De rechtbank Amsterdam heeft uitspraak gedaan in een zaak tussen DPG Media en de Autoriteit Persoonsgegevens (AP). Het mediabedrijf kreeg een boete van 525.000 euro van de AP voor het overtreden van de AVG. De rechter oordeelt dat er inderdaad sprake was van een overtreding, maar schrapt de boete. Hoe zit dat?
De overtreding: kopie identiteitsbewijs verplicht bij inzage persoonsgegevens
Mediabedrijf DPG Media kreeg begin 2022 een boete opgelegd van 525.000 euro.
De reden?
Personen die hun gegevens wilden inzien of laten verwijderen, moesten daarvoor eerst een kopie van hun identiteitsbewijs opsturen of uploaden. Daarnaast werd er niet expliciet op gewezen dat gevoelige gegevens (zoals BSN) mochten worden afgeschermd voor verzending. Dit viel wel in het privacy statement van het bedrijf te lezen.
Overigens ging deze werkwijze alleen op voor een relatief kleine groep klanten van het mediabedrijf dat geen online account had aangemaakt bij DPG Media.
De Autoriteit Persoonsgegevens (AP) oordeelde dat het mediabedrijf in deze situatie te veel persoonsgegevens opvroeg. Dit is in overtreding met artikel 12 van de AVG. Daarom werd begin 2022 deze boete opgelegd.
DPG Media had de werkwijze eerder al aangepast. Er wordt nu een verificatiemail gestuurd om de identiteit van de betrokkene vast te stellen.
Rechter oordeelt: ja, er is sprake van een overtreding
De rechtbank benoemt dat er een spanningsveld bestaat met betrekking tot het ‘faciliteren’ van het inzagerecht en de identificatieplicht.
Op grond van de AVG is een organisatie verplicht om mee te werken aan inzageverzoeken zonder onnodige belemmeringen op te werpen. Tegelijkertijd moet een organisatie voorkomen dat persoonsgegevens aan de verkeerde persoon worden verstrekt (datalek), waardoor een vorm van identificatie noodzakelijk is.
De rechtbank deelt het standpunt van DPG, dat een kopie van een identiteitsbewijs op zichzelf geen onredelijk middel is om een persoon te identificeren.
In dit geval was het echter vaak een onnodig middel, omdat het niet in alle gevallen over (zeer) gevoelige persoonsgegevens ging en het zeker in een deel van de gevallen ook mogelijk was om op een andere en minder ingrijpende wijze tot identificatie over te gaan. Daarbij wordt ook meegenomen dat DPG Media niet expliciet aan betrokkenen vermeldde dat ze gevoelige gegevens op het identiteitsbewijs mochten afschermen.
Volgens de rechter was het beleid van DPG te rigide en werd er een onnodige drempel opgeworpen bij het indienen van een inzage- of verwijderingsverzoek. Een overtreding van artikel 12 van de AVG dus.
Boete onterecht opgelegd
Hoewel er inderdaad sprake is van een overtreding, vindt de rechter dat de AP geen boete had mogen opleggen. Hierbij spelen 3 factoren een rol.
1. Het is het doel van de AVG om persoonsgegevens te beschermen. Daar is de identificatieplicht voor bedoeld. Op zich is een identiteitsbewijs geen onredelijk middel om hieraan te voldoen.
DPG Media is dan ook niet lichtzinnig omgesprongen met haar plichten als verwerkingsverantwoordelijke, maar heeft een verkeerde inschatting gemaakt tussen ‘faciliteren’ enerzijds en gegevensbescherming anderzijds. Er is daarom volgens de rechter geen sprake van ernstig verwijtbaar handelen.
2. De AP nam begin 2019 contact op met DPG in verband met klachten die zij ontving over het verstrekken van een kopie identiteitsbewijs. Dat was recent na de invoering van de AVG, toen vele organisaties nog worstelden met het op de juiste manier voldoen aan deze nieuwe privacywetgeving. Vervolgens reageerde DPG Media iedere keer binnen enkele weken op de verzoeken en informatie van de AP, maar andersom gingen er maanden en zelfs jaren overheen. Het feit dat de overtreding langdurig werd gemaakt, kan daarom niet aan DPG worden toegeschreven.
3. Tot slot weegt mee dat het slechts om een beperkt aantal verzoeken ging, waarbij een kopie van het identiteitsbewijs werd opgevraagd. De meeste aanvragen vonden plaats in de digitale omgeving achter een inlog, waarbij deze vorm van identificatie niet vereist was.
De rechter oordeelt dat de AP te weinig oog heeft gehad voor bovenstaande (verzachtende) omstandigheden en oordeelt dat de boete niet had mogen worden opgelegd. De AP is veroordeeld tot het betalen van de proceskosten en laat weten de uitspraak te bestuderen.
Wat betekent deze uitspraak voor de praktijk?
Het is duidelijk dat een overtreding van de AVG alleen niet zonder meer mag leiden tot een (forse) boete. De rechtbank neemt de omstandigheden van het geval ook in overweging en tikt de AP hiermee duidelijk op de vingers voor een te rechtlijnig oordeel. Een belangrijk onderwerp in deze uitspraak is de identificatieplicht.
Hoe gaat u hier nu het beste mee om?
Het Europees Comité voor gegevensbescherming (EDPB) heeft richtsnoeren gepubliceerd die helpen bij de invulling van de identificatieplicht. Hierin wordt duidelijk gemaakt wanneer een verwerkingsverantwoordelijke om een identiteitsbewijs mag vragen.
In deze richtlijnen staat het beginsel van noodzakelijkheid centraal: de verzochte gegevens ter identificatie van de betrokkene mogen nooit meer zijn dan de informatie die daadwerkelijk hiervoor nodig is. Om te voorkomen dat de verwerkingsverantwoordelijke niet meer gegevens verzamelt dan nodig, moet zij volgens het EDPB een evenredigheidsbeoordeling uitvoeren.
De wijze voor identificatie moet gelet op die omstandigheden relevant, passend en evenredig zijn. Vaak is direct een kopie van een identiteitsdocument verzoeken dan ook niet de juiste weg, omdat de betrokkenen in de regel ook wel op andere manieren kunnen worden geïdentificeerd. Kijk dus vooral eerst naar welke gegevens van de betrokkenen al in bezit zijn en in hoeverre daarmee de identiteit van de betrokkene kan worden vastgesteld.
Vragen hierover? Wij helpen u graag verder. Mail ons uw vraag via contact@legalz.nl of spreek direct met een van onze ervaring IT-juristen via 010 2290 646.
Blijf op de hoogte!
Op de hoogte blijven van deze en andere ontwikkelingen op het gebied van ICT Recht? Abonneert u zich dan nu op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.