DPG krijgt AVG-boete van 525.000 euro voor onnodig opvragen identiteitsbewijs

Mediabedrijf DPG Media heeft van de Autoriteit Persoonsgegevens een boete van 525.000 euro gekregen voor het onnodig opvragen van een identiteitsbewijs van mensen die hun gegevens wilden inzien of laten verwijderen. Dat meldde Security.nl onlangs. Eindelijk eens werk gemaakt dus van de luie en ergerlijke praktijk om altijd maar een ID te vragen in plaats van na te denken hoe je betrokkenen identificeert.

De boete is voor DPG Media, maar de overtreding komt van mediabedrijf Sanoma voordat dit door DPG werd overgenomen. De AP legt uit:

Wie wilde weten welke persoonsgegevens Sanoma en DPG Media bijhielden, of gegevens wilde laten wissen, moest eerst een identiteitsbewijs uploaden of opsturen. Deze mensen werden er bovendien bij het digitaal versturen van het identiteitsbewijs niet door Sanoma en DPG Media op gewezen dat zij gegevens daarvan mochten afschermen. Het ging om klanten van DPG Media die geen online account hadden aangemaakt bij DPG Media.
Het komt heel, heel vaak voor dat organisaties vragen om een kopie identiteitsbewijs als je je rechten onder de AVG wilt uitoefenen. Dat is een luie reflex van sommige juristen (of een vertragingstactiek, als u echt cynisch bent), je moet van de AVG nagaan dat je geen inzage aan de verkeerde geeft, een ID-bewijs stelt identiteit vast, dus vraag maar een kopie ID.

Onzin natuurlijk, er zijn heel veel betere manieren om na te gaan wie je tegenover je hebt. Zeker als dat op afstand is. Sterker nog, een kopie identiteitsbewijs via de mail krijgen bewijst helemaal niets over wie je tegenover je hebt, hooguit dat deze persoon toegang had tot die kopie ID. Een verificatiemail sturen naar het bekende, geregistreerde adres (of een code per sms naar het bekende nummer) van de klant is bijvoorbeeld al veel slimmer als we het hebben over online klanten.

DPG hield het makkelijk voor zichzelf:

De AP heeft in hoofdstuk 2 vastgesteld dat DPG buiten de inlogomgeving van accounts altijd om een kopie van een identiteitsbewijs verzocht. DPG deed dit verzoek ongeacht welke (contact)informatie bij DPG beschikbaar was over de betrokkene en zonder rekening te houden met de aard en hoeveelheid persoonsgegevens waarvan inzage of wissing werd gevraagd. De werkwijze van DPG was voorts zo ingericht dat als een kopie van het identiteitsbewijs door de betrokkene niet werd verstrekt, het verzoek om inzage of wissing om die reden niet (verder) in behandeling werd genomen. Indien de betrokkene wel een kopie van het identiteitsbewijs verstrekte, dan had dat tot gevolg dat DPG onnodig veel gevoelige gegevens aan het verwerken was (zoals het Burgerservicenummer).
Dit maakt het voor mensen niet makkelijk en eenvoudig, wat een eis is uit de AVG. Dit zorgde er dan ook voor dat een onnodige drempel werd opgeworpen voor mensen om hun rechten uit te oefenen.

Natuurlijk, sóms kan het nodig zijn om extra informatie op te vragen om iemands identiteit te verifiëren. En een kopie identiteitsbewijs kan daar bij passen. Maar niet als standaard eerste stap. Dus ik hoop dat dit een mooie wake-up call is voor andere bedrijven die standaard om een identiteitsbewijs vragen.

Arnoud

Hoe ICT-vaardig zijn rechters vandaag de dag (en waarom dat er eigenlijk niet toe doet)

Een lezer vroeg me:

Je blog van dinsdag triggerde me: hoe ICT_vaardig zijn rechters nu eigenlijk echt anno 2018? Hoe kun je nu een domeinnaamhouder ‘hoster’ noemen van welke informatie dan ook? Ik zie zulke dingen vaker, en maak me daar zorgen over. Hoe zie jij dat, en hoe gaat dat nu in de praktijk met ICT-zaken?

