De rechtbank Amsterdam heeft de Autoriteit Persoonsgegevens op de vingers getikt. De AP heeft aan uitgeverij DPG Media een boete opgelegd van EUR 525.000,- voor opvragen van een kopie identiteitsbewijs (ID) van betrokkenen ter verificatie van hun identiteit. DPG is met succes in beroep gegaan bij de rechtbank.
DPG vroeg betrokkenen om een kopie ID ter verificatie van hun identiteit als voorwaarde om hun verzoek om inzage of wissing (verder) in behandeling nemen. DPG vroeg deze informatie standaard en op voorhand op wanneer betrokkenen buiten de online inlogomgeving een verzoek deden. Daarbij onderzocht DPG niet of zij de betrokkene op een andere wijze kon identificeren. Volgens de AP is deze standaard uitvraag – gezien het proces en de aard van de verwerkte gegevens - onevenredig en werpt het een ongeoorloofde drempel op voor betrokken om hun rechten uit te oefenen.
In de praktijk bestaat een spanningsveld tussen het faciliteren van de rechten van betrokkenen in de zin van artikel 12 lid 2 AVG en de verplichte controle van de identiteit. De AP heeft volgens de rechtbank de juiste norm toegepast. Het begrip ‘faciliteren’ in de zin van artikel 12 lid 2 AVG betekent dat een verwerkingsverantwoordelijke moet voorzien in een regeling die het mogelijk maakt om de rechten uit te oefenen, zonder onnodige belemmeringen. De verplichte controle van de identiteit van de aanvrager kan een belemmering opleveren, maar deze belemmering mag niet onnodig zijn. DPG nam de beginselen van proportionaliteit, subsidiariteit en dataminimalisatie niet in acht. Zo werd ten onrechte het BSN, documentnummer en de foto van het ID verwerkt (strijd met dataminimalisatie) en werd ongeacht de aard van het verzoek het ID gevraagd (strijd met proportionaliteit, subsidiariteit). Het feit dat er in de praktijk wel meer ruimte bestond om af te wijken van de verplichte ID-controle, vindt de rechtbank niet relevant. DPG had haar proces zo in kunnen richten dat er in een eerder stadium meer ruimte was om rekening te houden met alle relevante omstandigheden, waaronder de aard van het verzoek en de informatie waarom wordt gevraagd. Deze beoordeling verrast niet en is in lijn met eerdere rechtspraak van de Raad van State over de identificatieplicht. Daarin is reeds bevestigd dat een kopie van een identiteitsbewijs op zichzelf geen onredelijk middel is om een persoon te identificeren. Ook de EDPB keurt het gebruik van een kopie ID niet per definitie af. In haar Richtsnoeren over het recht van inzage (Guidelines 01/2022)(1) wordt echter wel aangegeven dat een kopie ID in beginsel niet gepast is (“should be considered inappropriate)” tenzij noodzakelijk, geschikt en in lijn met nationaal recht.
De hoogte van de boete moet volgens vaste jurisprudentie passen bij de ernst van de overtreding en de mate waarin deze aan de overtreder kan worden verweten. Daarbij moet rekening worden gehouden met de omstandigheden waaronder de overtreding is gepleegd (art. 5:46 lid 2 Awb). De rechtbank oordeelt dat de AP in dit geval niet had mogen overgaan tot het opleggen van de boete omdat zij onvoldoende oog had voor de volgende omstandigheden:
DPG is niet lichtzinnig omgegaan met haar plichten als verwerkingsverantwoordelijke, maar heeft enkel een onjuiste inschatting gemaakt van het vereiste evenwicht tussen databescherming en het faciliteren van andere rechten uit de AVG. Er is geen sprake van ernstig verwijtbaar handelen.
De AVG was nog maar net in werking getreden en de AP deed vooral aan voorlichting.
De AP had op basis van de eerste reactie van DPG moeten aangeven dat het beleid van DPG aangepast moest worden om te voldoen aan de AVG. Dat heeft de AP blijkbaar niet gedaan. Daarnaast heeft de AP gedurende het onderzoek steeds maanden gewacht met vervolgacties. Het langdurige karakter van de overtreding is volgens de rechtbank daarom niet aan DPG Media wijten.
DPG had het beleid al uit eigen beweging gewijzigd op het moment dat het concept rapport van de AP verscheen.
De overtreding van artikel 12 lid 2 AVG zag op de minderheid van de verzoeken van betrokkenen. In verreweg de meeste inzageverzoeken, namelijk die binnen de online inlogomgeving, was geen sprake was van een overtreding van artikel 12 lid 2 AVG omdat op een andere manier de identiteit werd geverifieerd.
Volgens de rechtbank is de overtreding van DPG dus niet ernstig (genoeg) en is het langdurige karakter van de overtreding (als gevolg van de lange reactietermijnen van de AP) niet aan DPG te wijten. De AP had onder deze omstandigheden geen boete mogen opleggen. De rechtbank verwijst in dit kader ook naar alternatieve maatregelen die de AP had kunnen opleggen, zoals een waarschuwing of berisping.
Dit is niet de eerste keer dat een boetebesluit van de Autoriteit Persoonsgegevens met succes wordt aangevochten. Naast de vernietiging van de boete tegen VoetbalTV (ECLI:NL:RVS:2022:2173) matigde de rechtbank Den Haag bijvoorbeeld de boete van het HagaZiekenhuis (ECLI:NL:RBDHA:2021:3090) (gluren in Barbie-dossier) van EUR 460.000,- tot EUR 350.000,- omdat het ziekenhuis mitigerende maatregelen had genomen en tijdens de bezwaarfase alsnog de tweefactor authenticatie had ingevoerd en de logging geïntensiveerd. Deze acties nuanceerden de nalatigheid van het ziekenhuis, aldus de rechtbank. Ook in een recente uitspraak van de Rechtbank Gelderland werd de boete aan het BKR van EUR 830.000,- gematigd tot EUR 668.000,- wegens samenhang tussen de overtredingen en de aanwezigheid van verlichtende omstandigheden (ECLI:NL:RBGEL:2023:4071)(2).
Hoewel de rechtbank onder deze omstandigheden ook had kunnen kiezen voor matiging van de boete (de overtreding staat immers vast), veegt zij de hele boete van tafel. Daarmee geeft de rechter een duidelijk signaal af aan de AP om de ernst van de overtreding zwaarder te laten wegen en de eigen processen te verbeteren. De vernietiging van de boete aan DPG zorgt er mogelijk voor dat de AP haar boetes zal bewaren alleen voor de zwaardere gevallen.
Of de AP in beroep gaat tegen de uitspraak is nog niet duidelijk. De AP laat op haar website weten de uitspraak te bestuderen.
https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBAMS:2023:5074&showbutton=true&keyword=2023%253a5074&idx=1;
https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_en;
https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBGEL:2023:4071;