Mag ik een kopie paspoort "voor de zekerheid" in mijn klantdossier bewaren?

Nee. Zonder wettelijke grondslag mag je geen kopie opslaan. "Voor de zekerheid" is geen grondslag onder de AVG. Wie toch kopieën bewaart riskeert volgens de AP een boete die kan oplopen tot enkele duizenden euro per onterecht bewaarde kopie. Verwijder ze zodra je ze niet meer nodig hebt.

Mag ik het BSN van een klant in mijn CRM zetten voor facturatie?

Niet voor particuliere klanten. Artikel 46 UAVG staat BSN-gebruik alleen toe bij een wettelijke plicht. Voor facturatie aan consumenten bestaat die plicht niet. Werkgevers en zorgverleners hebben wel een wettelijke grondslag. Twijfel je? Dan is het antwoord bijna altijd: niet verwerken.

Ik ben ZZP’er en een opdrachtgever vraagt een kopie van mijn paspoort. Mag dat?

Meestal niet. Sinds de Wet DBA volstaat voor een zakelijke opdrachtgever het KvK-nummer en btw-nummer. Alleen als je werkt in een sector met specifieke identificatieplicht (Wwft-instellingen, uitzendbureaus, schoonmaak onder Waadi) mag er meer gevraagd worden. Vraag in andere gevallen om de juridische grondslag.

Mag een verhuurder mijn paspoort kopiëren als borg?

Een paspoort inhouden als borg mag niet. De AP heeft hier in eerdere controles meerdere verhuurders op gewezen. Wel mag een verhuurder de identiteit checken en naam plus documentnummer noteren. Een kopie is alleen toegestaan als BSN en pasfoto zijn afgedekt en er een aantoonbare noodzaak is.

Hoe toon ik aan dat ik een wettelijke grondslag heb voor het bewaren?

Zet de grondslag in je verwerkingsregister: welke verwerking, welk wetsartikel (bijvoorbeeld art. 28 Wet op de loonbelasting voor werknemers, of art. 33 Wwft voor cliëntenonderzoek), welk belang. Bij een informatievraag van de AP is dat register vaak het eerste wat wordt opgevraagd.

Wat doe ik met oude kopieën die ik onterecht heb bewaard?

Vernietigen. Versnipper papieren kopieën, verwijder digitale kopieën uit mapstructuren, back-ups en e-mailarchieven. Documenteer wat je hebt weggegooid en wanneer. Dat bewijs helpt als een betrokkene later vraagt of jij nog gegevens hebt, of als de AP informatie opvraagt over je opschoning.

Paspoort of BSN van een klant ontvangen? Dit mag je wel en niet bewaren

Je bent coach en een nieuwe klant mailt: "Bijgevoegd alvast een scan van mijn paspoort voor de intake." Je bent developer en een opdrachtgever stuurt ongevraagd zijn BSN mee met de eerste factuurinformatie, "voor de zekerheid." Of je bent makelaar, en een kijker laat je bij de deur een foto maken van zijn ID-kaart. Wat doe je ermee?

Voor het overgrote deel van ZZP'ers en kleine bedrijven is het antwoord kort: je bewaart dat niet, en je vraagt er in de meeste gevallen ook niet om. De regels rond identiteitsdocumenten en het BSN zijn strikter dan veel ondernemers denken, en de AP rekent onterecht bewaarde kopieën per stuk af.

In het kort

Een kopie van een identiteitsbewijs bewaren mag alleen met een wettelijke grondslag. "Voor de zekerheid" telt niet.
Het BSN mag je bijna nooit verwerken. Toestemming van de klant is geen geldige basis (art. 46 UAVG).
Een paspoort inhouden als borg is een duidelijke overtreding. Identiteit checken en documentnummer noteren mag meestal wel.
Krijg je ongevraagd een scan? Binnen vijf minuten verwijderen en de afzender bedanken met een korte standaardreactie.

Als er nu een ID-kopie binnenkomt: doe dit in vijf minuten

Stel het niet uit. Elke extra dag dat de scan in je inbox blijft staan is een dag waarop hij in een back-up kan belanden, in een gedeeld archief kan lopen, of bij een hack kan uitlekken. De actie is kort.

