Tag: kopietje paspoort

About kopietje paspoort

Subscribe Feeds

DPG krijgt AVG-boete van 525.000 euro voor onnodig opvragen identiteitsbewijs

Geplaatst op in Privacy, 5 reacties

Mediabedrijf DPG Media heeft van de Autoriteit Persoonsgegevens een boete van 525.000 euro gekregen voor het onnodig opvragen van een identiteitsbewijs van mensen die hun gegevens wilden inzien of laten verwijderen. Dat meldde Security.nl onlangs. Eindelijk eens werk gemaakt dus van de luie en ergerlijke praktijk om altijd maar een ID te vragen in plaats van na te denken hoe je betrokkenen identificeert.

De boete is voor DPG Media, maar de overtreding komt van mediabedrijf Sanoma voordat dit door DPG werd overgenomen. De AP legt uit:

Wie wilde weten welke persoonsgegevens Sanoma en DPG Media bijhielden, of gegevens wilde laten wissen, moest eerst een identiteitsbewijs uploaden of opsturen. Deze mensen werden er bovendien bij het digitaal versturen van het identiteitsbewijs niet door Sanoma en DPG Media op gewezen dat zij gegevens daarvan mochten afschermen. Het ging om klanten van DPG Media die geen online account hadden aangemaakt bij DPG Media.
Het komt heel, heel vaak voor dat organisaties vragen om een kopie identiteitsbewijs als je je rechten onder de AVG wilt uitoefenen. Dat is een luie reflex van sommige juristen (of een vertragingstactiek, als u echt cynisch bent), je moet van de AVG nagaan dat je geen inzage aan de verkeerde geeft, een ID-bewijs stelt identiteit vast, dus vraag maar een kopie ID.

Onzin natuurlijk, er zijn heel veel betere manieren om na te gaan wie je tegenover je hebt. Zeker als dat op afstand is. Sterker nog, een kopie identiteitsbewijs via de mail krijgen bewijst helemaal niets over wie je tegenover je hebt, hooguit dat deze persoon toegang had tot die kopie ID. Een verificatiemail sturen naar het bekende, geregistreerde adres (of een code per sms naar het bekende nummer) van de klant is bijvoorbeeld al veel slimmer als we het hebben over online klanten.

DPG hield het makkelijk voor zichzelf:

De AP heeft in hoofdstuk 2 vastgesteld dat DPG buiten de inlogomgeving van accounts altijd om een kopie van een identiteitsbewijs verzocht. DPG deed dit verzoek ongeacht welke (contact)informatie bij DPG beschikbaar was over de betrokkene en zonder rekening te houden met de aard en hoeveelheid persoonsgegevens waarvan inzage of wissing werd gevraagd. De werkwijze van DPG was voorts zo ingericht dat als een kopie van het identiteitsbewijs door de betrokkene niet werd verstrekt, het verzoek om inzage of wissing om die reden niet (verder) in behandeling werd genomen. Indien de betrokkene wel een kopie van het identiteitsbewijs verstrekte, dan had dat tot gevolg dat DPG onnodig veel gevoelige gegevens aan het verwerken was (zoals het Burgerservicenummer).
Dit maakt het voor mensen niet makkelijk en eenvoudig, wat een eis is uit de AVG. Dit zorgde er dan ook voor dat een onnodige drempel werd opgeworpen voor mensen om hun rechten uit te oefenen.

Natuurlijk, sóms kan het nodig zijn om extra informatie op te vragen om iemands identiteit te verifiëren. En een kopie identiteitsbewijs kan daar bij passen. Maar niet als standaard eerste stap. Dus ik hoop dat dit een mooie wake-up call is voor andere bedrijven die standaard om een identiteitsbewijs vragen.

Arnoud

Hoe navigeer je tussen werkbare procedures en de omstandigheden van het geval?

Geplaatst op in Informatiemaatschappij, 3 reacties

Mijn oog viel op deze tweet van de Engelse toezichthouder, waar ik een tikje van opkeek:

Hi, orgs should not look to adopt a blanket approach in asking for ID when responding to a SAR [inzageverzoek onder de AVG]. They should consider each request on a case by case basis and identify which form of ID is most proportionate if required.

De tweet was een reactie op een vraag van de onvolprezen privacyvoorvechter Pat Walshe, die constateerde dat je bij het vragen van een kopie van je persoonsgegevens bij Engelse politieke partijen altijd een kopie ID moet meesturen. Uit de reactie valt op te maken dat dat niet mag, en dat een organisatie dus per verzoek moet kijken of de persoon duidelijk geïdentificeerd is als de betrokkene en zo nee wat in dat geval het handigste is.

Mijn wenkbrauwen fronsen bij zo’n benadering, omdat ik net daarvoor dit onderzoek las over waarom organisaties regels schenden. Iets dat voor juristen vaak moeilijk te vatten is. Het staat toch in de wet dat dat niet mag, opgelost slotje. Maar voor organisaties werkt dat niet zo:

Because organizations rely on routines for following rules, complex rules would require complex routines, which would be harder to execute reliably. As expected, both types of rule complexity increased noncompliance. The two also reinforced one another such that having many components and connections made it far more likely that the rule would be broken.

Met name die eerste zin springt in het oog natuurlijk: organisaties werken altijd met routines, met procedures. Dat is de enige manier om het werkbaar te houden voor de mensen die het moeten doen. Elk geval toetsen op de individuele merites is ongelofelijk kostbaar en geeft veel ruimte voor onduidelijkheid. Het voelt dan ook wat onwerkbaar wat de ICO hier zegt.

Natuurlijk is het niet perse zo dat je altijd een kopie ID kunt vragen en anders stomeenvoudig zeggen, uw verzoek wordt afgewezen. Je moet een controle hebben die past bij de situatie. Als mensen bijvoorbeeld zich online aanmelden voor je dienst (zoals bij de bekende “Mijn Dinges” portalen) dan is een aanvullende identificatie niet nodig. En staan ze aan de balie, dan kun je gewoon hun ID bekijken zonder dat een kopie nodig is. Dat zijn prima procedures.

Maar écht maatwerk, dat zou de uitzondering moeten zijn. Ik vrees dat het juist eerder misgaat als ieder geval als maatwerk wordt behandeld. Dat duurt langer, leidt tot willekeur en fouten.

Arnoud