Raad van State halveert AVG-boete DPG Media voor onnodig opvragen id-bewijs
De Raad van State heeft een AVG-boete van 525.000 euro gehalveerd die DPG Media van de Autoriteit Persoonsgegevens (AP) kreeg opgelegd wegens het onnodig opvragen van identiteitsbewijzen aan mensen die hun gegevens wilden inzien of laten verwijderen. Eerder oordeelde de rechtbank Amsterdam dat de AP geen boete had mogen opleggen, ook al had DPG Media wel de AVG overtreden.
Wie wilde weten welke persoonsgegevens DPG Media bijhield, of gegevens wilde laten wissen, moest eerst een identiteitsbewijs uploaden of opsturen. Daarnaast werden deze personen niet door DPG Media ingelicht dat zij gegevens daarvan mochten afschermen. Daardoor vroeg het mediabedrijf te veel persoonsgegevens op. Het ging om klanten van DPG Media die geen online account bij het mediabedrijf hadden aangemaakt. Deze klanten konden moeilijker bij hun gegevens om ze in te zien of te wijzigen.
DPG stelde dat zolang het de identiteit van de verzoeker niet kan vaststellen, de AVG niet van toepassing is. Verder stelde het mediabedrijf dat het vragen van een kopie identificatiebewijs noodzakelijk is om zo te voorkomen dat een kopie van de persoonsgegevens aan de verkeerde persoon worden verstrekt of persoonsgegevens van de verkeerde persoon worden verwijderd. De AP was het hier niet mee eens. De toezichthouder concludeerde dat DPG met haar beleid en het actief uitdragen ervan het recht van inzage en gegevenswissing van personen belemmerde. Daarbij wierp het bedrijf onnodige drempels op voor het kunnen inzetten van deze rechten.
De Autoriteit Persoonsgegevens vond een boete van 525.000 euro passend. DPG Media ging hier tegen in beroep. Op 10 augustus 2023 oordeelde de rechtbank Amsterdam dat DPG Media de AVG had overtreden, maar dat de AP in de gegeven omstandigheden geen boete had mogen opleggen. De AP ging tegen deze uitspraak bij de Raad van State in beroep en krijgt daar deels gelijk.
De Raad van State stelt dat de AP wel een boete aan DPG Media wegens het overtreden van de AVG mocht opleggen. "In dit geval staat vast dat in minimaal vijf afzonderlijke gevallen een verzoek om inzage in of wissing van persoonsgegevens niet in behandeling werd genomen zolang er geen kopie van het identiteitsbewijs was verstrekt. Dat beleid is aan te merken als een door nalatigheid veroorzaakte inbreuk." De AP mocht dan ook oordelen dat er sprake was van een ernstige overtreding, aldus de Raad van State. Die stelt, in tegenstelling tot de rechtbank Amsterdam, dat de toezichthouder wel handhavend mocht optreden en een boete voor deze overtreding mocht opleggen.
Wel vindt de Raad van State dat de oorspronkelijke boete van 525.000 euro moet worden gehalveerd. In de praktijk ging het om een relatief klein aantal personen, werden de ontvangen identiteitsbewijzen niet langer dan een maand bewaard en daarna vernietigd en wijzigde DPG Media het beleid ruim voordat de AP tot handhaving over ging. Daarnaast zou DPG Media met het beleid niet hebben geprobeerd om te voorkomen dat abonnees inzage- of verwijderverzoeken zouden doen. Dit is voor de Raad van State aanleiding om de boete te halveren tot 262.500 euro. DPG Media won eerder dit jaar een Big Brother Award, de prijs voor de grootste privacyschender van Nederland.
Het kan toch niet zo zijn dat je simpelweg de gegevens van een willekeurig iemand kan laten verwijderen.
Sterker nog als je ook persoonsgegevens verstrekt als iemand daar om vraagt is dat dan niet veel erger.
Op die manier kan ik dus de gegevens van iedereen opvragen en dat is een regelrecht datalek.
Het is dus noodzakelijk de identiteit vast te stellen zodat gegevens niet in verkeerde handen komen.
