Een veelvoorkomende praktijk in de privacywereld is dat om een kopie van een identiteitsbewijs gevraagd wordt wanneer een persoon verzoekt om bijvoorbeeld inzage te krijgen in zijn persoonsgegevens die een bedrijf van hem heeft. Toch is dit wel iets om voorzichtig mee te zijn. In twee recente zaken zijn hoge boetes uitgedeeld op grond van de AVG aan bedrijven die structureel om een kopie van een identiteitsbewijs verzochten in deze situaties. In dit blog wordt uiteengezet waarom deze boetes uitgedeeld werden.
Wat zegt de AVG over identificatie bij het uitoefenen van rechten?
Een persoon heeft verschillende rechten van op grond van de AVG, bijvoorbeeld het recht op inzage. De AVG bepaalt dat de verwerkingsverantwoordelijke – het bedrijf dat verantwoordelijk is voor de verwerking van de persoonsgegevens – de uitoefening van deze rechten moet faciliteren. Dat betekent dat de verwerkingsverantwoordelijke een regeling moet hebben om de betrokkenen in staat te stellen hun rechten gemakkelijk en eenvoudig uit te oefenen. Onderdeel van een dergelijke regeling is het vaststellen van de identiteit van de persoon die het verzoek doet. Het is namelijk niet de bedoeling dat een persoon inzage krijgt in de gegevens van een ander. Daarom zal de identiteit van de verzoeker vastgesteld moeten worden om er zeker van te zijn dat de persoonsgegevens waar het verzoek betrekking op heeft ook daadwerkelijk van de verzoeker zijn. De AVG stelt niet vast op welke manier de identiteit vastgesteld moet worden, zo lang het de uitoefening van de rechten maar niet onnodig lastig maakt. De verwerkingsverantwoordelijke mag dit dus zelf bepalen. Daarbij is ook het beginsel van dataminimalisatie erg belangrijk. Dit beginsel houdt in dat de verwerkingsverantwoordelijke niet meer gegevens op mag vragen voor de identificatie dan hij nodig heeft om de identiteit van de verzoeker vast te stellen. Een betrokkene moet zich dus op de minst ingrijpende wijze kunnen identificeren. Hierbij zal het niet snel toegestaan zijn om een kopie van het identiteitsbewijs te vragen. Twee recente boetebesluiten illustreren dat.Boete I: DPG
Het eerste boetebesluit had betrekking op DPG, een Nederlands mediahuis dat een aantal grote mediamerken onder zich heeft zoals Donald Duck, NU.nl, het AD en Q-Music. DPG vroeg altijd om een kopie van het identiteitsbewijs van een betrokkene wanneer de betrokkene een verzoek om inzage of verwijdering deed buiten de beveiligde inlogomgeving. Werd een kopie niet verstrekt, dan werd het verzoek niet (verder) behandeld. Ook werd niet vermeld dat de verzoeker bepaalde gegevens van het identiteitsbewijs mocht afschermen. Hierover werd geklaagd bij de AP (Autoriteit Persoonsgegevens). De AP oordeelde dat deze wijze van identificeren te ingrijpend is en dat betrokkenen daardoor niet op gemakkelijke en eenvoudige wijze aanspraak konden maken op hun rechten onder de AVG. Uit de praktijk bleek dat het vragen van een identiteitsbewijs weerstand opriep wat erin resulteerde dat de klagers niet bereid waren hun identiteitsbewijs te verstrekken. Hierdoor werd hun verzoek niet behandeld. Op deze manier werden verzoekers belemmerd hun rechten onder de AVG uit te oefenen. Daarbij komt ook dat het overleggen van een kopie van een identiteitsbewijs niet in verhouding stond tot de aard en hoeveelheid persoonsgegevens waaromtrent een verzoek werd gedaan. Bovendien mogen organisaties alleen het BSN verwerken als dit wettelijk bepaald is en dit schuurt met het opvragen van een kopie van het identiteitsbewijs. De combinatie van gegevens die vermeld staan op het identiteitsbewijs maken