https://ploum.nl/uploads/Artikelen_en_Track_Records_en_expertise/Cyber/pexels-dan-nelson-4973899.jpg

Vraag niet standaard om een kopie ID

25 mei '22

Onder de Algemene verordening gegevensbescherming (AVG), hebben betrokkenen wiens persoonsgegevens worden verwerkt diverse rechten, zoals het recht op inzage in de verwerking van zijn of haar persoonsgegevens. Veel bedrijven vragen daarbij standaard om een kopie van een identiteitsbewijs mee te sturen. Dat is echter niet de bedoeling. DPG Media kreeg hiervoor begin 2022 een boete van 525.000 euro van de Autoriteit Persoonsgegevens (AP). Het European Data Protection Board (EDPB) geeft een vergelijkbaar signaal in haar recente concept Guidelines met betrekking tot inzageverzoeken. Hoe kunt u hier nu het beste mee omgaan?

Het identificeren van betrokkenen

Wanneer uw organisatie persoonsgegevens verwerkt, dient u (o.a.) het recht op inzage te faciliteren. Voordat u voldoet aan zo’n verzoek, dient u vast te stellen dat de verzoeker daadwerkelijk de betrokkene is (op wie de persoonsgegevens betrekking hebben). Logisch, want u mag zijn of haar persoonsgegevens niet zomaar met een ander delen; dat kan een datalek opleveren.

Waar ging het nu mis bij DPG Media – en hoe kan het wel?

De boete die aan DPG Media werd opgelegd, waarnaar in de introductie van dit blog is verwezen, is opgelegd omdat DPG Media bij een (offline) verzoek van een betrokkene standaard om een kopie van het identiteitsbewijs vroeg. Wanneer deze kopie niet werd verstrekt, werd het verzoek niet in behandeling genomen. De AP was van oordeel dat bij de controle van de identiteit van een verzoeker de beginselen van proportionaliteit en subsidiariteit in acht moeten worden genomen. Met andere woorden: de inbreuk op de privacy van de verzoeker moet in verhouding staat tot het te bereiken doel en voorts is vereist dat dit doel niet op een andere (minder ingrijpende) manier kan worden bereikt.

Daarbij is het van belang om te vermelden dat het verwerken van een kopie van een identiteitsbewijs de nodige risico’s (o.a. op fraude) meebrengt. Daarom moet hier (extra) zorgvuldig mee worden omgegaan. Van o.a. het BSN weet u waarschijnlijk al dat dit niet zomaar mag worden verwerkt. Maar wanneer de identiteit van de verzoeker op een minder ingrijpende manier gecontroleerd kan worden dan middels een ‘kopietje paspoort’, dient die route te worden bewandeld. Denk bijvoorbeeld aan het gebruiken van een reeds bestaand communicatiekanaal met de verzoeker (een inlogomgeving, het versturen van een verificatiemail of een code naar een telefoon), of van beschikbare gegevens zoals een abonneenummer, al dan niet in combinatie met andere persoonsgegevens zoals een naam of e-mailadres). Per geval zal moeten worden beoordeeld welke informatie is vereist (en passend is) om de verzoeker te kunnen identificeren. Wanneer u twijfelt aan de identiteit van de verzoeker, mag u om aanvullende informatie vragen. Maar ook daarbij gelden voornoemde beginselen. U hoeft overigens (bij uitzondering) niet aan een inzageverzoek te voldoen, indien u kunt aantonen dat u de betrokkene niet heeft kunnen identificeren.

Wat als u wel een kopie ID nodig heeft?

Er zijn nog altijd gevallen denkbaar waarin u zich genoodzaakt voelt om een kopie van het identiteitsbewijs van een verzoeker te vragen. Bijvoorbeeld wanneer het gaat om gezondheidsgegevens. Zorg er dan wel voor dat u erop wijst dat alle niet-essentiële informatie wordt weggelakt – en dat is wellicht nog meer dan alleen de foto en het BSN. Vraagt u zich bijvoorbeeld af of u echt een geboortedatum of -plaats nodig heeft voor het verifiëren van de identiteit. Sla de kopie vervolgens ook niet op, maar registreer dat en op welke wijze de identiteit van de verzoeker is vastgesteld.

Nog een aantal andere belangrijke to do’s

Allereerst is het raadzaam om uw privacyverklaring te controleren op dit punt. Wij zien veel privacyverklaringen waarin staat dat betrokkenen bij het doen van een beroep op hun rechten een kopie van een identiteitsbewijs mee dienen te sturen. Is dit het geval, dan dient de tekst te worden aangepast. Een suggestie hiervoor is de volgende (uiteraard aan te passen aan uw werkwijze): “U kunt de hiervoor genoemde verzoeken doen door ons een brief of een e-mail te sturen. Zorg ervoor dat uw verzoek voorzien is van uw naam en e-mailadres. Wij kunnen u vragen om uw verzoek nader toe te lichten en het kan zijn dat wij vragen om u nader te identificeren.”.

Minstens net zo belangrijk is het om uw (interne) privacybeleid te controleren en waar nodig aan te passen (dus indien het opvragen van een kopie ID vaste prik is). Het is belangrijk dat er (aantoonbaar) een adequaat proces bestaat ter zake van het reageren op inzageverzoeken – en dat dit in de praktijk wordt nageleefd. Mocht u een dergelijk beleid nog niet hebben of wensen dat wij een blik werpen op uw privacyverklaring of -beleid, mail dan naar privacy@ploum.nl. Wij nemen dan spoedig contact met u op.

Contact

Advocaat

Lars Boer

Expertises:  IT-recht, Privacyrecht, Aanbestedingsrecht, Cybersecurity , Technologie, Media en Telecom, Commerciële contracten, Start-up en Scale-up,

Advocaat

Nina Rijsterborgh-Witt

Expertises:  IT-recht, Privacyrecht, Cybersecurity , Marketing en Reclame, Food, Zorg, E-health, E-commerce,

Deel dit artikel

Blijf op de hoogte

Klik op het plusje en schrijf je in voor updates over dit onderwerp.

Expertise(s)

Onderwerp(en)

Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

{phrase:advantage_3}

{phrase:advantage_4}


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.