Eerder dit jaar legde de Autoriteit Persoonsgegevens (AP) een boete van €525.000 op aan DPG Media Magazines B.V. (DPG). DPG is – als grootste mediahuis van Nederland – eigenaar van (o.a.) diverse landelijke kranten zoals de Volkskrant, AD, Trouw, Het Parool en plaatselijke kranten zoals De Stentor en De Gelderlander, maar ook online nieuwsplatform Nu.nl en tijdschriften als Donald Duck, Libelle en de Flair. Indien een betrokkene per e-mail, online formulier of per post aan DPG kenbaar maakte zijn rechten onder de AVG te willen uitoefenen, moest de verzoeker eerst een kopie ID-bewijs aan DPG aanleveren. De AP oordeelt dat het gevoerde beleid van DPG de rechten van betrokkenen uit de AVG belemmert, waardoor haar handelswijze niet in overeenstemming is met artikel 12 lid 2 AVG. Met dit besluit rijzen verschillende vragen: welk beleid voerde DPG? Waarom was dit beleid onrechtmatig? En welk beleid voldoet wél aan artikel 12 lid 2 AVG?
De boete aan DPG
De AP ontving in de periode mei 2018 tot en met januari 2019 vijf klachten over handelswijze van DPG bij inzage- en verwijderverzoeken van de betrokkenen. Het mediahuis verzocht namelijk onmiddellijk na het indienen van een inzage- of verwijderverzoek om een kopie van een identiteitsbewijs als voorwaarde voor het (verder) in behandeling nemen van de ingediende verzoeken. Slechts één klaagster had naar aanleiding van dit verzoek haar identiteitsgegevens opgestuurd. Helaas niet met de gewenste gevolgen, nu haar verzoek alsnog niet in behandeling werd genomen door DPG. De klagers menen dat de handelswijze van DPG niet in overeenstemming is met artikel 12 lid 2 AVG (“De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22”).
DPG stelde zich op het standpunt dat zij in licht van artikel 12 lid 6 AVG gerechtigd was om de identiteit van de klagers vast te stellen door middel van een kopie van een identiteitsbewijs. De AVG stelt immers:
“Onverminderd artikel 11 kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient als bedoeld in de artikelen 15 tot en met 21, om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.”
Onder “aanvullende informatie” kan een ruime variatie van gegevens worden verstaan, waardoor de grenzen van het toelaatbare in iedere situatie moeten worden beoordeeld. De AP oordeelt dat DPG in dit geval de grens had overschreden door een kopie van het identiteitsbewijs te verlangen, alvorens het verzoek in behandeling te nemen. Bij dit besluit neemt de AP het onderstaande in overweging.
AP: opvragen kopie identiteitsbewijs onrechtmatig
Een verwerkingsverantwoordelijke mag geen onnodige drempels opwerpen voor de betrokkene om zijn of haar rechten uit te oefenen. De opgevraagde gegevens ter verificatie van de identiteit van de verzoeker dienen daarom in verhouding te staan met het doel van de verwerking (proportionaliteit). En dit doel kan niet op een minder nadelige, minder ingrijpende wijze worden verwezenlijkt (subsidiariteit). Het beleid moet dus zo zijn ingericht, dat een betrokkene zich op de minst ingrijpende wijze moet identificeren.
Het opvragen van identiteitsbewijzen door DPG is volgens de AP in het onderhavige geval alleszins ingrijpend, onevenredig en disproportioneel. De verwerking van de kopieën van identiteitsbewijzen levert om te beginnen een groot risico op voor de veiligheid van persoonsgegevens. Bij een datalek zouden de gevoelige identiteitsgegevens van de verzoekers ‘op straat’ kunnen komen te liggen (terwijl het maar zo eens kan zijn dat deze identiteitsgegevens voor het desbetreffende verzoek onder de AVG niet door DPG verwerkt werden). Voorts acht de AP van groot belang dat DPG de identiteit van de betrokkene ook op een minder ingrijpende wijze had kunnen vaststellen. DPG kon een betrokkene immers ook aan de hand van reeds verwerkte persoonsgegevens identificeren. Denk bijvoorbeeld aan abonnee-/klantnummer in combinatie met een naam en adres en/of e-mailadres. DPG hield echter geen rekening met het feit dat zij al beschikte over deze (identificerende) informatie. Zij vroeg standaard om een kopie van het identiteitsbewijs, zonder eerst een concrete beoordeling per individueel geval te verrichten. Daarbovenop stond het opvragen van een identiteitsbewijs niet in verhouding tot de aard en de hoeveelheid persoonsgegevens waaromtrent een verzoek werd gedaan.
