In februari 2022 hebben zowel de Nederlandse Autoriteit Persoonsgegevens (‘AP’) als de Spaanse Agencia Espanola de Protección Datos (‘AEPD’) een boete uitgedeeld aan organisaties die bij inzageverzoeken vroegen om een kopie van het legitimatiebewijs van de verzoeker. Beide boetes hebben Nederlandse “roots” vanwege de Nederlandse klagers die de aanleiding waren voor de onderzoeken van de voornoemde autoriteiten.
In dit blog wordt aan de hand van de boeterapporten en de (concept) Richtsnoeren Inzageverzoeken ingegaan op de wettelijke vereisten en de redelijke maatregelen die een organisatie mag of zelfs moet nemen om de identiteit van de verzoeker te controleren.
Recht op inzage
In het kort
De AVG biedt betrokkenen het recht op inzage in hun persoonsgegevens (artikel 15 AVG). Dit recht is er niet zozeer op gericht om integrale documenten te verstrekken, maar biedt betrokkenen voornamelijk de mogelijkheid om – aan de hand van een overzicht van hun persoonsgegevens, al dan niet in integrale documenten – te controleren of de verwerking daarvan rechtmatig is (geweest).
Het recht op inzage is opgebouwd uit 3 componenten:
- De bevestiging of inderdaad persoonsgegevens van de verzoeker worden verwerkt;
- Zo ja, inzage in de persoonsgegevens die worden verwerkt. Bijvoorbeeld door verstrekking van de documenten of een systeemuitdraai waarin de persoonsgegevens van de verzoeker voorkomen; en
- Informatie over de verwerkingsactiviteiten die plaatsvinden. Zo dient informatie te worden verstrekt over – onder andere – de doelen en de duur van de verwerking, de ontvangers van de persoonsgegevens en de landen waarin deze zich bevinden.
Altijd toelaatbaar?
Een verzoek om inzage mag in beginsel alleen worden afgewezen wanneer de inzage afbreuk zou doen aan de rechten en vrijheden van derden. Dit ziet niet alleen op privacyrechten van derden, maar kan bijvoorbeeld ook worden ingeroepen wanneer de inzage afbreuk zou kunnen doen aan de vertrouwelijkheid van bedrijfsgeheimen of andere bedrijfsvertrouwelijke informatie.
In de (concept) Richtsnoeren Inzageverzoeken voegt de European Data Protection Board (‘EDPB’) hieraan toe dat afwijzing ook op z’n plaats is wanneer duidelijk is dat het verzoek niet voortvloeit uit het privacyrecht, maar een ander doel dient. Hiermee lijkt de EDPB te doelen op het Nederlandse misbruik van recht, waarvan verschillende voorbeelden te vinden zijn in lagere rechtspraak (bijvoorbeeld hier en hier).
De identiteit van de verzoeker
Het is uiteraard van belang dat wordt gecontroleerd of de persoon die om inzage verzoekt, daartoe gerechtigd is. In beginsel staan de rechten van betrokkenen uit de AVG – logischerwijs – alleen open voor de betrokkene zelf. Dit is slechts anders wanneer de betrokkene wordt vertegenwoordigd door een derde, bijvoorbeeld in geval van kinderen jonger dan 16 of personen ten behoeve van wie een bewind of mentorschap is ingesteld.
Uit artikel 12 AVG volgt dat de verantwoordelijke – voor zover twijfel bestaat over de identiteit van de verzoeker – aanvullende informatie mag opvragen alvorens over te gaan tot de behandeling van het inzageverzoek. Deze bepaling beschermt niet alleen de belangen van betrokkenen, maar ook die van de verantwoordelijke zelf. Als persoonsgegevens worden verstrekt aan een onbevoegde derde is immers al snel sprake van een datalek, wat maakt dat de verantwoordelijke zich schuldig maakt aan (andere) overtredingen van de AVG.