Het blijft een terugkerend thema, de ICT-vaardigheden van rechters in Nederland wanneer het gaat over rechtszaken waarbij ICT een centrale rol speelt. Berucht is de anekdote “Wie is Ed“, als reactie van een rechter op een advocaat die het e-mailadres jan@home.nl voorleest bij pleidooi. En op menig advocatenborrel doen er tientallen van zulke verhalen de rondte. Maar -zo valt me dan op- altijd is het een collega overkomen en worden er geen namen bij genoemd.

Waar we nu echt staan anno 2018, is natuurlijk erg moeilijk te beantwoorden, omdat er (voor zover ik weet) geen onderzoek naar is gedaan. Je komt dus niet verder dan algemeenheden (ze hebben een academische achtergrond, krijgen continu opleiding maar zijn relatief oud) en dat schiet natuurlijk weinig op. Ook hoor ik wel argumenten als dat rechters vaak meer weten dan ze laten merken, om zo de partijen (of de verdachte, in strafzaken) uit de tent te lokken om meer informatie te krijgen over wat er nu precies gebeurd is.

Voor mij staat echter voorop dat een rechter helemaal geen ICT-specialist hoeft te zijn. Net zo min als hij verstand van huizenbouw hoeft te hebben om te bepalen of een aannemer aansprakelijk is voor een slecht dak. Er komt dan een deskundige die wél verstand heeft van huizenbouw, of liever nog specifiek van constructietechnieken voor houten balken bovenop een bakstenen muur om een betonnen dak te schragen. En die kan dan uitleggen waarom de aannemer het goed dan wel slecht heeft gedaan. Is de andere partij het daar niet mee eens, dan zet die er een andere deskundige tegenover. En dan kom je bij waar rechters goed in zijn: verklaringen en bewijs tegenover elkaar zetten en afwegen om tot een conclusie te komen.

Ik vind dat een beter systeem dan rechters die zelf gaan verzinnen hoe het zit, want daar kun je als partij niet op toetsen. Een deskundigenverklaring kun je aanvallen of van tegenbewijs voorzien. En dat is uiteindelijk hoe een rechtszaak moet gaan: partijen komen met verklaringen en bewijs, en de rechter weegt dat af.

Arnoud

Wat zijn je rechten bij een gratis app?

apple-app-store.pngEen lezer vroeg me:

Wat zijn eigenlijk je rechten bij gratis apps? Ook al betaal ik niet, ik heb toch gewoon een contract en een geleverd product gekregen. Waar kan ik de app-leverancier (of Apple) dan aan houden?

Inderdaad, ook bij levering van een gratis app heb je gewoon rechten. De EULA kan wel van alles zeggen, maar zo’n overeenkomst tot gebruik van een app valt gewoon onder het consumentenrecht en daarin heb je gewoon dwingend bepaalde rechten.

Zeker in Nederland, waar de Hoge Raad heeft bepaald dat software gekocht wordt. Daarmee zijn alle regels van conformiteit (wettelijke rente) en gratis herstel of vervanging gewoon van toepassing op software. Ook als de prijs nul is.

Natuurlijk kun je je wel afvragen óf sprake is van een juridische tekortkoming. Software heeft nu eenmaal altijd bugs, en moet in een complexe omgeving werken, waardoor een perfecte werking geen realistische verwachting is. Ook apps die gekoppeld zijn aan diensten, kunnen legitiem stoppen met werken. Dienstverlening mag altijd stoppen, en móet soms stoppen omdat dingen gewoon niet meer compatibel te krijgen zijn.

Een praktisch bezwaar is natuurlijk wel: wie gaat er ooit naar de rechter over iets dat hij gratis kreeg? Je krijgt immers nooit je proceskosten volledig vergoed, in ieder geval niet je tijd. Dus zakelijk gezien is die rechtszaak het nooit waard.

Arnoud