AP beboet DPG Media wegens onnodig opvragen identiteitsbewijs

Sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) in 2018, heeft de Autoriteit Persoonsgegevens (AP) de bevoegdheid om een boete op te leggen aan bedrijven die deze wet overtreden. In de opstartfase van de AVG werden er in Nederland relatief weinig boetes uitgedeeld. Met een minimale kans op handhaving voelden veel ondernemers destijds geen urgentie om aan de AVG te voldoen, afgezien van de mogelijke reputatieschade richting klanten. Privacywetgeving heeft zich in de tussentijd echter in een rap tempo ontwikkeld. Dit zien we onder andere terug in de handhaving. Door het opleggen van substantiële boetes aan organisaties die in strijd handelen met de AVG, lijken de toezichthoudende autoriteiten (zoals de AP) de letter van de wet steeds meer tot leven te wekken. Het voldoen aan de AVG is een must voor iedere organisatie, zo ondervond ook DPG Media (DPG) begin januari. Het bedrijf kreeg een boete van maar liefst EUR 525,000 opgelegd door de AP, wegens het overtreden van de AVG. 
 

Boetebeleid in Europa

De forse boete opgelegd aan DPG Media past in een bredere Europese trend. Het totale bedrag aan boetes dat is opgelegd op grond van de AVG, heeft het afgelopen jaar namelijk een enorme toevlucht genomen. Een onderzoek van DLA Piper toont aan dat het totaalbedrag aan boetes binnen de Europese Economische Ruimte (EER) in het afgelopen jaar zelfs 7 maal (!) hoger ligt ten opzichte van het jaar daarvoor (2020-2021)*. Van het totale bedrag (1,1 miljard euro) nam Nederland, waar de AP de dienst uitmaakt, in dat jaar ongeveer 9 miljoen euro aan boetes voor haar rekening.  In veel situaties vormt een datalek de aanleiding voor de AP om organisaties een boete op te leggen. Met dat gegeven in het achterhoofd, is het niet verwonderlijk dat het totaalbedrag aan boetes in Nederland ook flink in de lift zit. Met enige schaamte mag Nederland zichzelf namelijk 'kampioen datalekken' noemen, afgaand op het aantal gevallen per hoofd van de bevolking. In de afgelopen jaren werden we onder andere geconfronteerd met grootschalige datalekken bij de GGD, RDC en de NAM, met verstrekkende consequenties voor de personen in kwestie. 
 

AP beboet DPG Media  

Ondanks aanhoudende klachten over ondercapaciteit binnen de AP, is de toezichthouder in 2022 uit de startblokken geschoten. In januari heeft zij het bedrijf DPG Media op de vingers getikt wegens een overtreding van de AVG, inclusief een boete van EUR 525,000. Het mediahuis, onder andere bekend van het AD en de Volkskrant, zou klanten zonder een online account onnodig hebben gevraagd om een (kopie van hun) identiteitsbewijs naar DPG te sturen. 

Om te begrijpen waarom de AP deze forse boete oplegt aan DPG, is het goed om eerst even een stap terug te doen. Waar moet een organisatie op basis van de AVG rekening mee houden als je een persoon wil identificeren? Allereerst is het goed om te weten dat de AVG personen bepaalde rechten toedicht, zodat zij in control zijn ten aanzien van hun persoonsgegevens. Denk in dit kader bijvoorbeeld aan het recht om (onjuiste) informatie door een bedrijf te laten rectificeren. In principe dient iedere organisatie de uitoefening van deze rechten te faciliteren, en geen (onnodige) drempels op te werpen. Kortom, het moet voor klanten geen lastige opgave zijn om een beroep te doen op dergelijke rechten. Organisaties die een verzoek ontvangen om bepaalde rechten uit de AVG uit te oefenen, mogen de desbetreffende klant wel eerst identificeren. Het is immers niet de bedoeling dat een organisatie iemand toegang geeft tot de persoonsgegevens van een ander. Het is wel zaak om het identificatie proces zorgvuldig te benaderen. Volgens de AVG geldt het uitgangspunt dat het middel (hoe identificeer je een persoon) dat wordt ingezet, altijd in verhouding moet staan tot het nagestreefde doel (de identificatie). Met andere woorden: een organisatie mag slechts de persoonsgegevens verwerken die noodzakelijk zijn om een persoon te identificeren. Het is verstandig om altijd het minst ingrijpende middel (privacy-wise) in te zetten, en daarnaast nooit meer persoonsgegevens op te vragen dan strikt noodzakelijk. Als organisatie mag je aanvullende gegevens opvragen als er twijfel bestaat over de identiteit van een persoon, maar houd ook dan altijd rekening met de genoemde aandachtspunten. 

