Juridische overwegingen voor het verwerken van ID-verificatiegegevens voor je bedrijf

Het verzamelen van een ID of het gebruik van biometrische informatie van een consument is onder verschillende wetten in veel landen onderworpen aan verhoogde controle. De identiteitsverificatieservice van Stripe biedt een input of tool die kan worden gebruikt als onderdeel van een complianceprogramma. Zoek onafhankelijk juridisch of compliance-advies om te bepalen of de identiteitsverificatieservice van Stripe geschikt is om te gebruiken als onderdeel van jouw complianceprogramma. Stripe biedt geen uitgebreide methode om te voldoen aan verplichtingen uit hoofde van regelgeving zoals Ken-je-klant (KYC), en Stripe treedt niet op als je vertegenwoordiger om namens jou aan deze vereisten te voldoen.

Lees onze Aanbevolen werkwijzen voordat je live gaat om er zeker van te zijn dat je de juiste verwachtingen stelt bij gebruikers en een veilige integratie bouwt. Je kunt deze sjabloon voor veelgestelde vragen ook gebruiken om je gebruikers uit te leggen hoe ID-verificatie via Stripe Identity werkt.

Stripe Identity helpt je te voldoen aan enkele van de wettelijke vereisten door je klanten op de hoogte te stellen dat hun informatie zal worden gebruikt en gedeeld, zowel door jou als door Stripe, volgens elk van onze respectievelijke privacybeleidsregels, en hun toestemming verkrijgen voorafgaand aan het gebruik van hun biometrische informatie voor de verificatie.

Hoewel Stripe een kopie van de foto en het ID van de klanten voor je opslaat op het Stripe-dashboard, evenals een record van de toestemming (wanneer van toepassing), kunnen er aanvullende verplichtingen van toepassing zijn op het bewaren, gebruiken en verwijderen van deze gegevens.


Je moet altijd contact opnemen met je juridisch adviseur om precies te begrijpen hoe je deze gevoelige persoonsgegevens kunt gebruiken, bewaren en verwijderen, maar hier zijn een paar specifieke voorbeelden van verplichtingen die op sommige gebieden van toepassing zijn en die je in gedachten moet houden:

Alternatieve middelen voor verificatie

Als een klant niet instemt met het gebruik van biometrische gegevens, moet je deze een alternatieve manier bieden om toegang te krijgen tot je dienstverlening, waarvoor geen biometrische ID hoeft te worden gemaakt. Neem contact op met je juridisch adviseur. Een alternatief kan zijn om een handmatig, menselijk beoordelingsproces te hebben voor de verificatie.

Verminderen of verwijderen van gegevens

Een groeiend aantal privacywetten verbiedt bedrijven om persoonsgegevens langer te bewaren dan nodig is, voor het doel waarvoor ze zijn verkregen of nadat een persoon om verwijdering heeft verzocht.  Standaard brengt Stripe je zakelijke behoeften in evenwicht met deze vereisten, door gegevens 3 jaar lang op je Stripe-dashboard te bewaren en je de mogelijkheid te bieden deze eerder te verwijderen als dat door de klant wordt gevraagd, of als je er niet langer behoefte aan hebt.  Bekijk meer informatie over het bewaarbeleid van Stripe voor biometrische gegevens.

Rechtvaardiging voor het vereisen of opslaan van gevoelige ID-kaarten

Sommige landen, zoals Singapore en Duitsland, behandelen ID-kaarten als bijzonder gevoelige informatie. Je mag waarschijnlijk niet om een Singaporese identiteitskaart vragen zonder voldoende legitieme redenen, of een kopie van een Duitse identiteitskaart niet bewaren nadat de eerste verificatie is uitgevoerd, zonder uitdrukkelijke toestemming om deze op te slaan. Controleer de toepasselijke wetgeving om er zeker van te zijn dat je toepassing acceptabel is en gebruik het bewerkingseindpunt om gegevens te verwijderen die je wettelijk niet kunt bewaren. 

Verzoeken om verwijdering respecteren

Stripe weet niet wat jouw wettelijke verplichtingen zijn en kan in zijn rol als je gegevensverwerker geen gegevens namens jou verwijderen. In plaats daarvan zal Stripe klanten vragen om rechtstreeks contact met je op te nemen om verwijdering van hun informatie aan te vragen. Als een klant je vraagt om gegevens te verwijderen, kun je de VerificationSession bewerken waarmee je de persoonsgegevens uit die VerificationSession verwijdert. Dit proces kan tot 4 dagen duren. Na het afronden zal Stripe de persoonsgegevens van die VerificationSessionals je dienstverlener niet langer opslaan.

We raden je aan je klanten eraan te herinneren dat Stripe ook een onafhankelijke verwerkingsverantwoordelijke voor hun persoonsgegevens is, en hen naar Stripe te verwijzen via privacy@stripe.com als ze willen dat Stripe hun gegevens ook verwijdert.