Heeft u een abonnement op bijvoorbeeld de Libelle, de Donald Duck (geef maar toe) of de LINDA? Dan staan uw gegevens in de database van DPG Media (DPG). Op grond van de Algemene verordening gegevensbescherming (AVG) heeft u bepaalde privacyrechten, zoals het vragen van inzage in de persoonsgegevens die over u worden verwerkt. Bij DPG ging dit tot voor kort niet helemaal zoals het hoort. Bij de uitoefening van privacyrechten per post, e-mail of een webformulier, moest de verzoeker een kopie van een ID-bewijs aanleveren. Deed je dat niet, dan werd het verzoek niet in behandeling genomen. Binnen de digitale inlogomgeving van je DPG-account kon je zonder kopie ID je rechten uitoefenen.
De Autoriteit Persoonsgegevens (AP) start naar aanleiding van vijf klachten een onderzoek. DPG moet als verwerkingsverantwoordelijke ervoor zorgen dat mensen hun privacyrechten gemakkelijk en eenvoudig kunnen uitoefenen (zie overweging 63 bij de AVG) en werpt onnodige drempels op. Natuurlijk is het van belang dat de identiteit van een verzoeker wordt gecontroleerd, maar hierbij moet rekening worden gehouden met het dataminimalisatiebeginsel van art. 5 lid 1 onder c AVG. De gegevens die voor de verificatie van de identiteit van de verzoeker worden opgevraagd dienen in verhouding te staan tot het met de verwerking te dienen doel (proportionaliteit) en het doel moet niet op een minder nadelige, minder ingrijpende wijze kunnen worden verwezenlijkt (subsidiariteit).
DPG kan de verificatie op een andere manier laten plaatsvinden en doet dit inmiddels ook: tegenwoordig wordt via een verificatiemail de identiteit vastgesteld. Bij twijfel over iemands identiteit kan op grond van art. 12 lid 6 AVG additionele informatie worden opgevraagd, waaronder onder bepaalde omstandigheden ook een afgeschermd identiteitsbewijs, maar dat mag niet de standaardwerkwijze zijn. De AP wijst erop dat bij het verwerken van een kopie ID identiteitsfraude op de loer ligt. Ook kunnen vervalste kopieën worden aangeleverd. Bij niet-afgeschermde kopieën wordt daarbij ook nog onrechtmatig het BSN van de betrokkene verwerkt. Het argument van DPG dat betrokkenen ervoor kunnen kiezen om via een account hun verzoek in te dienen, snijdt geen hout. De AP vindt dat betrokkenen niet gedwongen moeten worden om een account aan te maken. DPG heeft de uitoefening van de privacyrechten niet goed gefaciliteerd en daarom in strijd met art. 12 lid 2 AVG gehandeld. De AP legt een boete van 525.000 euro op.
Saillant detail is dat DPG haar werkwijze wel al in december 2020 had gewijzigd, maar dit pas in oktober 2021 in haar privacyverklaring aanpaste. Dit draagt volgens de AP bij aan het feit dat er sprake is van een stelselmatige overtreding die langdurig actief is uitgedragen. Tegen het boetebesluit heeft DPG bezwaar gemaakt.
Interessant is dat de European Data Protection Board recent concept-richtsnoeren over de omgang met privacyrechten heeft gepubliceerd die ook uitgebreid ingaan op het verifiëren van de identiteit van de verzoeker (zie paragraaf 3.2 e.v.). De wijze les die we daaruit en uit het DPG-boetebesluit kunnen trekken is in ieder geval: een kopie ID is vaak niet oké!