daarnaast identiteitsfraude mogelijk en daarom moet er heel terughoudend omgegaan worden met het opvragen van een identiteitsbewijs. De AP was van mening dat de DPG ook op een andere, minder vergaande manier de identiteit kon vaststellen. Zo had de DPG een betrokkene kunnen identificeren aan de hand van bijvoorbeeld een abonnee- of klantnummer in combinatie met een naam, adres en/of e-mailadres van de verzoeker. Omdat DPG te veel gegevens vroeg door een kopie van het identiteitsbewijs te eisen en het daardoor te ingewikkeld was voor betrokkenen om hun gegevens in te zien of te laten wissen, kreeg de DPG een boete van € 525.000 euro.Boete II: Michael Page
Het tweede recente boetebesluit trof het Spaanse recruitmentbureau Michael Page en is opgelegd door de Spaanse privacytoezichthouder, de AEPD, in samenwerking met de Nederlandse AP. Een Nederlandse had zich ingeschreven bij het recruitmentbureau en wilde vervolgens weten welke persoonsgegevens het bureau van haar had verzameld. Michael Page wilde vervolgens alleen inzage geven als de Nederlandse zich zou identificeren door onder andere een volledige kopie van haar identiteitsbewijs te sturen. Hierover is een klacht ingediend bij de AP, die de klacht doorspeelde aan de AEPD. De AEPD heeft AP een onderzoek ingediend en een boete opgelegd van € 240.000 aan Michael Page. De AEPD oordeelde dat Michael Page te veel gegevens opvroeg dan nodig om de identiteit te verifiëren. In dit geval was het e-mailadres waarmee het verzoek verstuurd was voldoende om de identiteit vast te stellen en waren er geen redenen aan te nemen om aan de identiteit van de verzoeker te twijfelen.Mag je nooit om een kopie van het ID vragen?
Het AP geeft in het boetebesluit van DPG niet aan dat het opvragen van een kopie van een identiteitsbewijs nooit toegestaan is. Als een kopie van het identiteitsbewijs de enige manier is om de identiteit vast te stellen of als de verwerkingsverantwoordelijke reden heeft om te twijfelen aan de identiteit van de verzoeker, kan het in bepaalde, individuele gevallen toegestaan zijn om een kopie van het identiteitsbewijs op te vragen. Let er daarbij wel op dat ook alleen de noodzakelijke gegevens op het identiteitsbewijs zichtbaar zijn. Zo zal het in de meeste gevallen niet nodig zijn om het BSN en de pasfoto te verwerken. Deze moeten dan afgeschermd worden.Conclusie
Het is dus niet zomaar toegestaan om bij elk verzoek van een betrokkene op grond van de AVG te vragen naar het identiteitsbewijs. Het identiteitsbewijs bevat veel gevoelige informatie en kan ook gebruikt worden voor identiteitsfraude. Er moet daarom zeer terughoudend omgegaan worden met het opvragen van een kopie van een identiteitsbewijs. Als de identiteit op een minder vergaande manier vastgesteld kan worden, dan moet die minder vergaande manier gevolgd worden. Heb je gerechtvaardigde twijfels over de identiteit van de verzoeker, dan kan het in sommige situaties wel toegestaan zijn om een kopie van het identiteitsbewijs op te vragen. Let er dan wel op dat alleen de gegevens van het identiteitsbewijs opgevraagd worden die echt noodzakelijk zijn voor de identificatie van de verzoeker. Zo zal een BSN zelden benodigd zijn om de identiteit van een betrokkene vast te stellen. Wees dus terughoudend met het vragen naar een kopie van een identiteitsbewijs. Dit kan de verwerkingsverantwoordelijke duur komen te staan!Interessante artikelen voor u
Onze mensen
Heeft u vragen of wilt u een afspraak maken?
Meld je aan voor onze nieuwsbrief
Geen juridische updates missen? Maak dan een selectie uit de diverse expertises van Holla legal & tax.