Bedrijven als sportscholen, telecomaanbieders en hotels moeten daarmee gaan stoppen.

Het CBP krijgt veel vragen over dit onderwerp. Om onduidelijkheid weg te nemen heeft het een richtlijn opgesteld over wat wel en niet mag volgens de Wet bescherming persoonsgegevens. 

Op zich mogen overheden en bedrijven wel vragen een legitimatiebewijs te tonen om daarmee zeker te zijn dat het om de juiste persoon gaat.

"Daarbij kunnen in sommige gevallen ook enkele gegevens worden overgenomen", vertelt collegelid Wilbert Tomesen tegenover NU.nl. "Maar dat betekent niet dat je een kopie moet maken."

"De lijn is dat een kopie maken van een legitimatiebewijs niet mag, tenzij er sprake is van een uitzonderingssituatie", stelt Tomesen. Dat kan bijvoorbeeld zijn in het geval de wetgever dat verplicht, zoals bij het afsluiten van een bankrekening of voor het registreren van werknemers bij een bedrijf.

"Het gaat erom dat we zorgvuldig omgaan met de papieren en gescande weerslag van de persoonsgegevens."

Op een paspoort en identiteitskaart staat een foto en dat is rasseninformatie. Die mag niet zomaar worden verwerkt. Ook het Burgerservicenummer (BSN) dat op de legitimatiebewijzen staat is iets dat veel bedrijven niet mogen bezitten.

Tomesen: "Het maken van een kopie mag niet en toch worden we er te pas en te onpas mee geconfronteerd. Telefoonmaatschappijen, reisbureaus, sportclubs, hotels doen het, maar er is geen wettelijk basis voor", verzucht Tomesen. "Het is mijn foto, het zijn mijn gegevens die ergens in een papieren kopie ergens in een hotel ligt, omdat ik er ooit heb geslapen. Ik heb er dan geen controle over."

Het CBP waarschuwt dat het afgeven van de kopie niet zonder risico is, omdat de gegevens misbruikt kunnen worden voor identiteitsdiefstal.

Dat het niet denkbeeldig is dat gegevens worden gestolen, blijkt uit de grote hoeveelheden datalekken.

In januari werd er ingebroken in de systemen van KPN, waarbij een hacker wist door te dringen tot bedrijfssystemen van het telecombedrijf. Woensdag bleek dat een hacker is aangehouden die via de website van zanger Frans Bauer bij gegevens van diverse GSM-bedrijven kon komen.

Ondanks dat het niet mag, maken telecombedrijven Vodafone, T-Mobile en KPN een kopie van een legitimatiebewijs voor hun administratie. Volgens KPN is dat nodig om klanten te kunnen identificeren en wordt de kopie bewaard zolang dat voor de overeenkomst nodig is.

Wel zegt KPN dat het het BSN-nummer automatisch onleesbaar maakt. Ook Vodafone en T-Mobile zijn gevraagd om toelichting, maar zij hebben meer tijd nodig om duidelijk te maken waarom legitimatiebewijzen opgeslagen zijn.

Tomesen zegt dat het CBP niet direct van plan is in te grijpen. Het richtsnoer wordt gepubliceerd in de Staatscourant en vormt de basis voor het CBP voor toekomstig toezicht en eventuele handhaving.

Maar het collegelid stelt niet van plan te zijn overtredingen te negeren. "Het ten onrechte eisen van kopieën van identiteitsbewijzen staat hoog op onze prioriteitenlijst." Hij benadrukt dat het CBP wel gaat handhaven, maar geen organisatie 'op de korrel' heeft.

Een zegsman van Vodafone stelt het legitimatiebewijs te kopiëren om achteraf discussie over een abonnement te kunnen voeren. Ook is de kopie volgens het bedrijf nodig zodat medewerkers kunnen controleren of zij met de juiste persoon te maken hebben.