Mediabedrijf DPG Media heeft van de Autoriteit Persoonsgegevens een boete van 525.000 euro gekregen voor het onnodig opvragen van een identiteitsbewijs van mensen die hun gegevens wilden inzien of laten verwijderen. Dat meldde Security.nl onlangs. Eindelijk eens werk gemaakt dus van de luie en ergerlijke praktijk om altijd maar een ID te vragen in plaats van na te denken hoe je betrokkenen identificeert.
De boete is voor DPG Media, maar de overtreding komt van mediabedrijf Sanoma voordat dit door DPG werd overgenomen. De AP legt uit:
Wie wilde weten welke persoonsgegevens Sanoma en DPG Media bijhielden, of gegevens wilde laten wissen, moest eerst een identiteitsbewijs uploaden of opsturen. Deze mensen werden er bovendien bij het digitaal versturen van het identiteitsbewijs niet door Sanoma en DPG Media op gewezen dat zij gegevens daarvan mochten afschermen. Het ging om klanten van DPG Media die geen online account hadden aangemaakt bij DPG Media.Het komt heel, heel vaak voor dat organisaties vragen om een kopie identiteitsbewijs als je je rechten onder de AVG wilt uitoefenen. Dat is een luie reflex van sommige juristen (of een vertragingstactiek, als u echt cynisch bent), je moet van de AVG nagaan dat je geen inzage aan de verkeerde geeft, een ID-bewijs stelt identiteit vast, dus vraag maar een kopie ID.
Onzin natuurlijk, er zijn heel veel betere manieren om na te gaan wie je tegenover je hebt. Zeker als dat op afstand is. Sterker nog, een kopie identiteitsbewijs via de mail krijgen bewijst helemaal niets over wie je tegenover je hebt, hooguit dat deze persoon toegang had tot die kopie ID. Een verificatiemail sturen naar het bekende, geregistreerde adres (of een code per sms naar het bekende nummer) van de klant is bijvoorbeeld al veel slimmer als we het hebben over online klanten.
DPG hield het makkelijk voor zichzelf:
De AP heeft in hoofdstuk 2 vastgesteld dat DPG buiten de inlogomgeving van accounts altijd om een kopie van een identiteitsbewijs verzocht. DPG deed dit verzoek ongeacht welke (contact)informatie bij DPG beschikbaar was over de betrokkene en zonder rekening te houden met de aard en hoeveelheid persoonsgegevens waarvan inzage of wissing werd gevraagd. De werkwijze van DPG was voorts zo ingericht dat als een kopie van het identiteitsbewijs door de betrokkene niet werd verstrekt, het verzoek om inzage of wissing om die reden niet (verder) in behandeling werd genomen. Indien de betrokkene wel een kopie van het identiteitsbewijs verstrekte, dan had dat tot gevolg dat DPG onnodig veel gevoelige gegevens aan het verwerken was (zoals het Burgerservicenummer).Dit maakt het voor mensen niet makkelijk en eenvoudig, wat een eis is uit de AVG. Dit zorgde er dan ook voor dat een onnodige drempel werd opgeworpen voor mensen om hun rechten uit te oefenen.
Natuurlijk, sóms kan het nodig zijn om extra informatie op te vragen om iemands identiteit te verifiëren. En een kopie identiteitsbewijs kan daar bij passen. Maar niet als standaard eerste stap. Dus ik hoop dat dit een mooie wake-up call is voor andere bedrijven die standaard om een identiteitsbewijs vragen.
Arnoud
Als je je aanmeldt op een website hoef je natuurlijk niet je echte naam te gebruiken. Ik kan me ook prima aanmelden als ‘Jan Janssen’ op een willekeurige DPG-website. Dat hoeft niet dezelfde naam te zijn die op mijn paspoort staat (is het niet by a long shot). Wat heeft DPG vervolgens aan mijn paspoort? Helemaal niets.
Hoe dan precies? Het klopt natuurlijk dat een kopie identificatiebewijs weinig bewijst, maar datzelfde geldt voor de meeste alternatieven die ik kan verzinnen. Hoe zou je voorstellen om een identiteit te controleren, van iemand waarvan je geen emailadres of telefoonnummer of iets dergelijks weet, op een manier die niet nog onbetrouwbaarder is dan het kopie identificatiebewijs? Ik kan namelijk niet echt iets verzinnen.
Maar dat is precies het punt van de AP. De procedure van DPG was dat je in 100% van de gevallen een kopie-ID moest overleggen, anders stokte het proces. Ook als je wel een mailadres of telefoonnummer geregistreerd had staan. Natuurlijk zijn er gevallen te bedenken waarin je niet onder die kopie-ID uit komt. De boete is omdat DPG het omdraaide en altijd om kopie ID vroeg zonder andere, minder invasieve opties toe te laten.
Een kaartje sturen naar het postadres met daarop een code die men door moet bellen?
Das toch makkelijk? Als je alleen een mail-adres hebt dan mail je het rapport. Als je alleen een post-adres hebt stuur je het met de post. Als je alleen een telefoonnummer hebt dan bel je op. Als je alleen een kenteken hebt dan vraag je een kopie kentekenbewijs. Als je alleen een tracing-cookie hebt dan maak je een website die dat koekje test.
Als je alleen een DNA-code hebt ben ik heel benieuwd naar je rechtvaardiging voor het bijhouden van die data.
Sowieso ben ik heel benieuwd naar een legale dataverzameling waarbij het niet gerechtvaardigd is om ook minstens een adres, e-mail OF telefoonnummer te bewaren.