Mag een verhuurbedrijf een foto van mijn identiteitskaart eisen?

Steeds meer bedrijven vragen om een foto of scan van uw identiteitskaart als onderdeel van een contract of registratie. De vraag is echter of dit zomaar mag. Het antwoord is in de meeste gevallen neen. Een beslissing van de Belgische Gegevensbeschermingsautoriteit (GBA) van 19 augustus 2025 (nr. 132/2025) bevestigt dat het eisen van een kopie van een identiteitskaart voor fraudebestrijding vaak een stap te ver is, zeker wanneer er minder ingrijpende alternatieven bestaan.

De feiten: een huurcontract voor een e-bike

De zaak draaide rond een bedrijf dat fietsen verhuurt op basis van een abonnement. Voor de duurdere elektrische fietsen had het bedrijf een specifieke procedure ingevoerd om fraude tegen te gaan. Klanten moesten zich online registreren en daarbij een foto van hun identiteitskaart uploaden. Deze foto werd vervolgens doorgestuurd naar een gespecialiseerde externe firma (een “verwerker”) die de echtheid van de kaart controleerde.

Een klant verzette zich tegen deze praktijk. Ze was van mening dat een visuele controle in de winkel, zoals die voorheen en ook later weer werd toegepast, moest volstaan. Ze maakte zich in het bijzonder zorgen over de verwerking van haar rijksregisternummer, dat op de achterkant van de eID staat. Toen haar verzoek om inzage in haar verwerkte gegevens na een jaar nog onbeantwoord was, diende ze een klacht in bij de GBA.

De beslissing van de Gegevensbeschermingsautoriteit

De Geschillenkamer van de GBA oordeelde dat het verhuurbedrijf op meerdere punten de Algemene Verordening Gegevensbescherming (AVG) had geschonden.

De kern van de beslissing is dat er geen geldige rechtsgrond was voor het verwerken van een foto van de identiteitskaart. De GBA analyseerde de twee meest voor de hand liggende rechtsgronden en verwierp ze beiden:

Noodzakelijk voor de uitvoering van de overeenkomst (art. 6.1.b AVG): De GBA stelde dat het maken en verwerken van een foto niet objectief noodzakelijk was om het huurcontract uit te voeren. Een eenvoudige visuele controle van de identiteitskaart bij het ophalen van de fiets was voldoende om de identiteit van de huurder vast te stellen. Het feit dat het bedrijf deze methode zowel voor als na de betwiste periode gebruikte, toonde aan dat de fotoprocedure niet essentieel was.
Gerechtvaardigd belang (art. 6.1.f AVG): Hoewel fraudebestrijding een legitiem en gerechtvaardigd belang is voor een bedrijf, faalde de procedure op de “noodzakelijkheidstoets”. Om een verwerking op deze grond te baseren, moet ze niet alleen geschikt zijn, maar ook noodzakelijk. Er mag geen minder ingrijpend (evenwaardig) alternatief bestaan om hetzelfde doel te bereiken. In dit geval bestond dat alternatief: de fysieke, visuele controle.

Naast het ontbreken van een rechtsgrond stelde de GBA nog andere inbreuken vast:

Gebrek aan transparantie (art. 5.1.a, 12 en 13 AVG): De privacyverklaring was onvolledig. Ze vermeldde de identiteitsverificatie door een externe partij niet. Ook was de informatie over het al dan niet continu volgen van de locatiegegevens van de fiets onduidelijk.
Schending van het recht op inzage (art. 12 en 15 AVG): Het bedrijf had niet binnen de wettelijke termijn van één maand gereageerd op het inzageverzoek van de klant. Het argument dat de e-mail in de spamfolder was beland, werd niet aanvaard als geldig excuus.

Uiteindelijk legde de GBA een berisping op voor de onrechtmatige verwerking en het negeren van het inzagerecht, en een waarschuwing voor het gebrek aan transparantie over de locatiegegevens.

Juridische analyse en duiding

Deze beslissing is een belangrijke herinnering aan de strikte interpretatie van het noodzakelijkheidsvereiste binnen de AVG. De ratio decidendi van de Geschillenkamer is helder: het feit dat een verwerking nuttig, handig of wenselijk is voor een bedrijf, maakt ze nog niet “noodzakelijk” in juridische zin. Zowel voor de uitvoering van een contract (art. 6.1.b) als voor het gerechtvaardigd belang (art. 6.1.f) moet de verwerkingsverantwoordelijke kunnen aantonen dat de gekozen methode de minst intrusieve is om het beoogde doel te bereiken.

De GBA maakt ook een cruciaal onderscheid tussen het visueel controleren van een identiteitsbewijs en het verwerken ervan in een bestand. Een medewerker die de gegevens op een eID vergelijkt met de registratiegegevens, voert in principe geen verwerking uit die onder de AVG valt, omdat de gegevens niet bedoeld zijn om opgeslagen te worden. Zodra er echter een foto, scan of kopie wordt gemaakt, ontstaat er een nieuw persoonsgegeven dat wordt opgeslagen, doorgestuurd en bewaard. Dit is een volwaardige verwerking waarvoor de strikte regels van de AVG gelden, inclusief de vereiste van een geldige rechtsgrond en het principe van minimale gegevensverwerking (art. 5.1.c AVG).

