De Spaanse privacy-toezichthouder heeft een boete van 30 duizend euro opgelegd aan een hotel op Mallorca voor het illegaal opslaan en verspreiden van pasfoto’s van gasten. De zaak kwam aan het rollen na een klacht van een Nederlandse hotelgast.

Een opmerkelijke zaak en relevant voor iedereen die dit jaar weer op vakantie naar het buitenland gaat: een hotel dat beboet wordt vanwege onzorgvuldig omgaan met de paspoortscan van zijn gasten. De Autoriteit Persoonsgegevens komt naar buiten met dit verhaal.
Hotel Marins Playa op Mallorca eiste van hotelgasten een kopie of scan van hun paspoort. Dat is het hotel volgens de Spaanse wet verplicht om bezoekers op deze manier te registreren. Een Nederlandse gast gaf onder protest zijn paspoort af om dit te laten scannen. Toen deze gast bij het bestellen van een drankje zijn sleutelkaart liet scannen om te betalen, zag hij dat de ober op zijn tablet een scan van zijn paspoortfoto te zien kreeg. Met daarbij zijn naam en andere persoonsgegevens.

Niet verteld en niet nodig
Het hotel had de gast niet van tevoren om toestemming gevraagd voor het opslaan en verspreiden van de pasfoto op zijn paspoort. Bovendien was dit vanuit de wettelijke registratieplicht ook helemaal niet nodig. Terug van vakantie stapte de gast naar de Autoriteit Persoonsgegevens die de zaak opnam met de Spaanse collega’s van het Agencia Española de Protección de Datos (AEPD). Hoewel de AEPD in eerste instantie meende dat het hotel wel het recht had om de foto’s te gebruiken, wist de Autoriteit Persoonsgegevens de collega’s ervan te overtuigen dat hier toch echt een AVG-overtreding was begaan. Inmiddels heeft de Spaanse privacywaakhond het hotel een boete van 30 duizend euro opgelegd en het opgedragen zijn werkwijze te veranderen.

Te zwaar middel
Het hotel gebruikte de scan van de pasfoto om te controleren of de gast die een bestelling deed, ook daadwerkelijk de gast was, om te voorkomen dat iemand anders op diens rekening eten en drinken bestelde. De privacy-toezichthouders concluderen dat het opslaan en verspreiden van een scan van de pasfoto daarvoor een veel te zwaar middel is. Simpelweg vragen naar het kamernummer van de gast, eventueel in combinatie met de naam, is ook voldoende. Het hotel had daarom geen recht (AVG-grondslag) om hiervoor pasfoto’s te gebruiken.

Bescherm je paspoort
Hoewel hotels of campings in het buitenland verplicht zijn om gasten te registreren, zijn niet alle gegevens in het paspoort daarvoor nodig. Belangrijk zijn alleen de naam en woonplaats, het type identiteitsbewijs en het nummer daarvan. Een pasfoto of je BSN-nummer hebben zij in principe niet nodig. Het wordt dan ook afgeraden om een volledige kopie of scan van je identiteitsbewijs te overhandigen, vanwege het risico op identiteitsfraude.

Er zijn diverse manieren om een veilige kopie van je paspoort te maken. De Rijksoverheid heeft een KopieID-app voor Android en iOS, waarmee je onnodige delen van je identiteitsbewijs onleesbaar kunt maken. Ook zijn er verschillende hoesjes te koop die delen van je paspoort of ander ID-bewijs afschermen wanneer je daar een kopie of scan van maakt, onder andere bij de ANWB. Maar met een goede merkstift los je het misschien net zo eenvoudig op.