De vraag is echter hoe ver voorgaande verplichting strekt: welke gegevens mogen redelijkerwijs worden opgevraagd om het verzoek te behandelen?
Welke aanvullende informatie is toegestaan?
Het antwoord op voornoemde vraag moet worden gevonden in het beginsel van dataminimalisatie enerzijds en de bescherming van persoonsgegevens anderzijds:
- Dataminimalisatie: bij het verifiëren van de identiteit van de verzoeker moeten de door een verantwoordelijke gevraagde persoonsgegevens toereikend dienen te zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
- Bescherming: zoals genoemd moet een verantwoordelijke zorgdragen voor een passende beveiliging van de door haar verwerkte persoonsgegevens, onder meer tegen ongeoorloofde of onrechtmatige verwerking.
Het beginsel van noodzakelijkheid speelt hierbij een duidelijke rol: de opgevraagde gegevens ter verificatie van de identiteit van de verzoeker dienen in verhouding te staan tot het met de verwerking daarvan te dienen doel (proportionaliteit). En dit doelmoet niet op een minder nadelige, minder ingrijpende wijze kunnen worden verwezenlijkt (subsidiariteit).
Volgens de AP komt dit neer op de volgende stappen:
1. Er moet sprake zijn van een beleid dat zo is ingericht dat de betrokkene zich op de minst ingrijpende manier moet identificeren.
- Hierbij kan bijvoorbeeld worden gedacht aan het kunnen doen van een inzageverzoek vanuit een onlineaccount dat de betrokkene al heeft of door het verstrekken van persoonsgegevens die de verantwoordelijke al verwerkt
2. Mocht de verantwoordelijke ondanks de in eerste instantie gevraagde en door de betrokkene verstrekte persoonsgegevens alsnog redenen hebben om te twijfelen aan de identiteit van de verzoeker, dan mag pas dan om aanvullende informatie worden verzocht.
- De aanvullende informatie moet aantoonbaar bijdragen aan de identificatie, aldus de AP. Leg dit ook vast, bijvoorbeeld in een register van rechten van betrokkenen.
Boetes
Zowel ten aanzien van DPG als Michael Page werd geoordeeld dat betrokkenen geen gemakkelijke, eenvoudige manier van het uitoefenen van rechten werd geboden. In beide gevallen gold immers dat ook betrokkenen die beschikten over een account standaard een kopie van hun ID moesten toesturen om inzage te verkrijgen. Dit terwijl beide partijen dus wel beschikten over informatie over de betrokkenen.
Volgens de autoriteiten was het dus onevenredig om een kopie van een identiteitsbewijs te vereisen, terwijl de identiteit van de betrokkene redelijkerwijs op een andere manier kon worden geverifieerd. Beide partijen zijn dus te makkelijk omgesprongen met de mogelijkheid om – bij uitzondering – aanvullende informatie te vereisen. Daar komt bij dat de verwerking van kopieën van identiteitsbewijzen mogelijk een groot risico voor de veiligheid van persoonsgegevens kan vormen als niet op gepaste wijze met de kopie wordt omgegaan.
De AP stelt overigens aanvullend nog dat de verantwoordelijke er niet zeker van kan zijn dat de kopie authentiek is en de eigenaar van de identiteitskaart daadwerkelijk de verzoeker is, door bijvoorbeeld (ongeoorloofde) toegang tot identiteitsbewijzen door huisgenoten en vervalste kopieën van identiteitsbewijzen. Alhoewel dat in theoretische zin een juist uitgangspunt is, kan het voorgaande ook in veel andere gevallen worden opgeworpen (bijvoorbeeld ook bij e-mailadressen of inloggegevens) en daardoor juist leiden tot voorzichtigheid bij organisaties. Dit lijkt dus tot op zekere hoogte haaks te staan op wat de AP in de rest van het boeterapport uitdraagt, namelijk dat een beperkte set gegevens in de meeste gevallen voldoende is om een persoon (op afstand) te identificeren.