Maar hoe dat dan zou moeten daar laten noch de AP noch de rechter zich over uit.
Echt waar, hou is op. Er is niks "extreemlinks" aan de RvA. En vraag nirt wat de Telegraaf in de 2e wereld oorlog deed.
Iets met gras aanraken en zeggen tegen je vrouw of man dat je van hen houd.
Echt waar, hou is op. Er is niks "extreemlinks" aan de RvA. En vraag nirt wat de Telegraaf in de 2e wereld oorlog deed.
Iets met gras aanraken en zeggen tegen je vrouw of man dat je van hen houd.
Nou, de raad van state en DPG media zijn wel degelijk twee handen op een buik.
RvS = Thom de Graaf (D66).
DPG krijgt miljoenen uit Brussel voor EU propaganda (ook D66)
En zo is het balletje weer rond.
Echt waar, hou is op. Er is niks "extreemlinks" aan de RvA. En vraag nirt wat de Telegraaf in de 2e wereld oorlog deed.
Iets met gras aanraken en zeggen tegen je vrouw of man dat je van hen houd.
Nou, de raad van state en DPG media zijn wel degelijk twee handen op een buik.
RvS = Thom de Graaf (D66).
DPG krijgt miljoenen uit Brussel voor EU propaganda (ook D66)
En zo is het balletje weer rond.
Het was niet alleen de Telegraaf die onder Duits toezicht stond. Ook de Residentiebode, de Courant/Het Nieuws van de Dag en de Nieuwe Rotterdamse Courant (NRC) stonden onder Duits toezicht en waren bovengronds. Ook een aantal van die kranten verspreidden pro-Duitse berichten.
Hoewel de Waarheid (CPN) later ondergronds ging, was dat niet in het begin van de oorlog zo. Ook het Algemeen Handelsblad werd tijdens de Bezetting 'gelijkgeschakeld' en stond onder streng toezicht van de Duitse autoriteiten zodat de inhoud pro-Duits werd. Verder waren De Standaard, de Maasbode en De Volkskrant bovengronds en werden ze gedwongen pro-Duitse berichten te publiceren. Bovengronds waren verder de Amersfoortse Courant, het Utrechts Dagblad en De Leeuwarder Courant. Ook zij werden verplicht gelijkgeschakeld.
Het kan toch niet zo zijn dat je simpelweg de gegevens van een willekeurig iemand kan laten verwijderen.
Op die manier kan ik dus de gegevens van iedereen opvragen en dat is een regelrecht datalek.
Het is dus noodzakelijk de identiteit vast te stellen zodat gegevens niet in verkeerde handen komen.
Maar hoe dat dan zou moeten daar laten noch de AP noch de rechter zich over uit.
En als ze gegevens hebben verzameld over iemand die geen abonnement heeft, dan hebben ze gegevens van iemand die nooit een naam heeft opgegeven en voegt een scan van een id-bewijs hoe dan ook niets toe. Dan moeten ze de technieken die zijn gebruikt om meerdere bezoeken van de website aan dezelfde persoon te koppelen inzetten om de gegevens bij dat verzoek terug te vinden. Ze zullen vast argumenteren dat dat te ingewikkeld en te belastend wordt, maar eigenlijk vind ik dat geen excuus als ze het niet te belastend vonden om profielen van bezoekers op te bouwen, of dat te laten doen door een advertentienetwerk.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Netwerkspecialist
Maak jij gemeente Delft digitaal sterker met jouw kennis van netwerken? Wil jij werken met een state-of-the-art netwerk en meebouwen aan de digitale toekomst van Delft? Bij ons combineer je strategie en uitvoering: van het ontwerpen van netwerkarchitectuur tot het oplossen van complexe incidenten. Zo maak jij écht impact, niet alleen op onze organisatie, maar op heel de stad.
Subsidie
Veel IT-dienstverleners wijzen hun mkb-klanten nu op deze cybersubsidie:
Mijn Cyberweerbare Zaak
Ontdek waarom
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?