Veel ondernemers vragen standaard aanvullende persoonsgegevens op bij een klant. Bijvoorbeeld wanneer die inzage wil in zijn/haar persoonsgegevens die worden verwerkt bij het desbetreffende bedrijf. Mediabedrijf DPG Magazines (DPG) kreeg hiervoor een boete van maar liefst € 525.000,- opgelegd. DPG is het moederbedrijf van nu.nl, Tweakers en uitgever van grote kranten en tijdschriften zoals de Volkskrant en Autoweek. Dit artikel brengt je op de hoogte van de nieuwe privacy regelgeving en de belangrijke actiepunten in 2022.
Het bovengenoemde bedrag is de basisboete bij overtreding van art. 12 lid 2 van de Algemene Verordening Gegevensbescherming (AVG). Op grond van artikel 12, tweede lid, van de AVG dient de verwerkingsverantwoordelijke de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22 van de AVG te faciliteren. Het recht op inzage in persoonsgegevens (artikel 15 van de AVG) en het recht op wissing van persoonsgegevens (artikel 17 van de AVG) zijn hieronder begrepen.
Bij DPG werd standaard een kopie van het identiteitsbewijs van een betrokkene opgevraagd bij een verzoek om bijvoorbeeld inzake in of wissing van persoonsgegevens. Wie wilde weten welke persoonsgegevens DPG Media bijhield, of gegevens wilde laten wissen, moest eerst een identiteitsbewijs uploaden of opsturen. Deze mensen werden er bovendien bij het digitaal versturen van het identiteitsbewijs niet door DPG Media op gewezen dat zij gegevens daarvan mochten afschermen. Volgens de Autoriteit Persoonsgegevens (AP) is dit in strijd de AVG.
AVG
Een van de rechten in de AVG voor betrokkene is dat zij inzage of wissing van hun persoonsgegevens mogen verzoeken bij de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke is in dit geval dus een organisatie als DPG. Echter mag een verwerkingsverantwoordelijke op grond van de AVG om aanvullende informatie vragen van de persoon in kwestie die om wijziging of wissing van de persoonsgegevens verzoekt. Het punt was alleen dat DPG dit standaard op vroeg bij een verzoek van de betrokkene.
Besluit AP
De AP is van mening dat een verwerkingsverantwoordelijke geen onnodige obstakels mag opwerpen voor betrokkenen om hun rechten onder de AVG uit te oefenen. Hierbij moeten de beginselen van proportionaliteit en subsidiariteit in acht worden genomen.
Proportionaliteit
Proportionaliteit houdt in dat het belang van het opvragen van de aanvullende persoonsgegevens in verhouding moet staan tot de inbreuk op de persoonsgegevens. De verwerking van kopieën van identiteitsbewijzen vormt een groot risico voor de veiligheid van persoonsgegevens. Je wilt het als ondernemer niet op je geweten hebben dat kopieën via een ransomware-aanval of een andere datalek in verkeerde handen komen.
Daarnaast staat het opvragen van een kopie van een identiteitsbewijs niet in verhouding met de aard en hoeveelheid persoonsgegevens waaromtrent het verzoek wordt gedaan door betrokkene. Het is dus niet proportioneel om standaard een kopie van het identiteitsbewijs op te vragen ter verificatie van de identiteit bij een verzoek tot wijziging of wissing van de persoonsgegevens.
Subsidiariteit
Subsidiariteit houdt in dat moet worden gekeken of het opvragen van de aanvullende persoonsgegevens de beste manier is om de identiteit te verifiëren of dat er ook andere manieren mogelijk zijn. Door de AP werd in de zaak van DPG geoordeeld dat het onevenredig is om een kopie van het identiteitsbewijs op te vragen als de identiteit van de betrokkene ook op een andere manier kan worden geverifieerd.
De AP heeft geconcludeerd dat DPG een betrokkene primair zo veel mogelijk aan de hand van persoonsgegevens, die reeds worden verwerkt door DPG, moet identificeren. Daarbij kan bijvoorbeeld worden gedacht aan een abonnee of klantnummer in combinatie met een naam, adres en/of e-mailadres van een verzoeker.
Een Burgerservicenummer mag zelfs alleen worden verwerkt als daar in een specifieke wet een grondslag voor is.
TikTok kreeg ook een boete voor een foute privacyverklaring
De privacyverklaring van TikTok – het sociale medium waar voornamelijk dansende kinderen gebruik van maken – voldeed volgens de AP ook niet aan de AVG. Deze pagina met informatie over de gegevensverwerking was namelijk in het Engels. Normaal gesproken is dat geen bezwaar, maar bij TikTok wel. De AVG schrijft immers voor dat het voor betrokkenen (voornamelijk Nederlandse kinderen) duidelijk moet zijn wat er met zijn/haar persoonsgegevens gebeurt. Volgens de AP was de Engelse informatie niet goed te begrijpen voor kinderen. TikTok had de privacyverklaring dan ook in het Nederlands moeten aanbieden. TikTok werd een boete van € 750.000,- opgelegd.
Conclusie
Het is aan te raden voor ondernemers om bij zichzelf te raden gaan of het standaard opvragen van aanvullende persoonsgegevens noodzakelijk is voor het vaststellen van de identiteit van de betrokkene, of dat dit wellicht ook op een andere manier mogelijk is. Het is aan te bevelen om de identiteit te verifiëren aan de hand van gegevens die al worden verwerkt door de organisatie.
Indien het echt nodig is om de kopie van het identiteitsbewijs op te vragen, vraag dan in ieder geval de betrokkene om de gegevens op het identiteitsbewijs af te plakken. Hierbij gaat het om de gegevens die niet noodzakelijk zijn voor de vaststelling van de identiteit én het Burgerservicenummer.
Dit artikel is geschreven door ondernemingsjurist mr. Yannick van der Drift van The Legal Company
Werkt uw organisatie al volgens de laatste privacywetgeving?
Niet alleen overheidsorganisaties of grote bedrijven worden beboet, maar ook in steeds meer andere opzichten krijgen bedrijven er steeds meer mee te maken. Wilt u op de hoogte gebracht worden van de nieuwe privacy regelgeving en de belangrijke actiepunten in 2022? The Legal Company organiseert op 12 mei 2022 een gratis lunchsessie: AVG updates voor ondernemers.
Tijdens deze lunchsessie brengt ondernemingsjurist mr. Hella Vercammen u op de hoogte van:
- De nieuwe privacy regelgeving en actiepunten in 2022
- De uitgedeelde boetes in 2021 en lessen die we daar uit kunnen trekken
Voor meer informatie en aanmelden klik hier.
Onze juristen zijn gespecialiseerd in het privacyrecht en kijken op dagelijkse basis naar: het interne privacy beleid, privacyverklaringen, verwerkersovereenkomsten, verwerkingsregisters, etc. Heeft u vragen of advies nodig? Neemt contact op door te bellen naar 020-345 0152 of vul het contactformulier in.
Geef een reactie