De AVG-boete die de Autoriteit Persoonsgegevens aan DPG Media heeft opgelegd, was niet terecht, concludeert een rechtbank in Amsterdam. De uitgever hoeft de opgelegde boete van 525.000 euro niet te betalen, maar de rechtbank erkent wel dat DPG de AVG heeft overtreden.
Uit de uitspraak van de rechter blijkt dat de conclusies van de AP terecht waren. DPG Media, het moederbedrijf van Tweakers en uitgever van grote kranten en tijdschriften, overtrad inderdaad artikel 12 van de Algemene Verordening Gegevensbescherming door klanten te vragen om een kopie van een identiteitsbewijs op te sturen als zij inzage in hun klantengegevens wilden krijgen. Dit is volgens de rechtbank een 'te rigide procedure voor het identificeren van verzoekers' en is een onnodige belemmering. "DPG deed dit verzoek zonder van tevoren te beoordelen of de desbetreffende verzoeker op een andere, minder ingrijpende wijze kon worden geïdentificeerd."
Volgens artikel 12 van de AVG mogen individuen bepaalde klantengegevens opvragen en laten verwijderen. Dit recht moet 'gemakkelijk en eenvoudig' uit te oefenen zijn; DPG zou met het vragen naar een identiteitsbewijs een onnodige drempel hebben opgeworpen.
Volgens de rechtbank had de AP hier echter niet direct een boete voor mogen uitschrijven. Dat heeft te maken met verzachtende omstandigheden. Zo zou het vragen naar een ID-bewijs in principe 'een goed middel om iemand te identificeren' zijn. Daarbij zegt de rechtbank dat DPG 'niet lichtzinnig is omgegaan met haar plichten als verwerkingsverantwoordelijke', maar dat het om een onjuiste beoordeling gaat van de verhouding van databescherming en het faciliteren van andere AVG-rechten.
Een ander kritiekpunt dat uit de uitspraak van de rechtbank blijkt, is de handelwijze van de AP omtrent deze zaak. De rechtbank doet dit aan de hand van een tijdlijn. De AVG trad in mei 2018 in werking en in januari 2019 nam de AP voor het eerst contact op met DPG. Het mediabedrijf reageerde enkele weken later. De AP had vervolgens vijf maanden nodig om een reactie te vragen op vijf specifieke klachten die ze had ontvangen. Hieraan voldeed DPG in ruim twee weken, maar opnieuw bleef een reactie van de AP enkele maanden uit.
Met andere woorden, volgens de rechtbank had de AP al in een eerder stadium het gesprek met het mediabedrijf kunnen aangaan. Zeker omdat de Autoriteit Persoonsgegevens in de periode direct na de inwerkingtreding van de AVG een voorlichtende rol had en omdat DPG in e-mailcontact expliciet vroeg of het huidige identificatiebeleid mocht worden voortgezet. De AP had volgens de rechtbank genoeg details van DPG ontvangen om te concluderen dat het beleid inderdaad in strijd was met de AVG en had dat toen al kunnen communiceren.
De Autoriteit Persoonsgegevens moet ruim 2000 euro aan DPG Media betalen ter compensatie van de proceskosten en het griffierecht. De AP kan nog in hoger beroep gaan. In een statement tegenover Tweakers zegt de instantie dat de uitspraak van de rechter nog bestudeerd wordt en dat er dus nog geen duidelijkheid is over de vervolgstappen die de AP eventueel gaat nemen.