25 mei '22
Onder de Algemene verordening gegevensbescherming (AVG), hebben betrokkenen wiens persoonsgegevens worden verwerkt diverse rechten, zoals het recht op inzage in de verwerking van zijn of haar persoonsgegevens. Veel bedrijven vragen daarbij standaard om een kopie van een identiteitsbewijs mee te sturen. Dat is echter niet de bedoeling. DPG Media kreeg hiervoor begin 2022 een boete van 525.000 euro van de Autoriteit Persoonsgegevens (AP). Het European Data Protection Board (EDPB) geeft een vergelijkbaar signaal in haar recente concept Guidelines met betrekking tot inzageverzoeken. Hoe kunt u hier nu het beste mee omgaan?
Het identificeren van betrokkenen
Wanneer uw organisatie persoonsgegevens verwerkt, dient u (o.a.) het recht op inzage te faciliteren. Voordat u voldoet aan zo’n verzoek, dient u vast te stellen dat de verzoeker daadwerkelijk de betrokkene is (op wie de persoonsgegevens betrekking hebben). Logisch, want u mag zijn of haar persoonsgegevens niet zomaar met een ander delen; dat kan een datalek opleveren.
Waar ging het nu mis bij DPG Media – en hoe kan het wel?
De boete die aan DPG Media werd opgelegd, waarnaar in de introductie van dit blog is verwezen, is opgelegd omdat DPG Media bij een (offline) verzoek van een betrokkene standaard om een kopie van het identiteitsbewijs vroeg. Wanneer deze kopie niet werd verstrekt, werd het verzoek niet in behandeling genomen. De AP was van oordeel dat bij de controle van de identiteit van een verzoeker de beginselen van proportionaliteit en subsidiariteit in acht moeten worden genomen. Met andere woorden: de inbreuk op de privacy van de verzoeker moet in verhouding staat tot het te bereiken doel en voorts is vereist dat dit doel niet op een andere (minder ingrijpende) manier kan worden bereikt.
Daarbij is het van belang om te vermelden dat het verwerken van een kopie van een identiteitsbewijs de nodige risico’s (o.a. op fraude) meebrengt. Daarom moet hier (extra) zorgvuldig mee worden omgegaan. Van o.a. het BSN weet u waarschijnlijk al dat dit niet zomaar mag worden verwerkt. Maar wanneer de identiteit van de verzoeker op een minder ingrijpende manier gecontroleerd kan worden dan middels een ‘kopietje paspoort’, dient die route te worden bewandeld. Denk bijvoorbeeld aan het gebruiken van een reeds bestaand communicatiekanaal met de verzoeker (een inlogomgeving, het versturen van een verificatiemail of een code naar een telefoon), of van beschikbare gegevens zoals een abonneenummer, al dan niet in combinatie met andere persoonsgegevens zoals een naam of e-mailadres). Per geval zal moeten worden beoordeeld welke informatie is vereist (en passend is) om de verzoeker te kunnen identificeren. Wanneer u twijfelt aan de identiteit van de verzoeker, mag u om aanvullende informatie vragen. Maar ook daarbij gelden voornoemde beginselen. U hoeft overigens (bij uitzondering) niet aan een inzageverzoek te voldoen, indien u kunt aantonen dat u de betrokkene niet heeft kunnen identificeren.
Wat als u wel een kopie ID nodig heeft?
Er zijn nog altijd gevallen denkbaar waarin u zich genoodzaakt voelt om een kopie van het identiteitsbewijs van een verzoeker te vragen. Bijvoorbeeld wanneer het gaat om gezondheidsgegevens. Zorg er dan wel voor dat u erop wijst dat alle niet-essentiële informatie wordt weggelakt – en dat is wellicht nog meer dan alleen de foto en het BSN. Vraagt u zich bijvoorbeeld af of u echt een geboortedatum of -plaats nodig heeft voor het verifiëren van de identiteit. Sla de kopie vervolgens ook niet op, maar registreer dat en op welke wijze de identiteit van de verzoeker is vastgesteld.
Nog een aantal andere belangrijke to do’s
Allereerst is het raadzaam om uw privacyverklaring te controleren op dit punt. Wij zien veel privacyverklaringen waarin staat dat betrokkenen bij het doen van een beroep op hun rechten een kopie van een identiteitsbewijs mee dienen te sturen. Is dit het geval, dan dient de tekst te worden aangepast. Een suggestie hiervoor is de volgende (uiteraard aan te passen aan uw werkwijze): “U kunt de hiervoor genoemde verzoeken doen door ons een brief of een e-mail te sturen. Zorg ervoor dat uw verzoek voorzien is van uw naam en e-mailadres. Wij kunnen u vragen om uw verzoek nader toe te lichten en het kan zijn dat wij vragen om u nader te identificeren.”.
Minstens net zo belangrijk is het om uw (interne) privacybeleid te controleren en waar nodig aan te passen (dus indien het opvragen van een kopie ID vaste prik is). Het is belangrijk dat er (aantoonbaar) een adequaat proces bestaat ter zake van het reageren op inzageverzoeken – en dat dit in de praktijk wordt nageleefd. Mocht u een dergelijk beleid nog niet hebben of wensen dat wij een blik werpen op uw privacyverklaring of -beleid, mail dan naar privacy@ploum.nl. Wij nemen dan spoedig contact met u op.
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.