DPG kreeg een boete van EUR 525.000,- en Michael Page een boete van EUR 300.000,-.
Kopie ID nooit toelaatbaar?
Het voorgaande wil overigens niet zeggen dat het verlangen van een kopie van het legitimatiebewijs nooit toelaatbaar is bij de uitoefening van rechten van betrokkenen. Althans, die lijn lijkt in de (hogere) rechtspraak eerder te zijn gevolgd. Zie een uitspraak van de Raad van State:
“Het uitgangspunt dat een kopie van een identiteitsbewijs wordt gevraagd bij een inzageverzoek, wordt niet onredelijk geacht. Dit waarborgt een deugdelijke identiteitsvaststelling zonder dat afbreuk wordt gedaan aan het recht van betrokkenen om zich vrijelijk tot het college te wenden.”
Ook de Raad van State houdt echter een slag om de arm door te oordelen dat een kopie ID niet altijd meteen doorslaggevend hoeft te zijn:
“Het college heeft in dit geval opgemerkt dat de handtekening op het verzoek en op het paspoort niet overeen kwamen met de handtekening op eerder ingediende Wob-verzoeken van een persoon met dezelfde naam die woont op hetzelfde adres. Het kon zich daarom in redelijkheid op het standpunt stellen dat daardoor twijfel is ontstaan over de identiteit van de verzoeker en alleen een kopie van het paspoort in dit geval niet voldoende was.”
Op de website van de AP staat tegenwoordig echter heel stellig dat “nooit” een volledige kopie van het volledige legitimatiebewijs mag worden gevraagd – alleen wanneer dit niet anders kan. In februari 2022 stond hier nog dat “bijna nooit” een kopie mag worden gevraagd. Ondanks dit vrij strakke uitgangspunt is het nu dus wellicht een goed moment voor organisaties om het interne beleid te herzien.
Kunt u hier hulp bij gebruiken? Neem dan contact op met Sophie Hendriks
In februari 2022 hebben zowel de Nederlandse Autoriteit Persoonsgegevens (‘AP’) als de Spaanse Agencia Espanola de Protección Datos (‘AEPD’) een boete uitgedeeld aan organisaties die bij inzageverzoeken vroegen om een kopie van het legitimatiebewijs van de verzoeker. Beide boetes hebben Nederlandse “roots” vanwege de Nederlandse klagers die de aanleiding waren voor de onderzoeken van de voornoemde autoriteiten.
In dit blog wordt aan de hand van de boeterapporten en de (concept) Richtsnoeren Inzageverzoeken ingegaan op de wettelijke vereisten en de redelijke maatregelen die een organisatie mag of zelfs moet nemen om de identiteit van de verzoeker te controleren.
Recht op inzage
In het kort
De AVG biedt betrokkenen het recht op inzage in hun persoonsgegevens (artikel 15 AVG). Dit recht is er niet zozeer op gericht om integrale documenten te verstrekken, maar biedt betrokkenen voornamelijk de mogelijkheid om – aan de hand van een overzicht van hun persoonsgegevens, al dan niet in integrale documenten – te controleren of de verwerking daarvan rechtmatig is (geweest).
Het recht op inzage is opgebouwd uit 3 componenten:
- De bevestiging of inderdaad persoonsgegevens van de verzoeker worden verwerkt;
- Zo ja, inzage in de persoonsgegevens die worden verwerkt. Bijvoorbeeld door verstrekking van de documenten of een systeemuitdraai waarin de persoonsgegevens van de verzoeker voorkomen; en
- Informatie over de verwerkingsactiviteiten die plaatsvinden. Zo dient informatie te worden verstrekt over – onder andere – de doelen en de duur van de verwerking, de ontvangers van de persoonsgegevens en de landen waarin deze zich bevinden.
Altijd toelaatbaar?
