De Autoriteit Persoonsgegevens (AP) legt DPG Media een boete op van 525.000 euro. Het mediabedrijf krijgt de boete omdat mensen die hun gegevens wilden inzien of laten verwijderen, daarvoor eerst een identiteitsbewijs moesten uploaden. De AP is tot de conclusie gekomen dat DPG met haar beleid en het actief uitdragen ervan de rechten van betrokkenen heeft belemmerd.
Doet iemand een verzoek privacyrechten? Dan leest u hier of en hoe u moet checken of die persoon is wie diegene zegt te zijn.
Identiteit vaststellen
De AVG bepaalt dat de verwerkingsverantwoordelijke de uitoefening van de AVG-rechten moet faciliteren. Het recht op inzage in persoonsgegevens en het recht op wissing van persoonsgegevens zijn hieronder begrepen.
Doet iemand een verzoek op basis van de privacyrechten uit de AVG? Dan moet de verwerkingsverantwoordelijke controleren of die persoon is wie diegene zegt te zijn. Daarmee voorkomt de verwerkingsverantwoordelijke dat iemand toegang krijgt tot de persoonsgegevens van een ander. Daarbij mogen niet meer gegevens worden opgevraagd dan strikt noodzakelijk is. De opgevraagde gegevens ter verificatie van de identiteit van de verzoeker dienen in verhouding te staan tot het met de verwerking daarvan te dienen doel. En dit doel kan niet op een minder nadelige, minder ingrijpende wijze worden verwezenlijkt.
Dit betekent dat zoveel mogelijk aan de hand van persoonsgegevens die een verwerkingsverantwoordelijke reeds verwerkt, de identiteit van de verzoeker kan worden vastgesteld.
Kopie identiteitsbewijs
Een volledige kopie vragen mag alleen als de verwerkingsverantwoordelijke daartoe wettelijk verplicht is. Dit geldt bijvoorbeeld voor een bank, verzekeraar of casino. Alleen als het echt niet anders kan, mag de verwerkingsverantwoordelijke hooguit om een kopie vragen waarbij bepaalde gegevens zijn afgeschermd. Het is onevenredig om een kopie van een identiteitsbewijs te vragen als de identiteit van de betrokkene op een andere manier kan worden geverifieerd.
Het verwerken van kopieën van identiteitsbewijzen vormt bovendien een groot risico voor de veiligheid van persoonsgegevens. Daarnaast kan de verwerkingsverantwoordelijke er niet zeker van zijn dat de kopie authentiek is en de eigenaar van de identiteitskaart daadwerkelijk de verzoeker is. Door bijvoorbeeld (ongeoorloofde) toegang tot identiteitsbewijzen door huisgenoten en vervalste kopieën van identiteitsbewijzen.
Hoe kan het wel?
De verwerkingsverantwoordelijke moet zo veel mogelijk proberen iemands identiteit vast te stellen met de gegevens die hij al heeft van deze persoon. Identificatie kan bijvoorbeeld via een bestaand inlogsysteem. Bijvoorbeeld van een webshop. De betrokkene doet dan een AVG-verzoek door zich eerst via zijn account aan te melden.
Een andere mogelijkheid is een vorm van tweefactorauthenticatie. Hiervoor gebruikt de verwerkingsverantwoordelijke de klantgegevens uit de bestaande administratie gebruikt ter controle. Als iemand bijvoorbeeld via e-mail een verzoek doet, kan de verwerkingsverantwoordelijke een bevestiging vragen per sms. Hiervoor wordt het mobiele nummer gebruikt uit de bestaande administratie. De verwerkingsverantwoordelijke kan de verzoeker ook vragen om andere gegevens uit de klantadministratie te verifiëren. Bijvoorbeeld door te vragen naar de laatste drie cijfers van het rekeningnummer, de geboortedatum en/of het klantnummer ter controle.
Nog steeds twijfels?
Mocht een verwerkingsverantwoordelijke alsnog redenen hebben om te twijfelen aan de identiteit van de verzoeker? Dan kan de verwerkingsverantwoordelijke de betrokkene om aanvullende informatie vragen. Dus om informatie waarover de verwerkingsverantwoordelijke nog niet beschikt. De verwerkingsverantwoordelijke moet per geval bekijken of er redenen zijn om aan de identiteit van de betrokkene te twijfelen. Ook hier geldt dat de verwerkingsverantwoordelijke slechts die (aanvullende) informatie mag opvragen die noodzakelijk is.
Vastleggen in beleid
Iedere verwerkingsverantwoordelijke moet een beleid hebben waarin staat hoe betrokkenen hun privacyrechten kunnen uitoefenen. Die regeling moet betrokkenen in staat te stellen hun rechten gemakkelijker en eenvoudig uit te oefenen. Een belangrijk onderdeel van dat beleid is de manier waarop iemand zich identificeert bij een verzoek privacyrechten. Een verwerkingsverantwoordelijke is immers gehouden zorg te dragen voor een passende beveiliging van de door haar verwerkte persoonsgegevens, onder meer tegen ongeoorloofde of onrechtmatige verwerking.
