Boete voor DPG voor opvragen informatie om identiteit betrokkene vast te stellen
28-02-2022
Op donderdag 24 februari 2022 heeft de Autoriteit Persoonsgegevens ("AP") een boete van € 525.000 opgelegd aan DPG Media Magazines B.V. ("DPG"), omdat DPG standaard een kopie van het identiteitsbewijs van de betrokkene opvraagt bij een verzoek van de betrokkene om bijvoorbeeld inzage in of wissing van persoonsgegevens. Dit is volgens de AP in strijd met artikel 12 lid 2 van de algemene verordening gegevensbescherming ("AVG").
Opvragen identiteitsbewijs bij verzoeken
Op grond van artikel 12, tweede lid, AVG dient een verwerkingsverantwoordelijke de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22 van de AVG te faciliteren. Indien de verwerkingsverantwoordelijke twijfelt aan de identiteit van de natuurlijke persoon mag deze op grond van artikel 12, zesde lid, AVG om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.
De standaard werkwijze van DPG bij het ontvangen van een verzoek om inzage in of wissing van persoonsgegevens was om altijd de betrokkene om een kopie van een identiteitsbewijs te vragen.
Besluit AP
De AP is van mening dat een verwerkingsverantwoordelijke geen onnodige drempels mag opwerpen voor betrokkenen om hun rechten onder de AVG uit te oefenen. Daarnaast moeten hierbij de beginselen van proportionaliteit en subsidiariteit in acht worden genomen.
De AP concludeert dat het onevenredig is om een kopie van een identiteitsbewijs te vereisen als de identiteit van de betrokkene op een andere manier kan worden geverifieerd. Bovendien vormt de verwerking van kopieën van identiteitsbewijzen een groot risico voor de veiligheid van persoonsgegevens. Hierdoor heeft DPG in strijd gehandeld met artikel 12, tweede lid, van de AVG
Naar het oordeel van de AP had DPG een betrokkene zoveel mogelijk primair aan de hand van persoonsgegevens die DPG al verwerkt moeten identificeren. De AP geeft het voorbeeld van een abonnee-/klantnummer in combinatie met een naam en adres en/of e-mailadres van een verzoeker. De verplichting tot het overleggen van een kopie van een identiteitsbewijs staat volgens de AP niet in verhouding tot de aard en hoeveelheid persoonsgegevens waaromtrent een verzoek werd gedaan. Bovendien mogen organisaties alleen het burgerservicenummer verwerken als dit in een specifieke wet is bepaald.
Op overtreding van artikel 12, tweede lid, AVG staat een basisboete van € 525.000. De AP legt deze boete op, onder verwijzing van de aard van de inbreuk, het feit dat de verzoeken niet in behandeling werden genomen als de betrokkene geen kopie van het identiteitsbewijs verstrekte en het stelselmatige karakter van de overtreding.
Belang voor de praktijk
In de praktijk zien we dat veel organisaties standaard aanvullende persoonsgegevens opvragen bij een verzoek van een betrokkene. Het verdient aanbeveling om naar aanleiding van dit besluit te evalueren of het standaard opvragen van deze aanvullende persoonsgegevens wel noodzakelijk is om de identiteit van de betrokkene vast te stellen. Als de identiteit kan worden vastgesteld met gegevens die al in het bezit zijn van de organisatie heeft dit de voorkeur. Zo kan wellicht met de combinatie van een klantnummer en een naam en adres en/of e-mailadres van een verzoeker de identiteit al in voldoende mate worden vastgesteld. Als het echt nodig is om een kopie van het identiteitsbewijs op te vragen, vraag de betrokkene dan in ieder geval om de gegevens op het identiteitsbewijs die niet noodzakelijk zijn voor de vaststelling van de identiteit en het burgerservicenummer weg te lakken.
Indien u vragen heeft over privacy in het algemeen, of met betrekking tot het opstellen van een beleid voor de bescherming van persoonsgegevens of over de privacy governance binnen uw organisatie, neem dan contact op met één van onze specialisten.
Dit is een Legal Update van Elze 't Hart.
