image

Recruitmentbureau Michael Page krijgt boete voor onnodig opvragen id-bewijs

maandag 21 maart 2022, 16:07 door Redactie, 5 reacties

Recruitmentbureau Michael Page heeft na een klacht van een Nederlandse vrouw een GDPR-boete van 300.000 euro gekregen omdat mensen die hun gegevens wilden inzien onder meer een volledige kopie van hun identiteitsbewijs moesten opsturen. Omdat het bedrijf niet in beroep ging en de boete meteen betaalde kreeg het een korting van twintig procent, waardoor het uiteindelijke bedrag op 240.000 euro uitkwam (pdf).

De Nederlandse die zich over het recruitmentbureau had beklaagd wilde van het bureau weten welke persoonsgegevens het van haar had verzameld. Artikel 15 van de Algemene verordening gegevensbescherming (AVG) stelt dat een persoon aan organisaties kan vragen of er persoonsgegevens van hem worden verwerkt, om welke gegevens het gaat, waarom en op welke manier de verwerking plaatsvindt. Michael Page wilde de Nederlandse alleen inzage geven in haar gegevens als zij zich zou identificeren door een volledige kopie van haar identiteitsbewijs en verzekeringspas op te sturen.

Tevens eiste het bureau een kopie van een recente energie- of waterrekening, om te controleren of haar adres klopte. "Michael Page eiste hiermee onnodig extra persoonsgegevens. Het bureau had deze persoonsgegevens niet nodig om te controleren of degene die inzage in haar persoonsgegevens vroeg, ook was wie zij zei", aldus de Autoriteit Persoonsgegevens. De vrouw had namelijk ook een account bij Michael Page, waar alleen zij toegang tot had. "Dat is voldoende", voegt de Nederlandse privacytoezichthouder toe.

De Nederlandse had haar klacht bij de AP ingediend. Omdat de beslissingen van het recruitmentbureau op dit gebied in de Spaanse vestiging van het bedrijf werden genomen, voerde de Spaanse toezichthouder het onderzoek uit, in samenwerking met de Nederlandse privacytoezichthouder. Eerder besloot de Autoriteit Persoonsgegevens om mediabedrijf DPG Media een boete van 525.000 euro op te leggen voor het onnodig opvragen van een identiteitsbewijs van mensen die hun gegevens wilden inzien of laten verwijderen.

Reacties (5)
21-03-2022, 21:54 door Anoniem
.. is mevrouw niet zelf akkoord gegaan met het privacy beleid van Michael page waarin staat dat om haar gegevens weer in te zien dat zij haar id kaart of passport moest opsturen.

Opzich is hier toch niets mis mee.. ik denk dat 9/10 websites het zelfde beleid hebben hier omtrent.
22-03-2022, 01:28 door Anoniem
Dit geldt ook voor de GGD in Nederland. Je logt in met nota bene je DigiD, dus ze weten echt wel wie je bent. Maar wil je vervolgens je account voor vaccinatiegegevens wissen (waar je nooit om gevraagd hebt), dan willen ze wel even een kopie van je paspoort hebben (via email ook nog!!!). Helemaal niet goed bij hun hoofd.
Een knop binnen de omgeving waar je me DidiD toegang toe krijgt om een verwijderingsverzoek in te dienen is voldoende. Ze hebben je identiteit al gecontroleerd bij het inloggen.
22-03-2022, 06:57 door Anoniem
Door Anoniem: .. is mevrouw niet zelf akkoord gegaan met het privacy beleid van Michael page waarin staat dat om haar gegevens weer in te zien dat zij haar id kaart of passport moest opsturen.

Opzich is hier toch niets mis mee.. ik denk dat 9/10 websites het zelfde beleid hebben hier omtrent.

Algemene voorwaarden kunnen worden 'vernietigd', indien ze niet in overeenstemming zijn met de wet. Ook al had het daar dus in gestaan, dan had het niet in overeenstemming geweest met de GDPR (bv. data minimalisatie).

Hopelijk wordt dit zo ook weer wat duidelijker voor andere bedrijven en geeft het een insteek om hun eigen proces hieromtrent te herzien.
22-03-2022, 07:50 door Anoniem
Door Anoniem: .. is mevrouw niet zelf akkoord gegaan met het privacy beleid van Michael page waarin staat dat om haar gegevens weer in te zien dat zij haar id kaart of passport moest opsturen.

Opzich is hier toch niets mis mee.. ik denk dat 9/10 websites het zelfde beleid hebben hier omtrent.
Een privacybeleid is geen document waarmee je in kan stemmen. Het is een zuiver eenzijdige verklaring over hoe de verantwoordelijke omgaat met de verwerking. Je kan bovendien toestemming niet als grondslag gebruiken voor het beperken van rechten van betrokkenen of als grondslag voor een bovenmatige gegevensverwerking.
22-03-2022, 08:36 door Anoniem
Door Anoniem: .. is mevrouw niet zelf akkoord gegaan met het privacy beleid van Michael page waarin staat dat om haar gegevens weer in te zien dat zij haar id kaart of passport moest opsturen.

Opzich is hier toch niets mis mee.. ik denk dat 9/10 websites het zelfde beleid hebben hier omtrent.

De wet gaat voor op het privacy beleid van een bedrijf.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.