Identificatie kan nodig zijn om de diensten en producten te kunnen leveren. Het gaat daarbij om klanten, medewerkers en (in gevallen) relaties. Voorbeelden zijn de afdeling personeelszaken, ophaal punten waar klanten zich moeten identificeren en relaties die alleen toegang krijgen na identificatie.
Het is niet altijd duidelijk of er verplicht moet of mag worden geïdentificeerd en zo ja hoe er dan moet worden geïdentificeerd. Met als gevolg dat de identificatie niet op de juiste wijze plaatsvindt.
In de meeste bedrijven of organisaties moet op verschillende wijzen geïdentificeerd worden omdat de wijze van identificeren wordt bepaald door de verschillende doelen (de diensten en goederen) die er zijn en voor wie het doel is (aan wie wordt de dienst of goed geleverd).
Medewerkers worden op een andere wijze geïdentificeerd als de klanten omdat het doel wat moet worden bereikt verschillend is. En de identificatie van klanten kan per groep klanten verschillend zijn omdat de doelen verschillend kunnen zijn (de diensten en goederen die worden geleverd per groep).
Het is niet mogelijk om de wijze van identificeren zelf te kiezen. Ten eerste omdat er een verplichte en een niet verplichte identificatie is. In het geval van een verplichte identificatie is voorgeschreven wanneer en hoe er moet worden geïdentificeerd. Medewerkers bijvoorbeeld moeten verplicht worden geïdentificeerd bij het in dienst treden door het maken van een kopie van het identiteitsbewijs. Bij inlening is er ook een verplichte identificatie maar weer op een andere wijze. De plicht tot identificatie kan ook afhankelijk zijn van de branche waarin wordt gewerkt.
Ten tweede omdat er bij een niet verplichte identificatie moet worden gekozen voor een wijze van identificeren waarbij een minimaal aantal persoonsgegevens wordt verzameld, die gegevens voor het bereiken van het doel nodig zijn en er een grondslag is waarom de gegevens mogen worden verzameld (Een gegeven toestemming is bijvoorbeeld een grondslag).
Dat betekent dus dat er bij een niet verplichte identificatie niet altijd mag worden geïdentificeerd. Als er geen doel of grondslag is mag er niet worden geïdentificeerd. Een klant die een product koopt in een winkel hoeft en mag ook niet worden geïdentificeerd omdat er geen doel of grondslag is.
Als de klant zich inschrijft voor acties en wil worden gemaild is er een doel en mogen er persoonsgegevens worden verzameld maar alleen als er een grondslag is op basis waarvan het mag. In dit geval kunnen er gegevens worden verzameld als er op de juiste wijze toestemming is gegeven door de klant.
En als er mag worden geïdentificeerd betekent dat ook niet dat er zomaar persoonsgegevens mogen worden verzameld. Alleen die gegevens mogen worden verzameld die nodig zijn om bijvoorbeeld de klant e-mails te sturen. Wat ook niet mag is meer gegevens verzamelen dan nodig. Als er meerdere gegevens zijn waarmee het doel kan worden bereikt moet daaruit het minimum aantal worden gekozen. Met minimum wordt bedoeld dat met minder gegevens het doel niet meer kan worden bereikt. En als er gekozen moet worden uit die gegevens moeten de gegevens gekozen worden die voor de klant de minste gevolgen kan hebben als er bijvoorbeeld een data lek ontstaat.
De gekozen wijze van identificeren moet passen bij de benodigde persoonsgegevens. Bij het inlogen op een website van een nieuwsite is het email adres of username in combinatie met het wachtwoord voldoende en is er geen verdere identificatie nodig. Bij het ophalen van een bestelling is er door inzage in een afgeschermd identiteit bewijs voldoende en kan worden volstaan met de vastlegging van een paar gegevens zoals het nummer van het identiteitsbewijs.
Als kan worden geïdentificeerd zonder persoons gegevens te verzamelen heeft dat voordelen omdat de eisen die AVG stelt aan de verdere verwerking van gegevens (waaronder het verzamelen) dan niet van toepassing zijn. De voorwaarden waaraan moet worden voldaan om te mogen of te moeten identificeren en de wijze waarop veranderen niet. Een voorbeeld is het vaststellen van de leeftijd bij een aankoop van goederen waar een leeftijdsgrens op van toepassing is. Dat kan gebeuren door de alleen de inzage in het identiteitsbewijs.
Omdat de beperkingen in de niet verplichte identificatie problemen kunnen opleveren zijn er voor een aantal branches en activiteiten afspraken gemaakt over de wijze van identifceren. Een voorbeeld is de autoverhuurbranche waarin het is toegestaan om een kopie te maken of om inzage te vragen van een afgeschermd identiteitsbewijs. Dit is alleen ter voorkoming van diefstal. De gegevens (indien gekopieerd) moeten na afloop van de verhuur direct worden vernietigd.
Deze categorie vormt naast de verplichte en niet verplichte identificatie een derde categorie. Er is geen verplichte identificatie maar er zijn afspraken gemaakt over de wijze van identificatie.
Aan de hand van de onderstaande stappen kan worden vastgesteld of er verplicht moet of mag worden geïdentificeerd en als er mag worden geïdentificeerd hoe dat moet gebeuren.
Bepaal eerst hoeveel verschillende doelen en welke groepen klanten, medewerkers, ingeleende medewerkers, zzp'ers en vrijwilligers en bepaalde leveranciers er zijn.
Bepaal dan voor welke van die doelen en groepen of er een verplichte identificatie is en per doel en/of groep de wijze waarop dat moet worden gedaan.
Stel daarna vast voor welke doelen er geen identificatie plicht is maar waarvoor wel afspraken zijn gemaakt over hoe mag worden geïdentificeerd (er is meer toegestaan).
Voor de resterende doelen ie er geen identificatie plicht en er is ook geen afspraak over gemaakt.
Bepaal per doel wat er minimaal nodig is dat doel te bereiken en kies de persoonsgegevens die het minst gevolg kunnen hebben voor een persoon bij datalekken.
Kies de wijze waarop de identificatie kan plaatsvinden op een wijze die niet meer persoonsgegevens toont dan strikt noodzakelijk (zoals een afgeschermd identiteitsbewijs).
Zie https://landing.rendement.nl/avg-tool/ voor gedetailleerde compliance formulieren. Met deze AVG en AVG Plus tool kan voor elk doel en groep worden vastgesteld hoe op een correct manier wordt geïdentificeerd. De AVG en AVG Plus tool maken een doorlopende controle op de AVG en NIS2 compliance van het bedrijf of organisatie mogelijk. In de AVG en AVG Plus tool is een ICT check opgenomen voor de compliance met Nis2.