Ergo: DPG handelt in strijd met de AVG en verbeurt een boete van € 525.000.
Wanneer mag wel om een kopie identiteitsbewijs gevraagd worden?
DPG ging de mist in door by default bij uitoefening van rechten onder de AVG een kopie van het identiteitsbewijs op te vragen. Maar mag een organisatie dan nooit om een kopie van het identiteitsbewijs verzoeken? En waar mag dan wel om gevraagd worden?
Om de verwerkingsverantwoordelijke bij de beantwoording van die vragen een handje te helpen, heeft het Europees Comité voor gegevensbescherming (EDPB) richtsnoeren gepubliceerd die een nadere invulling geven aan de identificatieplicht. In deze richtlijnen staat het beginsel van noodzakelijkheid centraal: de verzochte gegevens ter identificatie van de betrokkene mogen nooit méér zijn dan de informatie die daadwerkelijk hiervoor nodig is. Om te voorkomen dat de verwerkingsverantwoordelijke niet meer gegevens verzamelt dan nodig, moet zij volgens het Comité een evenredigheidsbeoordeling uitvoeren.
Daarbij moet zij rekening houden met:
- het soort persoonsgegevens dat wordt verwerkt
- de aard van het verzoek
- de context waarin het verzoek wordt gedaan
- de schade die zou kunnen ontstaan bij een onrechtmatige verwerking
De methode voor authenticatie moet gelet op die omstandigheden relevant, passend en evenredig zijn. Praktisch gezegd: bij een verzoek tot uitoefening van rechten onder de AVG moet een bij de verwerking passende identificatie plaats te vinden, zodat kan worden vastgesteld dat het daadwerkelijk de betrokkene is die het verzoek doet. Vergelijk het met de identificatie die plaatsvindt indien een consument contact opneemt met zijn energie- of telefonieleverancier; een combinatie van bijvoorbeeld postcode, huisnummer en geboortedatum is vaak voldoende om te verifiëren of iemand een klant is.
Dit betekent dat het voor de meeste organisaties niet snel is toegestaan om direct een kopie van een identiteitsdocument te verlangen, omdat de betrokkenen in de regel ook wel op andere manieren kunnen worden geïdentificeerd. Is het opvragen van een kopie van een identiteitsbewijs noodzakelijk en voorzien bij wet? Dan is dit toegestaan, mits de verwerkingsverantwoordelijke redelijke maatregelen treft om een onrechtmatige verwerking te voorkomen. Dat betekent dat de identiteitsgegevens niet mogen worden opgeslagen en de kopie onmiddellijk moet worden gewist nadat de identiteit is vastgesteld.
Conclusie en aanbevelingen
Als organisatie bent u dus verplicht de identiteit van de betrokkene vast te stellen, indien de betrokkene gebruik wil maken van een van de rechten uit hoofde van de artikelen 15 tot en met 22 AVG. Vraag bij deze identificatieplicht niet direct om een kopie van het identiteitsbewijs, maar kijk eerst naar de gegevens die u als organisatie reeds in bezit heeft. U kunt immers zeer waarschijnlijk met het opvragen van (een combinatie van) u bekende klantgegevens, zoals klantnummer, telefoonnummer, postcode, huisnummer in combinatie met een (e-mail)adres of telefoonnummer de identiteit van de betrokkene voldoende vaststellen.
Twijfelt u desalniettemin aan de identiteit van de betrokkene? Dan mag u om aanvullende gegevens vragen. Dit is echter geen vrijbrief om alsnog een kopie van het identiteitsbewijs te verlangen. Ook het verzoek om aanvullende informatie is begrensd door het noodzakelijkheidsvereiste. Bent u van mening dat een kopie van het identiteitsbewijs noodzakelijk, evenredig en proportioneel is of wijst de wet uw organisatie aan als bevoegde instantie, dan staat het u vrij om naar een kopie te vragen. U doet er dan goed aan om de betrokkene erop te attenderen dat hij of zij de niet-noodzakelijke gegevens op het identiteitsbewijs onleesbaar mag maken. U dient bovendien bij ontvangst van de kopie de nodige maatregelen te treffen om een onrechtmatige verwerking te voorkomen. Maak dus geen onnodige kopieën en verwijder de gegevens indien de identiteit van de betrokkene is vastgesteld.
Heeft u vragen omtrent het beleid rondom het voldoen aan verzoeken van betrokkenen onder de AVG? Wij denken graag met u mee .
Sven Wakker en Thijmen van Hoorn, advocaten privacyrecht
Met dank aan Ellen Beekman
