Tijdens inspecties komen we regelmatig klanten tegen die (afgeschrikt door de AVG) niet meer weten wanneer er een kopie ID in de administratie aanwezig moet zijn. Ook zien we dat kopieën onleesbaar gemaakt zijn en/of dat het Burger Servicenummer (BSN) is verwijderd.
Dit kan leiden tot een afwijking, bij een controle op de NEN4400-1. Wat dan weer gevolgen kan hebben voor het certificaat.
Op zich is het goed, dat organisaties voorzichtiger zijn in de omgang met persoonsgegevens, zoals een kopie ID. Wanneer ondernemingen onrechtmatig (zonder wettelijke grondslag) een kopie ID in de administratie hebben opgenomen, dan is dat namelijk een risico op grond van de AVG.
Met een legitimatiebewijs kan iemand zich legitimeren. Het BSN nummer en een pasfoto staan erop, waardoor een persoon kan aantonen dat hij of zij de persoon is die bij een BSN nummer hoort. Een voorbeeld van een legitimatiebewijs is een Nederlands rijbewijs of een geldig rijbewijs, dat is afgegeven door het daartoe bevoegde gezag in een andere lidstaat van de Europese Gemeenschappen (of in een andere staat die partij is bij de Overeenkomst betreffende de Europese Economische Ruimte, waarvan de houder in Nederland woonachtig is).
Met een identiteitsbewijs kan iemand zichzelf identificeren. Identificeren kan alleen met een document waarop de nationaliteit is vermeld. Een identiteitsbewijs is bijvoorbeeld een paspoort, Nederlandse identiteitskaart, ID-kaart of paspoort uit een EER-land of een Nederlands vreemdelingendocument.
Bij de eerste indiensttreding van een werknemer, is sprake van identificatieplicht. De identificatieplicht bestaat uit verschillende onderdelen, deze zijn:
Met de verificatieplicht wordt bedoeld dat de ondernemer de werknemer vraagt om een origineel en geldig identiteitsbewijs en dit controleert op echtheidskenmerken. Daarmee kun je vaststellen dat de persoon die voor je staat hoort bij het getoonde identiteitsbewijs, dat deze echt (en niet vervalst) en geldig is. Ook let je erop dat de werknemer bij jou werkzaam mag zijn zonder dat er bijvoorbeeld een tewerkstellingsvergunning nodig is.
Met bewaarplicht wordt bedoeld dat je een kopie moet maken van het geldige identiteitsbewijs. Dit blijkt onder andere uit de Wet op de Loonbelasting. Het kopie moet duidelijk leesbaar zijn en je moet de voor- en achterkant kopiëren. Dit hoeft alleen bij de indiensttreding. Het is niet nodig om opnieuw een kopie te maken wanneer een identiteitsbewijs verlopen is. Verder ben je verplicht om het kopie tot 5 jaar na de uitdiensttreding te bewaren van iedere werknemer.
De zorgplicht houdt in dat je je werknemers erop moet wijzen, dat zij ook tijdens hun werk altijd een geldig identiteitsbewijs op zak hebben. Het is immers mogelijk dat een ander bevoegd persoon of organisatie (bijvoorbeeld de inlener, (hoofd)aannemer of een ambtenaar van Inspectie SZW) het document moet controleren. Wanneer het gaat om werkzaamheden waarbij het identiteitsbewijs beschadigd kan worden of kwijt kan raken, dan houdt de zorgplicht onder meer ook in dat je als werkgever zorgt voor bijvoorbeeld kluisjes bij de arbeidsplaats of dat je daarover goede afspraken maakt bij de inlener of (hoofd)aannemer. Werknemers moeten namelijk altijd in de gelegenheid worden gesteld om te voldoen aan hun identificatieplicht, maar zij mogen geen schade ondervinden aan het document door uitvoering van werkzaamheden.
Wanneer je werknemers in dienst hebt moet je van alle werknemers een goed leesbare kopie van de voor- en achterkant een bij indiensttreding geldig identiteitsbewijs in je personeelsadministratie bewaren. Deze bewaarplicht geldt tot 5 jaar na de dag waarop de werknemer uit dienst getreden is.
Wanneer er geen wet is die vertelt dat je een kopie van het ID moet maken, zoals de Wet op de Loonbelasting dat doet, dan ontbreekt een wettelijke grondslag en daarmee is het dus niet toegestaan een kopie of scan te maken van een identiteitsbewijs (en ook niet van het legitimatiebewijs!). De Wet op de Loonbelasting is alleen van toepassing wanneer een arbeidskracht in dienstbetrekking staat met jouw bedrijf. Dit is dus niet het geval wanneer het gaat om werknemers die je inleent van een intermediair of die werkzaamheden via een onderaannemer verrichten. Ook is het niet toegestaan om van een ZZP-er een kopie van zijn legitimatie- of identiteitsbewijs te maken.
Je moet de verzamelde persoonsgegevens (zoals een kopie van het ID-bewijs) organisatorisch en technisch goed beveiligen tegen verlies, diefstal en ander onrechtmatig gebruik. Dit om identiteitsfraude te voorkomen. Dat betekent dat niet iedereen zomaar toegang mag hebben tot de gegevens. Dit mag alleen wanneer dit vanuit de uitoefening van de functie (ofwel het recht) noodzakelijk is. Wanneer gegevens door onbevoegde personen uit de organisatie (of daarbuiten) wordt ingezien, dan geldt dat als een datalek. Ook is het belangrijk om erop te letten dat je het kopie ID niet langer bewaart dan noodzakelijk is of wettelijk verplicht. Daarna moeten de gegevens worden vernietigd, zodat zij niet later hergebruikt kunnen worden. Let er daarbij ook op dat je de gegevens op een juiste manier vernietigd.