Een verzoek om inzage mag in beginsel alleen worden afgewezen wanneer de inzage afbreuk zou doen aan de rechten en vrijheden van derden. Dit ziet niet alleen op privacyrechten van derden, maar kan bijvoorbeeld ook worden ingeroepen wanneer de inzage afbreuk zou kunnen doen aan de vertrouwelijkheid van bedrijfsgeheimen of andere bedrijfsvertrouwelijke informatie.
In de (concept) Richtsnoeren Inzageverzoeken voegt de European Data Protection Board (‘EDPB’) hieraan toe dat afwijzing ook op z’n plaats is wanneer duidelijk is dat het verzoek niet voortvloeit uit het privacyrecht, maar een ander doel dient. Hiermee lijkt de EDPB te doelen op het Nederlandse misbruik van recht, waarvan verschillende voorbeelden te vinden zijn in lagere rechtspraak (bijvoorbeeld hier en hier).
De identiteit van de verzoeker
Het is uiteraard van belang dat wordt gecontroleerd of de persoon die om inzage verzoekt, daartoe gerechtigd is. In beginsel staan de rechten van betrokkenen uit de AVG – logischerwijs – alleen open voor de betrokkene zelf. Dit is slechts anders wanneer de betrokkene wordt vertegenwoordigd door een derde, bijvoorbeeld in geval van kinderen jonger dan 16 of personen ten behoeve van wie een bewind of mentorschap is ingesteld.
Uit artikel 12 AVG volgt dat de verantwoordelijke – voor zover twijfel bestaat over de identiteit van de verzoeker – aanvullende informatie mag opvragen alvorens over te gaan tot de behandeling van het inzageverzoek. Deze bepaling beschermt niet alleen de belangen van betrokkenen, maar ook die van de verantwoordelijke zelf. Als persoonsgegevens worden verstrekt aan een onbevoegde derde is immers al snel sprake van een datalek, wat maakt dat de verantwoordelijke zich schuldig maakt aan (andere) overtredingen van de AVG.
De vraag is echter hoe ver voorgaande verplichting strekt: welke gegevens mogen redelijkerwijs worden opgevraagd om het verzoek te behandelen?
Welke aanvullende informatie is toegestaan?
Het antwoord op voornoemde vraag moet worden gevonden in het beginsel van dataminimalisatie enerzijds en de bescherming van persoonsgegevens anderzijds:
- Dataminimalisatie: bij het verifiëren van de identiteit van de verzoeker moeten de door een verantwoordelijke gevraagde persoonsgegevens toereikend dienen te zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
- Bescherming: zoals genoemd moet een verantwoordelijke zorgdragen voor een passende beveiliging van de door haar verwerkte persoonsgegevens, onder meer tegen ongeoorloofde of onrechtmatige verwerking.
Het beginsel van noodzakelijkheid speelt hierbij een duidelijke rol: de opgevraagde gegevens ter verificatie van de identiteit van de verzoeker dienen in verhouding te staan tot het met de verwerking daarvan te dienen doel (proportionaliteit). En dit doelmoet niet op een minder nadelige, minder ingrijpende wijze kunnen worden verwezenlijkt (subsidiariteit).
Volgens de AP komt dit neer op de volgende stappen:
1. Er moet sprake zijn van een beleid dat zo is ingericht dat de betrokkene zich op de minst ingrijpende manier moet identificeren.
- Hierbij kan bijvoorbeeld worden gedacht aan het kunnen doen van een inzageverzoek vanuit een onlineaccount dat de betrokkene al heeft of door het verstrekken van persoonsgegevens die de verantwoordelijke al verwerkt
2. Mocht de verantwoordelijke ondanks de in eerste instantie gevraagde en door de betrokkene verstrekte persoonsgegevens alsnog redenen hebben om te twijfelen aan de identiteit van de verzoeker, dan mag pas dan om aanvullende informatie worden verzocht.
- De aanvullende informatie moet aantoonbaar bijdragen aan de identificatie, aldus de AP. Leg dit ook vast, bijvoorbeeld in een register van rechten van betrokkenen.