Verwijder de scan uit de actieve inbox én uit "verwijderde items". In Gmail leegt dat de prullenbak binnen 30 dagen automatisch. In Outlook moet je zelf de folder "Verwijderd" leegen.
Check of je geen tweede kopie hebt elders. Een doorgestuurde e-mail, een gedownloade bijlage, een back-up in iCloud of Google Drive.
Stuur de klant een kort bericht. Niet juridisch, gewoon functioneel: "Bedankt voor het toesturen. Ik heb deze kopie niet nodig voor onze samenwerking. Ik heb de scan uit mijn mail verwijderd. Als je zelf ook de verzonden mail wilt opschonen, voorkom je dat hij elders blijft hangen."
Leg in je standaard-intake vast dat je geen ID-kopie wilt. Eén zin in je welkomstmail scheelt je dit moment de volgende keer.

Heb je al jaren aan inbox zonder ooit te hebben opgeschoond? Gebruik een zoekstring. Gmail: has:attachment filename:(pdf OR jpg OR png) (paspoort OR rijbewijs OR ID OR BSN). Outlook: hasattachments:yes (paspoort OR rijbewijs OR ID OR BSN). Bij de meeste ZZP'ers levert die zoekopdracht minstens één scan op die daar nooit had mogen staan.

Wat je nooit zomaar bewaart

Twee dingen staan niet ter discussie. Zonder wettelijke grondslag bewaar je ze niet, ook al heeft de klant toestemming gegeven.

Het BSN. Artikel 46 van de Uitvoeringswet AVG staat verwerking van het burgerservicenummer alleen toe als een wet dat uitdrukkelijk verplicht stelt. Toestemming is hier geen grondslag, ook niet bij particuliere klanten. De wetgever vond het BSN zó gevoelig dat hij "alleen met wettelijke plicht" als absolute regel heeft vastgelegd. Werkgevers mogen het verwerken (art. 28 Wet op de loonbelasting). Zorgverleners mogen het (Wet gebruik burgerservicenummer in de zorg). Een webshop, trainer, coach, makelaar of ontwerper mag het niet.

Een onbewerkte ID-kopie. Een kopie van een paspoort of ID-kaart bevat veel meer dan je denkt: BSN, pasfoto, nationaliteit, in sommige gevallen gezondheidsinformatie (uit het documenttype). De AP gaat ervan uit dat een organisatie alleen een kopie mag maken als dat wettelijk verplicht is. Het is geen argument dat "de klant het zelf heeft opgestuurd."

De boete is per kopie

De AP kan boetes opleggen die oplopen tot enkele duizenden euro's per onrechtmatig bewaarde kopie, naast een hoofdboete. Een map met dertig oude ID-scans in je archief is dus niet één overtreding, maar dertig. Dat is een van de redenen dat opschonen urgent is zodra je merkt dat je iets bewaart wat eigenlijk weg moet.

Wanneer je een ID wél mag kopiëren: de drie situaties

Er zijn drie categorieën waarin een kopie wél mag, en buiten deze drie is het antwoord bijna altijd nee.

1. Identificatieplicht als werkgever. Neem je personeel aan, of laat je iemand via een payroll-constructie voor je werken? Dan moet je voor aanvang een kopie van het identiteitsbewijs maken (art. 28 Wet op de loonbelasting). BSN staat daarop en mag. Bewaartermijn: vijf jaar na einde dienstverband. Belangrijk: dit geldt niet voor ZZP'ers die je inhuurt, alleen voor medewerkers in loondienst.

2. Wwft-instellingen. Ben je accountant, belastingadviseur, notaris, makelaar, financieel planner of werk je in een andere Wwft-plichtige sector? Dan ben je verplicht cliëntenonderzoek te doen, inclusief het vastleggen van identiteitsgegevens (art. 33 Wwft). Bewaartermijn: vijf jaar na einde zakelijke relatie. Een onbewerkte kopie is niet altijd nodig; het documenttype, nummer en uitgifteplaats vastleggen is vaak voldoende, en dataminimalisatie is ook hier de norm.

