeten, Ellen

  3. Lisa zegt:

    Is er misschien een voorbeeld brief met verwijzing naar de juiste wettelijke artikelen, die verzonden kan worden aan opdrachtgevers als reactie op een verzoek tot verwerking van persoonsgegevens?

  4. Peter Westerhof zegt:

    @Lisa : dat is af te raden, tenzij je een opdracht bij voorbaat niet wilt hebben.

    Gangbaar gebruik is dat copietjes-paspoort die voldoen aan het CBP-richtsnoer terstond bij de HRM’er in de prullenbak verdwijnen. Daarvan ken ik teveel praktijkvoorbeelden.

    Afhankelijk van de situatie is het wellicht politieker om een vriendelijke reactie te sturen waarin je aangeeft ‘tot je spijt helaas niet op de aanvraag te kunnen reageren aangezien door de aanvrager niet aan de geldende wet- en regelgeving wordt voldaan, maar dat je graag daarover graag van gedachten wisselt’.

  5. Peter Westerhof zegt:

    @Lisa : dat is af te raden, tenzij je een opdracht bij voorbaat niet wilt hebben.

    Gangbaar gebruik is dat copietjes-paspoort die voldoen aan het CBP-richtsnoer bij de HRM’er terstond in de prullenbak verdwijnen. Daarvan ken ik teveel praktijkvoorbeelden.

    Afhankelijk van de situatie is het wellicht politieker om een vriendelijke reactie te sturen waarin je aangeeft ‘tot je spijt helaas niet op de aanvraag te kunnen reageren aangezien door de aanvrager niet aan de geldende wet- en regelgeving wordt voldaan, maar dat je graag daarover graag van gedachten wisselt’.

  6. Desse zegt:

    Geachte Ellen Timmer,
    Hier heb ik een probleem mee zie punt 3. Graag wil ik mijn bsnnummer afschermen of een kopie laten inscannen welke is voorzien van de tekst dat het een kopie betreft. Maar dat mag niet.
    Hoe zit dit? Waarom handelt de overheid niet ook zelf in overeenstemming met haar eigen adviezen en richtlijnen omtrent het kopieren van ID’s.

    Bij het afleveren van de UZI-pas moet de koerier uw identiteit controleren aan de hand van een geldig identiteitsdocument. Meer informatie hierover kunt u lezen http://www.uziregister.nl. Een rijbewijs is niet toegestaan.

    1. U toont aan de koerier een geldig identiteitsdocument (paspoort, identiteitskaart, diplomatiek paspoort, dienstpaspoort of verblijfsdocument). Een rijbewijs is niet toegestaan.
    Uw identiteitsdocument wordt op echtheid gecontroleerd.
    2. U zet uw handtekening op een handtekeningkaart, de koerier controleert deze aan de hand van de handtekening op uw identiteitsdocument.
    3. Uw identiteitsdocument en de handtekeningkaart worden gescand.
    4. U ontvangt uw UZI-pas en controleert deze.
    5. U zet uw handtekening op de terminal van de koerier ter bevestiging van de ontvangst van uw UZI-pas.
    Het scannen van uw gegevens gebeurt via een scanmethode, waarbij uw gegevens versleuteld worden opgeslagen. Uw gegevens kunnen niet worden ingezien door derden en worden alleen verstrekt aan het UZI-register.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s