Het falen om tijdig te reageren op een recht van inzage illustreert bovendien een gebrek aan interne procedures. Het toont aan dat de verantwoordingsplicht (art. 5.2 AVG) verder gaat dan enkel een privacyverklaring opstellen; bedrijven moeten ook de technische en organisatorische maatregelen nemen om de rechten van betrokkenen effectief te garanderen.

Wat dit concreet betekent

Voor consumenten: Wees kritisch wanneer een bedrijf een kopie of foto van uw identiteitskaart vraagt voor een alledaags contract (huur, abonnement, aankoop). Vraag naar het doel en de wettelijke basis. Stel een alternatief voor, zoals een visuele inspectie ter plaatse. Weet dat u het recht heeft om inzage te vragen in de gegevens die een bedrijf over u bijhoudt en dat men binnen een maand moet antwoorden.
Voor bedrijven en dienstverleners: Deze beslissing is een duidelijk signaal. Evalueer uw onboarding- en verificatieprocessen.
- Noodzaak: Is het echt noodzakelijk om een kopie van de eID te vragen? Kunt u uw doel (bv. identiteitscontrole, fraudepreventie) niet bereiken met een minder ingrijpende methode?
- Documentatie: Als u meent dat het toch noodzakelijk is, documenteer dan grondig uw afweging (de zogenaamde Data Protection Impact Assessment of DPIA kan hier nuttig zijn) en de analyse van de rechtsgrond.
- Transparantie: Zorg ervoor dat uw privacyverklaring volledig, duidelijk en specifiek is. Vermeld alle verwerkingen, de betrokken externe partijen (verwerkers) en de doeleinden. Verspreid informatie niet over verschillende documenten zoals algemene voorwaarden.
- Rechten van betrokkenen: Implementeer een waterdichte procedure om verzoeken van klanten (inzage, verwijdering, etc.) correct en tijdig af te handelen. Een e-mail in een spamfolder is uw verantwoordelijkheid.

Veelgestelde vragen (FAQ)

Is het vragen van een kopie van mijn identiteitskaart altijd illegaal?
Nee, niet altijd. In bepaalde sectoren, zoals de financiële sector (om witwassen tegen te gaan) of bij uitzendkantoren, bestaat er een specifieke wettelijke verplichting. Voor de meeste commerciële contracten is er echter geen wettelijke plicht en is een visuele controle voldoende.

Wat is het verschil tussen mijn eID tonen en een foto ervan laten nemen?
Het tonen van uw identiteitskaart voor een snelle, visuele controle wordt doorgaans niet gezien als een “verwerking” in de zin van de AVG. Het maken van een foto of scan creëert een digitaal bestand. Dit is een volwaardige verwerking van persoonsgegevens, waarop alle beschermingsregels van de AVG van toepassing zijn.

Mijn verzoek om inzage in mijn gegevens wordt genegeerd. Wat kan ik doen?
Een organisatie is wettelijk verplicht om binnen één maand te reageren op uw verzoek. Als die termijn is verstreken, kunt u een herinnering sturen. Blijft een reactie uit, dan kunt u een klacht indienen bij de Gegevensbeschermingsautoriteit.

Conclusie

Deze uitspraak van de GBA benadrukt dat het gemak voor de ondernemer niet primeert op de persoonsgegevens van de burger. Het principe van noodzakelijkheid moet strikt worden geïnterpreteerd: als er een minder ingrijpende manier is om een doel te bereiken, dan moet die worden gevolgd. Voor bedrijven is dit een aansporing om hun dataverwerking kritisch onder de loep te nemen en te zorgen voor volledige transparantie en respect voor de rechten van hun klanten.

Heeft u te maken met een complexe zaak rond gegevensbescherming of wordt u geconfronteerd met vragen over de rechtmatigheid van uw dataverwerking? Onze advocaten, gespecialiseerd in privacy- en gegevensbeschermingsrecht, staan klaar om uw processen te analyseren en te verzekeren dat u conform de AVG handelt. Neem vrijblijvend contact op voor een eerste advies.

Contact

Recente berichten

Mag België nog eigen AI-regels invoeren?

Waar is de rechter bevoegd bij massaschade door Big Tech?

Is uw commerciële samenwerkingsovereenkomst nietig bij stilzwijgende verlenging?

E-facturatie vanaf 2026: het einde van factuurbetwistingen of een nieuwe juridische valkuil?

Fouten in JustRestart: Is de softwareleverancier aansprakelijk voor vertraging in uw dossier?

Mag u een drank ‘alcoholvrije gin’ noemen?

Is een uitwinningsvergoeding verschuldigd bij beëindiging van de handelsagentuur wegens uitzonderlijke omstandigheden?

Is de bank aansprakelijk bij phishing als ik zelf de codes doorgaf?

Topics

Topics

ICT Rechtswijzer

Contactgegevens

Waar ons te vinden

Disclaimers

Mag een verhuurbedrijf een foto van mijn identiteitskaart eisen?

De feiten: een huurcontract voor een e-bike

De beslissing van de Gegevensbeschermingsautoriteit

Juridische analyse en duiding

Wat dit concreet betekent

Veelgestelde vragen (FAQ)

Conclusie

Joris Deene

Misschien vind je dit ook leuk

Contact

Recente berichten

Topics

Topics

ICT Rechtswijzer

Contactgegevens

Waar ons te vinden

Disclaimers