3. Specifieke wettelijke taken. Zorgverleners (BSN in het medisch dossier), uitzendbureaus (Waadi-identificatieplicht), en enkele andere sectoren hebben een eigen wettelijke grondslag. Voor vrijwel elke andere ZZP'er (ontwerpers, developers, coaches, trainers, fotografen, webshops, marketeers) is geen van deze drie situaties van toepassing.

Uitzondering: werkers van buiten de EER

Huur je iemand in die niet uit de EER, Zwitserland of Turkije komt? Dan geldt de verificatieplicht uit de Wet arbeid vreemdelingen (Wav). Je moet het identiteitsbewijs controleren en een kopie vijf jaar bewaren, ook als het om een ZZP-opdracht gaat. Voor werkers uit Nederland en de EU geldt deze uitzondering niet.

Twijfel je of jouw situatie in één van deze drie valt? Schrijf op welk wetsartikel de verplichting oplegt. Kun je dat niet concreet benoemen, dan is er waarschijnlijk geen grondslag en mag je geen kopie bewaren. Weet je niet zeker of je verwerkingen een grondslag hebben? Begin met de Privacy Scan: tien vragen, twee minuten.

Hoe je een kopie veilig maakt (als je hem écht nodig hebt)

Heb je een grondslag, dan geldt dataminimalisatie. Je bewaart wat nodig is, niet meer. De Rijksoverheid biedt daarvoor de gratis KopieID-app (iOS, Android). De app doet drie dingen die je handmatig kunt vergeten:

Het BSN en de pasfoto worden doorgestreept met een rode balk, niet alleen geblurd. Geblurde kopieën kunnen soms worden omgekeerd, doorgestreepte niet.
Er komt een watermerk op: datum, ontvangende organisatie en doel. Dat helpt tegen identiteitsfraude en maakt de kopie minder bruikbaar voor misbruik.
De originele foto wordt na verwerking verwijderd uit de app. De kopie staat alleen in het gedeelde bestand dat jij verstuurt.

Als een klant de kopie zelf aanlevert, vraag dan expliciet om een versie uit KopieID. Dat verschuift een deel van het risico naar de klant en toont aan dat je dataminimalisatie serieus neemt. Sla de kopie vervolgens op in een versleutelde map, niet in je standaard e-mailarchief of in een gedeelde clouddrive zonder toegangscontrole. Leg in je verwerkingsregister vast welke grondslag je gebruikt en hoe lang je bewaart.

Hoe lang mag je het bewaren?

De bewaartermijn staat in de wet die je grondslag geeft, niet in de AVG zelf. De vuistregels voor de meestvoorkomende gevallen:

Werknemer in dienst: kopie ID en BSN bewaren tot vijf jaar na einde dienstverband (fiscaal).
Wwft-cliënt: identificatiegegevens vijf jaar na einde zakelijke relatie. Je mag niet zomaar langer bewaren.
Werker uit niet-EER (Wav): kopie vijf jaar na einde inlening of opdracht.
Zorgrelatie: het BSN blijft in het medisch dossier, dat hoort bij de medische bewaartermijn (twintig jaar na laatste contact).
Eenmalige verificatie bij een webshop of dienst: geen bewaring. Verificatie doe je bij het moment, de kopie gaat daarna weg.

Zet de bewaartermijn per verwerking in je bewaartermijnen-overzicht. Aan het eind van elke termijn volgt opschoning. Een goede praktijk is twee keer per jaar een mapje "ID-documenten" doorlopen en alles ouder dan de wettelijke termijn vernietigen. Wie dit niet structureel doet, heeft bij een AP-controle een dossier dat veel groter is dan nodig.

Drie veelgemaakte fouten

Fout 1: de "voor de zekerheid"-kopie. De klant stuurt een scan zonder dat je erom hebt gevraagd. Je archiveert het in je klantdossier, want "misschien heb ik het ooit nog nodig." Dit is de meest voorkomende overtreding bij ZZP'ers. De correcte reactie: laat de klant weten dat je de scan niet nodig hebt, vraag of hij hem van zijn kant wil verwijderen uit zijn verzonden-map, en verwijder je eigen kopie.

