Pragmatisch
Kwaliteit
Flexibel
Relevant

BLOG: Schending van de AVG, maar geen boete.

dinsdag 29 augustus 2023

Boetes en de AVG. Hoewel u er hopelijk nog niet mee te maken heeft gehad, weet u waarschijnlijk wel dat de Autoriteit Persoonsgegevens (AP) bevoegd is tot het opleggen van boetes aan verwerkingsverantwoordelijke en verwerkers. Deze boetes kunnen hoog oplopen. Bij veel privacy professionals staan de miljoenen boetes voor Facebook’s Meta nog op het netvlies.[1] Hoewel dat voor Nederlandse bedrijven niet snel het geval zal zijn, laten opgelegde boetes door de AP zien dat boetes toch al snel in de honderdduizenden euro’s lopen.[2] Zo ook bij DPG Media. In januari 2022 heeft de AP aan haar een boete opgelegd van €525.000 voor het overtreden van de AVG.[3] DPG heeft in meerdere gevallen de identificatieplicht[4] niet goed doorlopen, en na klachten van betrokkenen en onderzoek door de AP is een bestuurlijke boete opgelegd. In een recente uitspraak[5] is echter geoordeeld dat deze boete niet had mogen worden opgelegd.


Opvragen kopie ID voor verzoek van betrokkene.

De verwerkingsverantwoordelijke heeft de plicht tot het informeren van de betrokkenen over de rechten die zij hebben.[6] Voordat de verwerkingsverantwoordelijke gehoor kan geven aan een verzoek van een betrokkene, dient eerst de identiteit van de betrokkene te worden vastgesteld. Dat kan de verwerkingsverantwoordelijke doen door een kopie van een identiteitsbewijs op te vragen. In beginsel is dit geen onredelijk middel.[7] Maar wanneer geen andere manieren om een betrokkene te identificeren worden geboden, is het niet zonder meer toegestaan om een kopie ID op te vragen. Er moet altijd worden gezocht naar een manier die minder ingrijpend is, (subsidiariteit) bijvoorbeeld vaststellen van de identiteit op basis van andere gegevens, fysiek langskomen of door middel van inlog via DigiD. Wanneer dat allemaal niet mogelijk blijkt, kan om een kopie van het identiteitsbewijs worden gevraagd. Hier zijn wel voorwaarden aan verbonden. Er moet worden voorzien in verwijdering nadat de betrokkene is geïdentificeerd en er wordt aangeraden om de betrokkene gebruik te laten maken van de KopieID app van de Rijksoverheid[8] (dataminimalisatie). De reden dat een kopie van het identiteitsbewijs niet zomaar mag worden opgestuurd, is omdat daarop het BSN te zien is. Vanwege de gevoeligheid van het BSN is het verwerken ervan alleen toegestaan in wettelijke gevallen.[9] De kopieID app maakt het mogelijk om het BSN weg te lakken en een watermerk op te nemen, zodat fraude met de kopie onwaarschijnlijker wordt.


Belemmering bij identificatie.

Terug naar de uitspraak. De AP heeft in januari 2022 aan DPG een boete opgelegd omdat betrokkenen geen gebruik konden maken van hun rechten, tenzij zij een kopie van hun identiteitsbewijs opstuurden. Deze werkwijze is aan het licht gekomen door een aantal klachten die in de periode tussen september 2018 en januari 2019 bij de AP zijn ingediend. De rechtbank is het met de AP eens dat deze procedure te rigide is geweest. De betrokkenen hadden ook op andere, minder ingrijpende manieren hun identiteit kunnen laten controleren. Daarom heeft DPG de AVG overtreden.[10] De vraag is echter of de boete van €525.000 wel had mogen worden opgelegd. Op grond van de AVG heeft de AP de mogelijkheid tot het opleggen van boetes.[11] Bij de bepaling of er een boete mag worden opgelegd en hoe hoog deze mag zijn, moet er rekening worden gehouden met een aantal factoren.[12] En daar heeft de AP volgens de rechtbank onvoldoende rekening mee gehouden.[13] Van belang is hier vooral de tijdsgeest. De AVG is op 25 mei 2018 inwerking getreden. DPG had de besproken werkwijze inderdaad niet uit mogen voeren, maar had te maken met nieuwe wetgeving en was zich onvoldoende bewust van de juiste wijze. Volgens de rechter heeft de AP hier steken laten vallen. Als toezichthouder heeft de AP een voorlichtende rol en had zij DPG eerder op de werkwijze kunnen aanspreken en adviseren om het beleid aan te passen. Nu kreeg DPG in juli 2019 te horen dat er klachten waren over de werkwijze en kreeg zij pas in oktober 2021 een concept rapport. In die tussentijd had DPG haar werkwijze al aangepast.


Gevolgen voor de verwerkingsverantwoordelijke.

Deze uitspraak benadrukt het belang van het inrichten van een juiste procedure voor de omgang met verzoeken van betrokkenen. Nogmaals is geoordeeld dat het vragen van een kopie ID niet zonder meer is toegestaan. Er moet worden gekeken naar andere, minder ingrijpende manieren en wanneer dat niet mogelijk blijkt, moet worden voorzien in een veilige wijze van delen van de kopie. Door gebruik te maken van de KopieID app bijvoorbeeld. Het niet juist hanteren van de identificatieprocedure kan een hoge boete opleveren. Maar zoals uit deze uitspraak volgt, kunnen bijkomende (verzachtende) omstandigheden bij de verwerkingsverantwoordelijke van belang zijn. De AP dient deze mee te wegen bij het al dan niet opleggen van een boete.

Ismay Elferink
Adviseur L2P

[1] Meta krijgt weer grote privacyboete in EU: 390 miljoen euro | RTL Nieuws
[2]
https://autoriteitpersoonsgegevens.nl/boetes-en-andere-sancties.
[3]
boetebesluit_dpg.pdf (autoriteitpersoonsgegevens.nl)
[4]
Art. 12 lid 4 AVG. 
[5]
ECLI:NL:RBAMS:2023:5074. 
[6] Art. 12 AVG.
[
7] ABRvS 8 juni 2022, ECLI:NL:RVS:2022:1608, overweging 4.1. en ABRvS 9 december 2020, ECLI:NL:RVS:2020:2833, overweging 5.2. 
[8]
KopieID-app | rvig 
[9] Wet algemene bepalingen burgerservicenummer. 
[10]
Art. 12 lid 2 AVG. 
[11]
Art. 83 lid 5 AVG. 
[12]
Art. 83 lid 2 AVG en artikel 7 Boetebeleidsregels AP. 
[13]
ECLI:NL:RBAMS:2023:5074, overweging 21.

Vragen over bescherming van persoonsgegevens, of dat wij meekijken of uw procedure rechten van betrokkenen voldoet?
Wij bij L2P helpen u graag!