Boetes
Zowel ten aanzien van DPG als Michael Page werd geoordeeld dat betrokkenen geen gemakkelijke, eenvoudige manier van het uitoefenen van rechten werd geboden. In beide gevallen gold immers dat ook betrokkenen die beschikten over een account standaard een kopie van hun ID moesten toesturen om inzage te verkrijgen. Dit terwijl beide partijen dus wel beschikten over informatie over de betrokkenen.
Volgens de autoriteiten was het dus onevenredig om een kopie van een identiteitsbewijs te vereisen, terwijl de identiteit van de betrokkene redelijkerwijs op een andere manier kon worden geverifieerd. Beide partijen zijn dus te makkelijk omgesprongen met de mogelijkheid om – bij uitzondering – aanvullende informatie te vereisen. Daar komt bij dat de verwerking van kopieën van identiteitsbewijzen mogelijk een groot risico voor de veiligheid van persoonsgegevens kan vormen als niet op gepaste wijze met de kopie wordt omgegaan.
De AP stelt overigens aanvullend nog dat de verantwoordelijke er niet zeker van kan zijn dat de kopie authentiek is en de eigenaar van de identiteitskaart daadwerkelijk de verzoeker is, door bijvoorbeeld (ongeoorloofde) toegang tot identiteitsbewijzen door huisgenoten en vervalste kopieën van identiteitsbewijzen. Alhoewel dat in theoretische zin een juist uitgangspunt is, kan het voorgaande ook in veel andere gevallen worden opgeworpen (bijvoorbeeld ook bij e-mailadressen of inloggegevens) en daardoor juist leiden tot voorzichtigheid bij organisaties. Dit lijkt dus tot op zekere hoogte haaks te staan op wat de AP in de rest van het boeterapport uitdraagt, namelijk dat een beperkte set gegevens in de meeste gevallen voldoende is om een persoon (op afstand) te identificeren.
DPG kreeg een boete van EUR 525.000,- en Michael Page een boete van EUR 300.000,-.
Kopie ID nooit toelaatbaar?
Het voorgaande wil overigens niet zeggen dat het verlangen van een kopie van het legitimatiebewijs nooit toelaatbaar is bij de uitoefening van rechten van betrokkenen. Althans, die lijn lijkt in de (hogere) rechtspraak eerder te zijn gevolgd. Zie een uitspraak van de Raad van State:
“Het uitgangspunt dat een kopie van een identiteitsbewijs wordt gevraagd bij een inzageverzoek, wordt niet onredelijk geacht. Dit waarborgt een deugdelijke identiteitsvaststelling zonder dat afbreuk wordt gedaan aan het recht van betrokkenen om zich vrijelijk tot het college te wenden.”
Ook de Raad van State houdt echter een slag om de arm door te oordelen dat een kopie ID niet altijd meteen doorslaggevend hoeft te zijn:
“Het college heeft in dit geval opgemerkt dat de handtekening op het verzoek en op het paspoort niet overeen kwamen met de handtekening op eerder ingediende Wob-verzoeken van een persoon met dezelfde naam die woont op hetzelfde adres. Het kon zich daarom in redelijkheid op het standpunt stellen dat daardoor twijfel is ontstaan over de identiteit van de verzoeker en alleen een kopie van het paspoort in dit geval niet voldoende was.”
Op de website van de AP staat tegenwoordig echter heel stellig dat “nooit” een volledige kopie van het volledige legitimatiebewijs mag worden gevraagd – alleen wanneer dit niet anders kan. In februari 2022 stond hier nog dat “bijna nooit” een kopie mag worden gevraagd. Ondanks dit vrij strakke uitgangspunt is het nu dus wellicht een goed moment voor organisaties om het interne beleid te herzien.
Kunt u hier hulp bij gebruiken? Neem dan contact op met Sophie Hendriks