AP: Boete DPG Media voor onnodig opvragen identiteitsbewijs
De Autoriteit Persoonsgegevens (AP) legt DPG Media een boete op van 525.000 euro. Het mediabedrijf krijgt de boete omdat mensen die hun gegevens wilden inzien of laten verwijderen, daarvoor eerst een identiteitsbewijs moesten uploaden. Dat is in deze situatie niet nodig. Daardoor vroeg het mediabedrijf te veel persoonsgegevens op.
Update september 2023
Op 10 augustus 2023 heeft de rechtbank Amsterdam geoordeeld dat DPG Media de AVG heeft overtreden, maar dat de AP in de gegeven omstandigheden niet de boete had mogen opleggen. De AP heeft hoger beroep ingesteld tegen deze uitspraak.
Identiteitsbewijs
De AP ontving verschillende klachten over de manier waarop Sanoma Media Netherlands B.V. (voordat Sanoma werd overgenomen door DPG Media in april 2020) omging met dit soort verzoeken. De mensen die een klacht indienden hadden bijvoorbeeld een abonnement op een tijdschrift of zij kregen reclame van Sanoma.
Wie wilde weten welke persoonsgegevens Sanoma en DPG Media bijhielden, of gegevens wilde laten wissen, moest eerst een identiteitsbewijs uploaden of opsturen. Deze mensen werden er bovendien bij het digitaal versturen van het identiteitsbewijs niet door Sanoma en DPG Media op gewezen dat zij gegevens daarvan mochten afschermen.
Het ging om klanten van DPG Media die geen online account hadden aangemaakt bij DPG Media. Deze klanten konden moeilijker bij hun gegevens om ze in te zien of te wijzigen. DPG Media heeft na de overname van Sanoma de werkwijze gewijzigd. DPG Media stuurt nu een verificatiemail om de identiteit van een verzoeker te kunnen vaststellen. Daarmee is de overtreding beëindigd.
Te zwaar middel
Sanoma en DPG Media vroegen veel te veel gegevens op door een kopie van het identiteitsbewijs te eisen. En maakte het daardoor veel te ingewikkeld voor klanten om gegevens in te zien of te laten wissen.
Monique Verdier, vicevoorzitter AP: “Een identiteitsbewijs mag je nooit zomaar opvragen. Er staan veel persoonsgegevens op. Zelfs als er delen van een identiteitsbewijs zijn afgeschermd, blijft een kopie vaak een te zwaar middel om vast te stellen of iemand is wie diegene zegt te zijn. Kopieën van identiteitsbewijzen moeten ook met grote zorgvuldigheid worden bewaard.
Je moet er niet aan denken dat kopieën via een ransomware-aanval of een ander datalek in verkeerde handen komen. Dat kan tot identiteitsfraude leiden en grote gevolgen hebben voor de mensen achter deze persoonsgegevens.”
Hoe nu verder?
DPG Media heeft bezwaar gemaakt tegen het besluit.