Skip to content
Nieuws calendar_today Bijgewerkt: 6 april 2026 schedule 6 min leestijd

Hotelgasten, Paspoorten en ID-kaarten: Do's en Don'ts onder de GDPR

Het scannen en kopiëren van paspoorten en identiteitskaarten van hotelgasten is een gevoelig onderwerp onder de GDPR. Dit artikel legt uit wat je als hotelier wel en niet mag, met concrete voorbeelden van boetes en handhaving.

summarize Kernpunten
  • check_circle Hotels mogen identiteitsgegevens registreren, maar het kopiëren of scannen van paspoorten is in de meeste gevallen niet toegestaan
  • check_circle De Spaanse toezichthouder heeft hotels beboet voor het onnodig bewaren van pasfoto's en documentnummers
  • check_circle Noteer alleen de gegevens die de wet vereist: naam, geboortedatum, nationaliteit en aankomst-/vertrekdatum
  • check_circle Bewaar gast-identiteitsgegevens niet langer dan wettelijk vereist en beveilig ze adequaat

Het probleem: hotels die te veel gegevens verzamelen

Je komt aan bij een hotel. Bij de receptie word je gevraagd om je paspoort of identiteitskaart te overhandigen. De receptionist scant het document, maakt een kopie, of voert alle gegevens in, inclusief je BSN-nummer en pasfoto.

Dit is een scenario dat miljoenen reizigers kennen. Maar is het toegestaan onder de GDPR (in Nederland ook wel AVG genoemd)?

Het korte antwoord: nee, meestal niet. Hotels hebben een wettelijke verplichting om bepaalde gastgegevens te registreren, maar het kopiëren of scannen van het volledige identiteitsdocument gaat vrijwel altijd verder dan wat de wet vereist.

Wat zegt de wet?

De meeste EU-lidstaten verplichten hotels om gastgegevens te registreren; dit is de zogenaamde “meldingsplicht” (of Meldepflicht in Duitsland, ficha de policía in Spanje). De exacte vereisten verschillen per land, maar omvatten doorgaans:

  • Volledige naam van de gast
  • Geboortedatum
  • Nationaliteit
  • Type en nummer van het identiteitsdocument
  • Aankomst- en vertrekdatum

Dat is het. Geen pasfoto. Geen BSN-nummer. Geen volledige scan van je paspoort.

Handhaving: boetes voor hotels

De Spaanse toezichthouder (AEPD) heeft meerdere hotels beboet voor overtredingen rondom identiteitsgegevens van gasten:

Hotel in Barcelona - €30.000 boete Het hotel maakte standaard kopieën van paspoorten bij check-in en bewaarde deze digitaal. De AEPD oordeelde dat dit in strijd was met het beginsel van dataminimalisatie (Artikel 5(1)(c) GDPR): het hotel verzamelde meer gegevens dan noodzakelijk voor het doel.

Hotelketen in Madrid - €45.000 boete De keten bewaarde gescande paspoorten tot 5 jaar na het verblijf, terwijl de Spaanse wet een bewaartermijn van 3 jaar voorschrijft. Bovendien waren de scans niet adequaat beveiligd; medewerkers hadden onbeperkt toegang.

Hotel in Mallorca - waarschuwing Het hotel kopieerde alleen het nummer en de naam, maar sloeg ook de nationaliteit op in een onbeveiligd Excel-bestand dat via een gedeelde map toegankelijk was voor alle medewerkers. De AEPD gaf een waarschuwing met de eis om de beveiliging binnen 3 maanden op te lossen.

Do’s en don’ts voor hoteliers

Wat je WEL moet doen

  • Registreer de wettelijk verplichte gegevens, naam, geboortedatum, nationaliteit, documentnummer, verblijfsdatums
  • Controleer het identiteitsdocument visueel; je mag het document bekijken om de gegevens te verifiëren
  • Informeer gasten waarom je de gegevens nodig hebt (wettelijke verplichting) en hoe lang je ze bewaart
  • Beveilig de gegevens, toegangscontrole, encryptie, beperkte toegang voor medewerkers
  • Verwijder gegevens na afloop van de wettelijke bewaartermijn
  • Train je personeel; receptiemedewerkers moeten weten welke gegevens ze wel en niet mogen noteren

Wat je NIET moet doen

  • Kopieën of scans maken van paspoorten of identiteitskaarten zonder wettelijke basis
  • Pasfoto’s of biometrische gegevens opslaan
  • BSN-nummers (of equivalenten) registreren tenzij de lokale wet dit expliciet vereist
  • Gegevens langer bewaren dan de wet voorschrijft
  • Gastgegevens opslaan in onbeveiligde systemen (Excel-bestanden op gedeelde mappen, onversleutelde USB-sticks)
  • Gegevens gebruiken voor marketing zonder expliciete toestemming

Per land: wat is verplicht?

LandWettelijke basisVerplichte gegevensBewaartermijn
BelgiëKB 23/10/2020Naam, geboortedatum, nationaliteit, documentnr, verblijfsdatums1 jaar
NederlandGemeentewet art. 438Naam, adres, geboortedatum, nationaliteit, documentnr1 jaar
DuitslandBundesmeldegesetz §29Naam, geboortedatum, nationaliteit, documentnr, aankomstdatum1 jaar
SpanjeLey de Seguridad CiudadanaNaam, geboortedatum, nationaliteit, documentnr, verblijfsdatums3 jaar
FrankrijkCode de la sécurité intérieureNaam, geboortedatum, nationaliteit, documentnr6 maanden

Wat moet je doen als hotelier?

  1. Controleer je huidige procedure; maak je kopieën of scans? Stop daarmee, tenzij je een specifieke wettelijke basis hebt
  2. Pas je check-in formulier aan; verzamel alleen de wettelijk verplichte velden
  3. Verwijder oude scans en kopieën; als je digitale kopieën van paspoorten hebt bewaard, verwijder deze
  4. Beveilig je gastenregister; gebruik een beveiligd systeem met toegangscontrole, niet een gedeeld Excel-bestand
  5. Informeer je gasten; een korte privacyverklaring bij de receptie of in de bevestigingsmail volstaat
  6. Stel bewaartermijnen in; configureer je systeem om gegevens automatisch te verwijderen na de wettelijke termijn
auto_awesome Weet je welke gegevens je hotelwebsite verzamelt?

GDPRWise scant je website en detecteert automatisch welke persoonsgegevens je verzamelt via boekingsformulieren, cookies en derde partijen. Inclusief een verwerkingsregister op maat.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.