Fout 2: ID in e-mailketens laten staan. Een klant stuurde drie jaar geleden een ID-scan in een e-mail. Die e-mail staat nog in je inbox. Dat is een verwerking. E-mailarchieven zijn statistisch een van de grootste plekken waar onterechte kopieën blijven hangen. Filter je archief op bijlagen met woorden als "paspoort", "rijbewijs", "ID", "BSN" en verwijder wat er niet meer hoort te staan.

Fout 3: BSN op een offerte of factuur. Uit gewoonte neemt iemand het BSN over in een offertesjabloon of een klantsysteem. Voor particuliere klanten mag dat niet. Voor zakelijke klanten heb je het BSN nooit nodig. Als je het per ongeluk in je systeem hebt staan: uitfilteren en vernietigen. Controleer je sjablonen: vaak staat er een BSN-veld dat jaren geleden is toegevoegd en nooit meer is weggehaald.

Wat als een klant weigert — of zelf ongevraagd stuurt

Heb je een wettelijke plicht, dan mag je weigeren te leveren zolang de klant niet aan de identificatieplicht voldoet. Een Wwft-instelling mag geen zakelijke relatie aangaan zonder het cliëntenonderzoek. Een werkgever mag geen loon uitbetalen zonder geverifieerde identiteit van de werknemer.

Heb je géén wettelijke plicht, dan is een weigering van de klant om een kopie te geven juist een signaal dat je het ook niet had moeten vragen. Zoek naar een alternatief: identiteitsverificatie op het moment zelf (persoonlijk, videogesprek, iDIN), of werken met een KvK-nummer en btw-nummer als het om een zakelijke klant gaat. Klanten die privacybewust zijn, stellen het op prijs als je hen niet om meer gegevens vraagt dan nodig.

En krijg je toch een ongevraagde scan? Hanteer een standaardreactie in plaats van in paniek een mapje te maken. Dezelfde tekst als in de vijf-minuten-actie hierboven: bedanken, verwijderen, doel uitleggen. Bewaar die tekst als een sjabloon in je mailclient. Dan kost het je vijf seconden in plaats van vijf minuten.

De eerlijke inschatting en het opschoonplan

De kans op een actieve AP-controle specifiek voor ID-administratie is voor het gemiddelde MKB klein. Het risico zit op twee plekken. Een klacht van een klant: die heeft het recht om te weten welke gegevens je van hem hebt, en een onterechte ID-kopie in je dossier is een kwetsbaar antwoord. En een datalek: als je inbox of je clouddrive wordt gehackt, zit het probleem niet in de één e-mail, maar in de stapel ID-kopieën die jaren lang is meegegroeid.

De contra-intuïtieve les: niet archiveren is veiliger dan veilig archiveren. Een versleutelde map met dertig ID-kopieën blijft een doelwit. Een leeg mapje is geen doelwit. De ZZP'ers die het best uitkomen bij een datalek of een klacht, zijn niet degenen met de beste encryptie, maar degenen met de kleinste stapel gevoelige data om zich zorgen over te maken.

Praktisch opschoonplan voor een middag:

Inbox doorzoeken met de zoekstring hierboven, bijlagen bekijken, scans verwijderen die niet in één van de drie wettelijke categorieën vallen.
Downloads-map en "bijlagen"-folder in je cloud (Google Drive, OneDrive, Dropbox) nalopen op los rondslingerende scans.
Klantdossiers doornemen. Staat er een kopie in die je nooit had mogen vragen? Verwijderen, en in je klantgegevensbeleid vastleggen dat je voortaan geen ID-kopieën meer bewaart.
Een korte notitie opslaan: "Op [datum] heb ik mijn ID-administratie opgeschoond. Verwijderd: X oude kopieën. Huidige basis: [opsomming]." Dat is je bewijs als iemand later vraagt wat je nog hebt, of als de AP informatie opvraagt over hoe je met ID-documenten omgaat.

Een middag werk. Jaren minder risico. En de volgende keer dat een klant ongevraagd een paspoortscan stuurt, ben je binnen vijf minuten klaar.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.