DPG hanteerde een te rigide procedure voor het identificeren van betrokkenen, waarmee op voorhand in ieder geval een onnodige belemmering werd opgeworpen. Zo motiveerde de rechtbank Amsterdam haar oordeel om een besluit van de AP in stand te laten, alleen dan minus de opgelegde boete. De rigide procedure: iedereen moet kopietje paspoort opsturen bij AVG-vragen.
Waarom moet ik elke keer een kopietje paspoort opsturen als ik onder de AVG wat vraag, zo vroeg ik mezelf retorisch af in 2019 alweer. Mijn cynische opvatting was dat dit bedoeld was om vragen een beetje in te dammen: het is gedoe, mensen maken zich zorgen over hun paspoort, dus laat maar met dat inzage- of correctieverzoek.
Meer juridisch is het argument dat het nergens op slaat: je krijgt een mail van carl@example.com en een kopie paspoort van iemand die Carl Barks heet, leg mij eens uit hoe nu vaststaat dat de aanvraag van de heer Barks (lidnummer 176-616) afkomstig is? Een paspoort toont alleen wat aan als de houder er naast staat, volgens mij.
Natuurlijk mag je niet om extra legitimatie vragen bij een online account, zo concludeerden ze in Oostenrijk al in 2019. Maar ook onze AP bleek er toen al bovenop te zitten: uitgeverij DPG kreeg al in 2019 een boze mail van de toezichthouder over deze procedure. Na enige mailwisseling maakte de AP een rapport:
Op 7 oktober 2021 heeft verweerder het ‘Onderzoeksrapport inzake het opvragen van een kopie ID bij verzoeken om inzage of verwijdering bij DPG Media Magazines B.V., voorheen Sanoma Media Netherlands B.V.’ van 29 september 2021 aan DPG gezonden. In dat rapport heeft verweerder geconcludeerd dat DPG met haar beleid en het actief uitdragen ervan het recht op inzage en wissing belemmerde en daarmee onnodige drempels opwierp voor het inzetten van deze rechten.Inderdaad, dat was in 2021 en ik weet ook niet waarom een rapport dat je in 2019 start, pas in 2021 af kan zijn. In januari 2022 volgde het definitieve besluit: dit mag niet, onnodige drempels, boete.
De rechtbank vindt die boete niet gepast gezien dit langdurige traject en het feit dat in 2019 de AVG nog best nieuw was (want die tekst was pas in 2016 bekend en leek totáál niet op de wet daarvoor, och hemeltje). Maar de onderliggende motivatie blijft overeind:
DPG hanteerde naar het oordeel van de rechtbank een te rigide procedure voor het identificeren van verzoekers, waarmee op voorhand in ieder geval voor een deel van de verzoeken een onnodige belemmering werd opgeworpen. Gebleken is dat er in de praktijk wel meer ruimte bestond wanneer verzoekers na het doen van het verzoek ertoe over gingen te klagen dat zij een kopie van hun identiteitsbewijs moesten verstrekken. Naar het oordeel van de rechtbank is dat echter te laat. DPG had zijn proces zo kunnen en moeten inrichten dat er in een eerder stadium meer ruimte was om rekening te houden met alle relevante omstandigheden, waaronder de aard van het verzoek en de informatie waarom wordt gevraagd.Ik vind het dan een beetje jammer dat de rechtbank opent met dat “een kopie van een identiteitsbewijs op zichzelf geen onredelijk middel is om een persoon te identificeren”. Dat is natuurlijk zo, maar in de situaties waarin het gros van de mensen AVG-rechten uitoefent, is het gewoon een onlogisch middel. De uitspraken waar men zich op baseert, zijn dan ook nog eens bestuursrecht – in de relatie burger/overheid vind ik standaard je ID-kaart trekken inderdaad wel redelijk, maar bij burger/bedrijf is dat heel wat anders.
Ik kan me dan niet aan de indruk onttrekken dat de rechters (of de Raad van State, waar de rechtbank op vaart) minder vaak online verzoeken doen en gewend zijn dat mensen zich ter balie vervoegen om zich daar adequaat te identificeren alvorens een verzoek hen betreffende in te dienen.
Arnoud
Die kopie voor de overheid (en pensioen/medisch/etc uitvoerende) is inmiddels ook al weer achterhaald. Aan de balie je ID laten zien en online via digid, geen kopie meer nodig.
Ik hou niet van inhoudsloze kritiek op een uitspraak, maar in dit geval gaat het om zeer goed onderbouwde kritiek. Hulde voor deze blog Arnoud!
Deze uitspraak rammelt.
Ten eerste zit er inderdaad veel tijd tussen onderzoek en rapport, maar dat doet helemaal niets af aan de ernst van de overtreding. De bestuursrechter lijkt helemaal geen idee te hebben wat het risico is van kopieën paspoort verzamelen. De boete had hooguit gematigd moeten worden, niet geschrapt.
Maar de meest pijnlijke fout in deze uitspraak (ik vind dat echt een fout) is dat de bestuursrechter lijkt te veronderstellen dat een bedrijf met een kopie paspoort de identiteit van een natuurlijk persoon kan vaststellen zonder referentiemateriaal. De verzoeker is immers niet in persoon aanwezig zoals je zelf ook opmerkt. Alsof identiteitsfraude niet bestaat. Het lijkt mij ook erg onwaarschijnlijk dat het bedrijf al kopieën paspoort had klaarliggen ter vergelijking.
