image

DPG Media krijgt AVG-boete van 525.000 euro voor onnodig opvragen id-bewijs

donderdag 24 februari 2022, 11:30 door Redactie, 13 reacties

Mediabedrijf DPG Media heeft van de Autoriteit Persoonsgegevens een boete van 525.000 euro gekregen voor het onnodig opvragen van een identiteitsbewijs van mensen die hun gegevens wilden inzien of laten verwijderen. Daarmee heeft het mediabedrijf de AVG overtreden, zo stelt de privacytoezichthouder.

Wie wilde weten welke persoonsgegevens Sanoma en DPG Media bijhielden, of gegevens wilde laten wissen, moest eerst een identiteitsbewijs uploaden of opsturen. Daarnaast werden deze personen niet door DPG Media ingelicht dat zij gegevens daarvan mochten afschermen. Daardoor vroeg het mediabedrijf te veel persoonsgegevens op.

Het ging om klanten van DPG Media die geen online account bij het mediabedrijf hadden aangemaakt. Deze klanten konden moeilijker bij hun gegevens om ze in te zien of te wijzigen. DPG stelde dat zolang het de identiteit van de verzoeker niet kan vaststellen, de AVG niet van toepassing is. Verder stelde het mediabedrijf dat het vragen van een kopie identificatiebewijs noodzakelijk is om zo te voorkomen dat een kopie van de persoonsgegevens aan de verkeerde persoon worden verstrekt of persoonsgegevens van de verkeerde persoon worden verwijderd. De AP was het hier niet mee eens.

Te zwaar middel

"Een identiteitsbewijs mag je nooit zomaar opvragen. Er staan veel persoonsgegevens op. Zelfs als er delen van een identiteitsbewijs zijn afgeschermd, blijft een kopie vaak een te zwaar middel om vast te stellen of iemand is wie diegene zegt te zijn. Kopieën van identiteitsbewijzen moeten ook met grote zorgvuldigheid worden bewaard", zegt AP-vicevoorzitter Monique Verdier. "Je moet er niet aan denken dat kopieën via een ransomware-aanval of een ander datalek in verkeerde handen komen. Dat kan tot identiteitsfraude leiden en grote gevolgen hebben voor de mensen achter deze persoonsgegevens."

De Autoriteit Persoonsgegevens concludeerde dat DPG met haar beleid en het actief uitdragen ervan het recht van inzage en gegevenswissing van personen heeft belemmerd. Daarbij heeft het bedrijf onnodige drempels opgeworpen voor het kunnen inzetten van deze rechten. "Hierdoor heeft DPG in strijd gehandeld met artikel 12, tweede lid, van de Algemene verordening gegevensbescherming (AVG)", aldus de AP.

DPG Media heeft na de overname van Sanoma de werkwijze gewijzigd. DPG Media stuurt nu een verificatiemail om de identiteit van een verzoeker te kunnen vaststellen. Daarmee is de overtreding beëindigd. Het mediabedrijf kan nog in bezwaar gaan tegen de boete. Het Belgische DPG is onder andere eigenaar van het AD, NU.nl, De Volkskrant, Trouw, Het Parool, Tweakers, Independer, Nationale Vacaturebank, Hardware Info en nog allerlei magazines.

Reacties (13)
24-02-2022, 12:15 door Anoniem
Hoe moet je dan bewijzen wie je echt bent, als je daarvoor niet om een paspoort mag vragen? Je QR-code?
24-02-2022, 12:55 door Anoniem
Door Anoniem: Hoe moet je dan bewijzen wie je echt bent, als je daarvoor niet om een paspoort mag vragen? Je QR-code?
Wie zegt wanneer een kopie van een ID verzonden wordt dat dit door die persoon zelf gedaan is. Hoe ga je dat controleren?
24-02-2022, 13:04 door Anoniem
Door Anoniem: Hoe moet je dan bewijzen wie je echt bent, als je daarvoor niet om een paspoort mag vragen? Je QR-code?
Komt eraan in je digitale ID kaart.