DPG hanteerde het opvragen van een identiteitsbewijs als middel om de identiteit van haar klanten vast te stellen. Pas na het uploaden van hun identiteitsbewijs, konden de klanten van DPG een beroep doen op hun privacyrechten uit de AVG. Hoe verhouden bovenstaande juridische regels zich tot de handelswijze van DPG? Uit de toelichting van het boetebesluit komen de volgende redenen van de AP naar voren: 

1. Het opvragen van een identiteitsbewijs is disproportioneel 
   Het opvragen van een identiteitsbewijs vormt een aanzienlijk risico voor de desbetreffende persoon, gezien de hoeveelheid gevoelige informatie. De AP licht toe dat het zeer onwenselijk is dat deze gevoelige informatie, bijvoorbeeld door een ransom-ware aanval of een datalek, in kwaadwillende handen beland. Dat kan mogelijk identiteitsfraude in de hand werken, met alle gevolgen van dien voor de betrokken personen. Het opvragen van een identiteitsbewijs staat daardoor niet in verhouding tot het doel dat DPG nastreeft, zolang het bedrijf ook beschikt over andere (identificatie)middelen.   

2. Alternatieven 
   De AP hecht in deze situatie ook veel waarde aan de inspanningen van DPG om privacy risico's tegen te gaan. Feit is dat DPG standaard om een identiteitsbewijs vroeg, ook al bestond er geen enkele twijfel over iemands identiteit. Daarnaast heeft DPG niet de moeite genomen om onderzoek te doen naar (minder ingrijpende) alternatieven om de identiteit van deze personen vast te stellen. 

3. Informatieplicht 
   DPG heeft haar klanten op geen enkele manier geïnformeerd over het afschermen van (gevoelige) persoonsgegevens op hun identiteitsbewijs. Klanten moeten in ieder geval worden geïnformeerd over het afschermen van hun BSN en pasfoto. 
    

Aandachtspunten voor organisaties

Stel dat jouw organisatie een verzoek krijgt van een klant om zijn AVG-rechten uit te oefenen, en je gaat over tot het identificatieproces. Waar moet je dan precies rekening mee houden? Hieronder volgen de key take-aways voor jou als ondernemer: 

1. Selecteer het gepaste identificatiemiddel   

• Let op dat het gekozen middel altijd in verhouding staat tot het doel (het vaststellen van de identiteit). 

• Zet altijd het minst ingrijpende middel in om iemand te identificeren. Het opvragen van een identiteitsbewijs wordt door de AP in principe afgeraden. Zelfs als er (gevoelige) informatie is afgeschermd, wordt het opvragen van dit document vaak gezien als een te zwaar middel. 

2. Aanvullende gegevens  
   Vraag alleen om aanvullende gegevens als je (oprecht) twijfelt over de identiteit van een persoon. 

3. Afschermen gegevens
   Ben je toch van mening dat je om een identiteitsbewijs moet vragen? Informeer de klant dan expliciet dat de (gevoelige) informatie op het identiteitsdocument, zoals iemand zijn BSN en pasfoto, kan worden afgeschermd. Gebruik hiervoor bijvoorbeeld de KopieID app van de Rijksoverheid. Daarmee kan een persoon zelf kiezen welke gegevens er precies worden afgeschermd op het identiteitsdocument. 

De AP vermeldt op haar website verschillende suggesties om de identiteit op een manier vast te stellen die AVG-proof is. Denk bijvoorbeeld aan het verifiëren van iemand zijn identiteit met behulp van een bestaand inlogsysteem, als je reeds beschikt over een goed beveiligde website. Daarnaast is het ook mogelijk om iemand te identificeren door middel van tweestapsverificatie, waarbij er meerdere opties mogelijk zijn. Op basis van de gegevens die bij jou al bekend zijn, kun je iemand identificeren via SMS, per e-mail of de laatste cijfers van iemand zijn bankrekeningnummer, geboortedatum of klantnummer. Als de uitgevraagde informatie overeenkomt met de gegevens waarover jij al beschikt in je database, dan volstaat dat om iemand te identificeren. 
 

Advies

Heb je advies nodig over het identificatieproces van klanten binnen jouw organisatie? Of ben je op zoek naar begeleiding met betrekking tot andere privacy-gerelateerde vraagstukken? Neem dan contact met ons op! Het privacyrecht-team van Legalloyd gaat pragmatisch te werk en zorgt ervoor dat jouw organisatie voldoet aan de verplichtingen uit de AVG. Op die manier worden de juridische risico's beperkt, en laat je aan klanten zien dat jouw organisatie privacy hoog in het vaandel heeft staan.
 

*Bron: Report DLA Piper - "DLA Piper GDPR fines and data breach survey: January 2022 – 31 maart 2022.