DPG Media krijgt AVG-boete van 525.000 euro voor onterecht vragen van ID-bewijs

Uitgever DPG Media heeft een AVG-boete van 525.000 euro gekregen omdat het klanten om een identiteitsbewijs vroeg als zij inzage wilden in hun gegevens. DPG heeft daarmee 'onnodige drempels opgeworpen voor het uitvoeren van AVG-rechten'.

De boete komt voor rekening van DPG Media, het moederbedrijf van Tweakers en uitgever van grote kranten en tijdschriften zoals de Volkskrant en Autoweek. De Autoriteit Persoonsgegevens legt de uitgever een boete van 525.000 euro op voor het overtreden van de Algemene Verordening Gegevensbescherming. De overtredingen vonden plaats bij DPG Magazines, dat bekendstond als Sanoma Media totdat het in april 2020 door DPG werd overgenomen. Klanten die bij Sanoma en later dus DPG wilden weten welke gegevens de uitgever over hen verzamelden, moesten daarvoor hun identiteitsbewijs digitaal versturen. Dat moesten klanten ook als ze hun abonnement wilden beëindigen of wijzigen. DPG wees hen ook niet op de mogelijkheid om hun gegevens af te schermen.

De privacytoezichthouder ontving tussen mei 2018 en januari 2019 klachten over de manier waarop het toenmalige Sanoma met de identiteitsbewijzen omging. Dat was het moment dat de privacywet AVG in werking trad. Klanten die geen account hadden bij de tijdschriften of websites, moesten hun identiteitsbewijs uploaden om hun identiteit te verifiëren. Als klanten via een onlineformulier een inzageverzoek indienden, wees DPG hen niet op de mogelijkheid om informatie zoals het burgerservicenummer of de foto af te schermen op de kopie. Bij communicatie per post wees de uitgever daar wel op. De meeste klanten die wijzigingen doorvoerden of een inzageverzoek indienden, deden dat via een onlineaccount. Daarbij werd geen verificatie gevraagd.

Volgens DPG was dat de enige manier om de identiteit van gebruikers vast te stellen. In de periode waar de AP naar keek, werden er 11.000 inzage- en andere klantverzoeken gedaan, waarvan 1600 via het formulier of de post. In 60 gevallen ging het om een verzoek om gegevens te verwijderen. DPG zegt dat het sinds december 2020 niet meer om een identiteitsbewijs vraagt.

De AP schrijft in het boetebesluit dat DPG artikel 12 van de AVG overtrad. Dat artikel bepaalt welke gegevens klanten mogen opvragen en laten verwijderen en onder welke voorwaarden. Volgens de privacywet moeten klanten 'hun rechten gemakkelijker en eenvoudig uit kunnen oefenen.' "Een verwerkingsverantwoordelijke mag daarbij geen onnodige drempels opwerpen voor betrokkenen om voornoemde rechten uit te oefenen", schrijft de Autoriteit Persoonsgegevens. Daar staat wel tegenover dat de partij die gegevens verzamelt, moet kunnen verifiëren wie de indiener is van zo'n verzoek.

De Autoriteit Persoonsgegevens concludeert dat het 'onevenredig' is om een kopie van een identiteitsbewijs te eisen 'als de eis van de betrokkene op een andere manier kan worden geverifieerd'. Dat kon in het geval van DPG door een account te maken. De uitgever had klanten ook kunnen identificeren op basis van andere persoonsgegevens die het bedrijf al in bezit had, waaronder het abonneenummer in combinatie met de naam, het adres en het e-mailadres van de gebruiker. "Nu door DPG van betrokkenen standaard een kopie van een identiteitsbewijs werd vereist zonder eerst na te gaan of DPG (al) beschikte over andere (identificerende) (contact)informatie en zonder rekening te houden met de aard en hoeveelheid van persoonsgegevens, is de AP van oordeel dat betrokkenen niet op gemakkelijke en eenvoudige wijze aanspraak konden maken op hun rechten onder de AVG", schrijft de toezichthouder.

Het beleid van de uitgever werkte daarmee 'belemmerend' en het verzoek om een kopie van het identiteitsbewijs stond 'niet in verhouding tot de aard en hoeveelheid persoonsgegevens' die werden verzameld. De AP spreekt daarom van een 'zware overtreding'. "Je moet er niet aan denken dat kopieën via een ransomwareaanval of een ander datalek in verkeerde handen komen. Dat kan tot identiteitsfraude leiden en grote gevolgen hebben voor de mensen achter deze persoonsgegevens", zegt AP-vicevoorzitter Monique Verdier.