Kopie identiteitsbewijs vragen naar aanleiding van een inzageverzoek AVG? Pas op voor een (hoge) boete!

Op grond van de Algemene Verordening Gegevensbescherming (AVG) heeft een betrokkene onder andere het recht op inzage in diens persoonsgegevens en het recht op wissing van persoonsgegevens. De verwerkingsverantwoordelijke voor de persoonsgegevens moet de uitoefening van deze ‘rechten van de betrokkene’ faciliteren. Dat wil zeggen dat het uitoefenen van deze rechten mogelijk moet worden gemaakt.

Hoe dat faciliteren er precies uit moet zien schrijft de AVG niet voor, behalve dat in artikel 12 AVG een aantal algemene verplichtingen genoemd zijn. Uit een boetebesluit van de Autoriteit Persoonsgegevens (AP) van eerder dit jaar, blijkt echter wel dat een organisatie er goed aan doet om kritisch te bezien of er niet onnodige drempels zijn opgeworpen voor de betrokkenen. Oftewel, kan een betrokkene zijn of haar rechten wel op een eenvoudige en juiste manier uitoefenen?

In voornoemd boetebesluit kwam de AP namelijk tot de conclusie dat DPG Media, uitgever van grote kranten en tijdschriften, met haar beleid en het actief uitdragen daarvan, het recht van inzage en gegevenswissing van (een aantal) betrokkenen heeft belemmerd. Kort gezegd had DPG volgens de AP onnodige drempels opgeworpen voor het kunnen uitoefenen van deze rechten. Hierdoor heeft DPG in strijd gehandeld met artikel 12 lid 2 AVG, te weten het faciliteren van de rechten van de betrokkene.

Wat speelde er precies? De AP ontving in 2018 en 2019 klachten over de handelswijze van DPG bij verzoeken om inzage en verzoeken om wissing van persoonsgegevens van betrokkenen. DPG vroeg hen namelijk om een kopie van een identiteitsbewijs ter verificatie van hun identiteit, als voorwaarde om hun verzoek om inzage of wissing (verder) in behandeling te nemen. Ten onrechte dus volgens de klagers. Uit het onderzoek van de AP bleek dat de betrokkenen op twee verschillende manieren hun verzoeken om inzage en/of wissing als bedoeld in artikel 15 en 17 AVG bij DPG konden indienen. De meest voorkomende wijze was door een dergelijk verzoek in te dienen binnen de digitale inlogomgeving van een DPG-account van de betrokkene. Bij deze wijze van indienen werd geen kopie van een identiteitsbewijs gevraagd. De andere wijze was het indienen van een verzoek om inzage en/of wissing buiten de inlogomgeving van het account. Dit kon via een online formulier op de website van DPG, per e-mail of per brief.

Bij verzoeken buiten de inlogomgeving om, vroeg DPG aan de betrokkene altijd om een kopie van een identiteitsbewijs. Als de betrokkene een verzoek via het online formulier had ingediend, werd daarop meteen automatisch gevraagd om een kopie van een identiteitsbewijs te verstrekken. Als het verzoek per e-mail werd ingediend, werd door DPG een e-mail nagestuurd met het verzoek om een kopie van het identiteitsbewijs te verstrekken. DPG gaf daarbij aan dat een verzoek pas in behandeling werd genomen, nadat een kopie van een identiteitsbewijs was verstrekt. In het privacy statement van DPG was ook opgenomen dat in een dergelijk geval altijd gevraagd werd om een kopie van een (geldig) identiteitsbewijs ter identificatie van de aanvrager. Overigens werd door DPG na ontvangst van digitale verzoeken om inzage en/of wissing ook niet aangegeven dat een afgeschermde een kopie van het identiteitsbewijs (waar onder andere het Burgerservicenummer en foto onherkenbaar worden gemaakt) volstond.

De reden voor het vragen van een kopie was volgens DPG dat zij op basis van artikel 12 lid 6 AVG  de identiteit van betrokkenen vast wilde stellen, alvorens over te gaan tot het geven van inzage in of het wissen van de bij haar aanwezige persoonsgegevens van de betrokkene. Je wil immers ook geen inzage geven aan een persoon die later niet de betrokkene blijkt te zijn. Dan heb je immers een mogelijk datalek.

De Autoriteit Persoonsgegevens heeft over de werkwijze van DPG geconcludeerd dat een verwerkingsverantwoordelijke een regeling moet hebben om de betrokkenen in staat te stellen hun rechten gemakkelijker en eenvoudig uit te oefenen. Een verwerkingsverantwoordelijke mag daarbij (dus) geen onnodige drempels opwerpen voor betrokkenen om hun rechten uit te oefenen. Wanneer een verwerkingsverantwoordelijke beleid heeft dat de uitoefening van de genoemde rechten belemmert en dit beleid actief uitdraagt, kan er sprake zijn van een overtreding van de AVG. De rechten van betrokkenen worden dan immers niet gefaciliteerd. Dit was bij DPG het geval; het is onevenredig om een kopie van een identiteitsbewijs te vereisen als de identiteit van de betrokkene op een andere manier kan worden geverifieerd. DPG had onvoldoende de rechten van betrokkenen gefaciliteerd.

Hoe moet het dan wel? Het beleid van een verwerkingsverantwoordelijke met betrekking tot de uitoefening van rechten van betrokkenen zo moet zijn ingericht, dat een betrokkene zich op de minst
ingrijpende wijze moet identificeren. Bijvoorbeeld via een bestaand inlogsysteem. De betrokkene doet dan een AVG-verzoek door zich eerst via zijn of haar account aan te melden. Een verwerkingsverantwoordelijke moet zo veel mogelijk proberen iemands identiteit vast te stellen met de gegevens die hij al heeft van deze persoon. Als dan nog twijfels bestaan over de identiteit, dan kan om aanvullende informatie worden gevraagd. Dit laatste ziet op individuele gevallen waarin er redenen zijn om te twijfelen aan de identiteit.

Het opwerpen van een onnodige drempel door bij voorbaat om een kopie van het identiteitsbewijs te vragen, kost DPG uiteindelijk een boete van een half miljoen. Zeer fors dus. Daar zijn wel vraagtekens bij te plaatsen. Wat als DPG ervoor gekozen had dat betrokkenen alleen via het inlogsysteem verzoeken konden doen? Als dat voldoende is om betrokkenen te faciliteren, zou dus geen boete verschuldigd zijn geweest. Dat betrokkenen buiten het systeem om óók verzoeken konden doen, wat dus eigenlijk klantvriendelijk lijkt, wordt dan wel erg zwaar bestraft. De AVG geldt inmiddels ruim vier jaar. Het is verstandig om het beleid, met name dus het privacy beleid of statement waarmee betrokkenen worden geïnformeerd, weer eens kritisch tegen het licht te houden!