De Corona app heeft bewezen dat QR-codes makkelijk gebruikt kunnen worden om te bewijzen wie je bent
24-02-2022, 14:27 door Anoniem
Door Anoniem:
Door Anoniem: Hoe moet je dan bewijzen wie je echt bent, als je daarvoor niet om een paspoort mag vragen? Je QR-code?
Wie zegt wanneer een kopie van een ID verzonden wordt dat dit door die persoon zelf gedaan is. Hoe ga je dat controleren?
Exact, het bewijzen dat je iemand bent met een kopie van iets (paspoort, ID, bankafschrift, qr code) wat je electronisch toestuurt, is natuurlijk helemaal geen bewijs!
Dat is bv. ook de reden dat je op een kopie-id altijd moet vermelden voor wie de kopie is (er dwars overheen schrijven, of bv. de kopie-id app gebruiken). Er worden zo vaak ongemerkte kopieën ID gejat, dat het geen bewijs is.
Sowieso moet de ontvanger je kopie ergens mee kunnen vergelijken, dus ook wat dat betreft kan bv. een kopie-id geen bewijs zijn voor een bedrijf dat nog geen kopie van je id heeft.

Wat wel werkt is persoonlijk langs komen en je ID laten zien. Het bedrijf mag dan weer geen kopie ervan maken "om aan te tonen dat je er geweest bent", want daarvoor staat er weer te veel op die kopie, informatie waar het bedrijf helemaal geen recht op heeft, al helemaal niet als je wilt dat het bedrijf al hun gegevens over jou gaan wissen.

Maar ja, persoonlijk langskomen... Beetje hoge drempel?
24-02-2022, 15:21 door majortom - Bijgewerkt: 24-02-2022, 15:23
Door Anoniem:
Door Anoniem: Hoe moet je dan bewijzen wie je echt bent, als je daarvoor niet om een paspoort mag vragen? Je QR-code?
Komt eraan in je digitale ID kaart.

De Corona app heeft bewezen dat QR-codes makkelijk gebruikt kunnen worden om te bewijzen wie je bent
Als de Corona app iets niet heeft bewezen is dat je met een QR code bewijst wie je bent. Daarvoor was aanvullend een geldig legitimatiebewijs nodig, die vaak niet werd gevraagd, waardoor juist fraude met die QR code kinderlijk eenvoudig was.

De corona app heeft dus juist bewezen dat QR codes gemakkelijk misbruikt kunnen worden om te bewijzen wie je bent.
24-02-2022, 15:27 door majortom
Door Anoniem:
Door Anoniem:
Door Anoniem: Hoe moet je dan bewijzen wie je echt bent, als je daarvoor niet om een paspoort mag vragen? Je QR-code?
Wie zegt wanneer een kopie van een ID verzonden wordt dat dit door die persoon zelf gedaan is. Hoe ga je dat controleren?
Exact, het bewijzen dat je iemand bent met een kopie van iets (paspoort, ID, bankafschrift, qr code) wat je electronisch toestuurt, is natuurlijk helemaal geen bewijs!
Dat is bv. ook de reden dat je op een kopie-id altijd moet vermelden voor wie de kopie is (er dwars overheen schrijven, of bv. de kopie-id app gebruiken). Er worden zo vaak ongemerkte kopieën ID gejat, dat het geen bewijs is.
Sowieso moet de ontvanger je kopie ergens mee kunnen vergelijken, dus ook wat dat betreft kan bv. een kopie-id geen bewijs zijn voor een bedrijf dat nog geen kopie van je id heeft.

Wat wel werkt is persoonlijk langs komen en je ID laten zien. Het bedrijf mag dan weer geen kopie ervan maken "om aan te tonen dat je er geweest bent", want daarvoor staat er weer te veel op die kopie, informatie waar het bedrijf helemaal geen recht op heeft, al helemaal niet als je wilt dat het bedrijf al hun gegevens over jou gaan wissen.

Maar ja, persoonlijk langskomen... Beetje hoge drempel?
Toen ik mijn gegevens bij de GGD wilde verwijderen was het genoeg om geboortedatum, postcode en huisnummer op te geven. Iets vergelijkbaars zouden ze hier ook kunnen doen of wellicht combineren met een soort van extra "authenticatie" via email of iets dergelijks.
24-02-2022, 15:29 door Anoniem
Door Anoniem: Hoe moet je dan bewijzen wie je echt bent, als je daarvoor niet om een paspoort mag vragen? Je QR-code?
Hadden ze toen ze de gegevens van de persoon vastlegden ook een kopie van het identiteitsbewijs gevraagd om te controleren of het wel echt om de betreffende persoon ging? Ik durf te wedden van niet. Waarom hebben ze meer bewijs nodig om mensen hun gegevens te laten inzien of te laten verwijderen dan ze nodig hadden om de gegevens vast te leggen? Ze weten niet eens zeker of de naam die ze kennen wel iemands echte naam is.

