DDPA heeft DPG Media, een bedrijf met hoofdkantoor in België, een boete opgelegd van € 525.000 voor onevenredige identificatieprocessen bij het behandelen van verzoeken om toegang tot en verwijdering van persoonlijke gegevens.
Uit het onderzoek bleek dat DPG betrokkenen altijd om kopieën van identiteitsbewijzen, zoals paspoorten, vraagt wanneer zij verzoeken om rechten van betrokkenen (DSR) ontvangt. Het bedrijf zegt DSR-verzoeken pas in behandeling te nemen nadat identiteitsdocumenten zijn verstrekt.
Volgens het rapport (19 pagina’s / 663KB PDF, in het Nederlands) DDPA zegt dat bedrijven betrokkenen niet informeren dat ze gevoelige gegevens zoals nationale identificatienummers in hun identiteitsdocumenten moeten bewerken.
De toezichthouder constateerde ook dat als er geen identiteitsdocumenten werden verstrekt, DPG niet heeft voldaan aan verzoeken om de gegevens te verwijderen.
De GDPA zegt dat gegevensbeheerders geen belemmeringen mogen creëren voor betrokkenen om hun recht op toegang tot hun persoonlijke informatie uit te oefenen. Hoewel het belangrijk is om de identiteit te verifiëren van aanvragers die een vraagverzoek willen indienen, moet alle vereiste verdere informatie evenredig zijn.
Volgens de Wbp is het onevenredig om een kopie van een identiteitsbewijs te vragen als iemands identiteit op een andere manier kan worden geverifieerd. Zo blijkt uit identiteitsbewijzen onder meer het zeer gevoelige en streng gereguleerde BSN. Er wordt gesteld dat DPG sinds december 2020 is begonnen met het verifiëren van de identiteit via verificatie-e-mail, indien van toepassing.
De AP zei dat het beleid om identiteitsdocumenten op te vragen systematisch was en gevolgen zou hebben voor “enkele honderden” betrokkenen, die worden verhinderd hun rechten uit te oefenen op grond van de implementatie van de Algemene Verordening Gegevensbescherming van de Europese Unie in Nederland.
De in Amsterdam gevestigde gegevensbeschermingsdeskundige Andre Walter van Pinsent Masons zei dat het besluit onderstreept dat de handhaving van de rechten van betrokkenen een van de prioriteitsgebieden van de AP is.
“Het vermelden van het bestaan van rechten van betrokkenen in de privacyverklaring van uw website en het uitspreken van de bereidheid om die rechten te verlenen, is vier jaar na de inwerkingtreding van de AVG niet meer voldoende.” zei Wouter. “Bedrijven moeten ervoor zorgen dat hun DSR-procedures voldoende gedetailleerd zijn en correct worden geïmplementeerd.”
Nienke Kingma, expert op het gebied van gegevensbescherming bij Pinsent Masons, zei dat dit niet de eerste keer is dat de Autoriteit Persoonsgegevens een AVG-boete heeft opgelegd voor het niet naleven van de regels voor verzoeken om toegang tot gegevens. In 2020 legde de Wbp kredietregistratiebureaus een boete op van € 830.000 voor het opleggen van een te hoge drempel aan betrokkenen die inzage vragen in hun gegevens door onder meer betrokkenen in rekening te brengen.
“Valt vaak naar beneden. Algemene tv-fan. Ongeneeslijke zombie-fan. Subtiel charmante probleemoplosser. Amateur-ontdekkingsreiziger.”