Een bestuursorgaan zoals een gemeente heeft vermoedelijk wél referentiemateriaal beschikbaar, omdat daar het ID bewijs is uitgegeven. Maar uiteraard is in dat geval identificatie in persoon of via DigiD de aangewezen methode, dus is het ook maar de vraag of een kopie paspoort daar op die grond wel mogelijk is zoals de ABRvS oordeelde.
Ik hoop dat de Autoriteit Persoonsgegevens in hoger beroep gaat en dan tenminste uitgebreid betoogt dat een kopie paspoort op zich niets zegt, anders dan dat de verzoeker een kopie paspoort in bezit had. Meer niet. Wil je iemand identificeren met een ID kaart of paspoort, dan doe je dat met de persoon naast je.
Verder zou het mooi zijn als je deze blog enigszins herschrijft en vervolgens aanbiedt aan een juridisch tijdschrift in de vorm van een noot bij de uitspraak. Dan wordt de publicatie bij de uitspraak gevoegd bovenin en zien andere bestuursrechters het ook (voor zover die niet toevallig meelezen). Maar goed, herschrijven kost tijd en je moet er ook zin in hebben.
To be continued (hoop ik).
Tijd is te maken, welk tijdschrift had je op het oog?
Dat kan bijvoorbeeld in Privacy & Informatie (P&I) of Jurisprudentie Bescherming Persoonsgegevens (JBP).
Bijvoorbeeld:
https://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBLIM:2015:5855
https://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:GHARL:2020:10564
Dank je wel maar waarom de twee rechtspraak-links?
Om te laten zien aan eenieder die de categorie ‘vindplaatsen’ niet kent hoe er naar zo’n noot verwezen wordt bovenin.
Maar is de conclusie dan dat bij een online verzoek het onmogelijk is iemand adequaat te identificeren? En mag een leverancier een verzoek inwilligen zonder adequate identificatie?
Dat hangt er dus vanaf waar het verzoek over gaat en hoe je het verzoek aan de betrokkene kunt koppelen. Een simpel voorbeeld is deze blog, wie inzage wil ik wat ik van reageerders vastleg, kan mij mailen met het mailadres dat zhij gebruikt om te reageren. Niemand die dat ziet behalve ik, de gegevens die ik vastleg zijn triviaal en minimaal, ik zie het probleem niet om op die mail te replyen met de informatie gekoppeld aan dat mailadres.
Bij een ziekenhuis is vast ook een mailadres van de patiënt bekend maar daar zou ik het te risicovol vinden om met “het mailadres komt overeen met het dossier” te werken.
Veel online diensten kennen logins. Het standaardantwoord is daar dan ook: laat men het verzoek doen na inloggen. Als inloggen genoeg is voor alle ‘gewone’ handelingen, zoals account opheffen, verlengen, premiumdiensten kopen, waarom dan niet voor een verzoek tot inzage of correctie?
Je gaat hier naar mijn mening wel wat kort door de bocht Arnoud. In de eerste plaats ging het om verzoeken buiten de online inlogomgeving om (blijkbaar kon het binnen die omgeving, en voor de meeste verzoeken, wel zonder kopie paspoort), en het betrof hier Sanoma voor de overname door DPG, en waar het dus volgens mij vooral om abonnees van fysieke print ging. Je hebt dan NAW-gegevens van die personen, en een paspoort/identiteitsbewijs lijkt me dan op zich wel een logische manier om de naam te kunnen controleren.
Het is de AP hier ook kwalijk genomen dat zij zich niet van hun adviserende taak hebben gekweten: uitleggen hoe het dus wel zou moeten. Veel bedrijven worstelden in die tijd met dit soort vragen, en het klopt dat er ook wel angst was dat er teveel verzoeken zouden komen die veel tijd zouden kosten om te behandelen.
Ik kan me uiteindelijk dus wel vinden in de conclusie van de rechter in dit vonnis: er was wel sprake van een (geen grote) inbreuk op de AVG, maar mede gezien de omstandigheden was de boete niet gerechtvaardigd.
Inderdaad ging het om identificatie buiten de online omgeving. Maar ik snap niet goed hoe je dan adequaat identificeert met een kopie ID: hoe ga je na dat de vraagsteller is wie er op de ID genoemd staat?
Als je zegt “er was angst dat er te veel verzoeken zouden komen” dan klinkt dat alsof je bewust drempels zocht om AVG-verzoeken af te remmen. Dat klinkt als kwade trouw en niet vanuit een reële zorg om een adequaat proces in te richten. Dus dan kan ik inhoudelijke argumenten moeilijker serieus nemen.
Ik denk niet dat hier kwade opzet achter heeft gezeten; het is wel een beetje cynisch om dat te denken. Het was alleen om aan te geven dat veel bedrijven er in die tijd mee worstelden, en de AP zich hierin niet bepaald hulpvaardig heeft opgesteld.
ps, sinds je nieuwe layout heb ik moeite met scrollen op mijn tablet…
“Je hebt dan NAW-gegevens van die personen, en een paspoort/identiteitsbewijs lijkt me dan op zich wel een logische manier om de naam te kunnen controleren.”
Nee, tenzij, zoals Arnout al zegt, de houder ernaast staat. Het is bedoeld om de persoon te identificeren en oorspronkelijk alleen, als hij de grens passeert.