Als ze beschikken over een adres, een telefoonnummer of een e-mailadres dan kunnen ze contact opnemen met degene van wie ze weten dat de gegevens zijn, en dat gebruiken om te verifiëren of het verzoek klopt. Als ze alleen een kloppende IBAN hebben dan kan het zelfs, maak 1 cent over met een code als omschrijving en vraag de verzoeker om die code te reproduceren. Met een beetje fantasie kom je een heel eind, en blijven er maar heel weinig situaties over waarin een identiteitsbewijs echt nodig is.
24-02-2022, 15:52 door Briolet
Door majortom: …Toen ik mijn gegevens bij de GGD wilde verwijderen was het genoeg om geboortedatum, postcode en huisnummer op te geven. Iets vergelijkbaars zouden ze hier ook kunnen doen….

Onveiliger kan het niet. Iedereen in jouw kennissenkring kent waarschijnlijk deze gegevens en kan dan jouw gegevens opvragen.

Ik snap de AP dan ook helemaal niet. Door dis soort acties bemoeilijken ze het opvragen van deze gegevens juist. De enige oplossing voor DPG media is volgens mij dat mensen eerst met hun paspoort langs moeten komen bij het hoofdkantoor en zich daar legitimeren.
24-02-2022, 16:34 door karma4
Rare situatie, Je krijgt een boete als je gedegen de juiste persoon probeert vast te stellen en je krijgt een boete als vrijuit informatie geeft. Zo kan je het nooit goed doen. Bij de Ap heerste dezelfde vreemde "u bent schuldig" cultuur als die waarbij de politici het toeslagenschandaal ingezet hebben. Benieuwd wat een rechter van die disproportionaliteit vindt..
24-02-2022, 17:09 door majortom
Door Briolet:
Door majortom: …Toen ik mijn gegevens bij de GGD wilde verwijderen was het genoeg om geboortedatum, postcode en huisnummer op te geven. Iets vergelijkbaars zouden ze hier ook kunnen doen….

Onveiliger kan het niet. Iedereen in jouw kennissenkring kent waarschijnlijk deze gegevens en kan dan jouw gegevens opvragen.
Het kan nog onveiliger, maar geeft wel aan hoe er bij de GGD met persoonlijke informatie wordt omgegaan. Maar goed dat mijn data daar niet meer staat.
24-02-2022, 22:02 door Anoniem
Wat zo frappant is dat bedrijven om identificatie vragen terwijl die bij het innemen van de persoonsgegevens nooit is gevraagd. Dat is dus per definitie onrechtmatig. Immers, het opvragen van een ID heeft geen enkel nut bij het authenticeren van een persoon. De gegevens daarin matchen sowieso zelden. Personen gebruiken een roepnaam, en een adres staat niet op een ID.

Authenticatie kan veel makkelijker en veiliger door een persoon een brief te sturen die terug moet worden verzonden als het email adres is gewijzigd. Of door een email te sturen en om antwoord te vragen als je bent verhuisd.

Laten we wel zijn, het is geen halszaak als je een abonnement wil opzeggen (of aanvragen). Daar is nooit een paspoort voor nodig.

Het is ontzettend krom om als je om verwijdering vraagt er eerst nog meer gegevens worden gevraagd. Een verwijderverzoek dien je in om een goede reden: je vertrouwt dat bedrijf niet met je gegevens. Dit is dan ook niets meer dan het opwerpen van een barriëre om je AVG rechten uit te oeferen. De boete tegen zulke praktijken kan niet hoog genoeg zijn.

Opzeggen en gegevens verwijderen moet nooit moelijker worden gemaakt dan het was om de gegevens te verstrekken.
24-02-2022, 23:34 door [Account Verwijderd]
Jammer dat het bedrag niet 525.000.000.000.000 was. Dat zou zelfs dat WEF schuim teveel van het goede zijn, gok ik zo.
25-02-2022, 00:50 door Anoniem
Die vijf ton, gaat er met dat geld gebeuren? Waar wordt dat bedrag aan besteed?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.