De zitting De Autoriteit Persoonsgegevens legde uitgever DPG Media 525.000 euro boete op voor onnodig opvragen van kopieën van identiteitsbewijzen. Ook de Raad van State vindt het een ernstige overtreding, maar matigt de boete.
De Autoriteit Persoonsgegevens ontvangt in 2018 en 2019 vijf klachten over DPG Media Magazines, dan nog Sanoma. Volgens de klagers vraagt het mediabedrijf ten onrechte om een kopie van het identiteitsbewijs ter verificatie van hun identiteit, als voorwaarde om hun verzoeken om inzage in persoonsgegevens of wissen ervan in behandeling te nemen.
De toezichthouder stelt onderzoek in naar de werkwijze van DPG bij mensen die, net als de klagers, buiten de beveiligde inlogomgeving zo’n verzoek indienen, per brief, e-mail of webformulier. DPG krijgt in de herfst van 2021 bericht over het voornemen van de Autoriteit Persoonsgegevens tot handhaving, en ontvangt begin 2022 een boete van 525.000 euro.
DPG gaat in bezwaar en stapt naar de rechtbank. Die oordeelt dat DPG een overtreding heeft begaan, maar vindt de boete niet terecht. Beide partijen gaan daarop in hoger beroep.
De Afdeling bestuursrechtspraak van de Raad van State stelt vast dat de werkwijze van DPG onnodige drempels opwerpt door van mensen buiten de beveiligde inlogomgeving standaard een kopie van het identiteitsbewijs te vragen, en dit als voorwaarde te stellen om een verzoek om inzage in of wissen van hun persoonsgegevens in behandeling te nemen. Dat een afgeschermde kopie, met minder informatie, ook een optie was, stond weliswaar in DPG’s privacyverklaring, maar dat meldde het mediabedrijf niet steeds aan verzoekers. Méér informatie vragen dan nodig is, zoals een BSN-nummer en een handtekening, is in strijd met de wet. Bovendien waren ook minder ingrijpende verificatiemethoden mogelijk geweest, zoals e-mailverificatie, aldus de Afdeling bestuursrechtspraak.
Dat DPG een boete kreeg, was volgens die afdeling terecht. DPG was herhaaldelijk in de fout gegaan, en bij een groot mediabedrijf dat veel persoonsgegevens verwerkt, is extra zorgvuldigheid op zijn plaats. Toch halveerde de Afdeling bestuursrechtspraak de boete, omdat alleen een relatief kleine groep om een kopie was gevraagd, namelijk degenen ‘buiten de inlogomgeving’. Bovendien staakte DPG deze werkwijze voordat de Autoriteit Persoonsgegevens met het voornemen tot handhaving kwam.
Elfahmi el Bouazati, senior ICT-jurist bij ICTRecht, vindt het terecht dat de Afdeling bestuursrechtspraak concludeert dat er een overtreding was en heeft begrip voor de halvering van de boete: „De Autoriteit Persoonsgegevens hield wel erg stug vast aan de hoogte van de boete. De toezichthouder gaf geen heldere motivering, terwijl het hier duidelijk om een onbewuste overtreding ging.”
El Bouazati: „De Autoriteit Persoonsgegevens geeft op de website do’s en don’ts bij identificatie en verificatie. De voorlichting van de toezichthouder hierover is echter oppervlakkig, waardoor gegevensverwerkers het belang van zorgvuldige identificatie en verificatie onderschatten en niet goed weten hoe ze hiermee om moeten gaan. Opleggen van flinke boetes is eigenlijk pas terecht als de Autoriteit Persoonsgegevens meer duidelijkheid verschaft.”
Volgens El Bouazati is er te weinig aandacht voor de risico’s van het online opvragen en bewaren van kopieën van identiteitsbewijzen: „Dat zie je bijvoorbeeld ook in de financiële sector.” Hij wijst op een zaak bij de Hoge Raad tegen International Card Services (ICS). Die creditcardmaatschappij wilde dat een klant zich vanwege een hernieuwd cliëntenonderzoek online zou identificeren met behulp van een kopie van zijn identiteitsbewijs. Dat weigerde de klant herhaaldelijk, waarop ICS diens creditcard blokkeerde.
El Bouazati: „De procureur-generaal bij de Hoge Raad concludeerde dat ICS zo’n kopie mag opvragen, omdat de Wet ter voorkoming van witwassen en financieren van terrorisme dat toelaat. Maar die wet komt uit de tijd dat iemands identiteit vaak nog fysiek of met een papieren kopie gecontroleerd werd. Ik hoop dat de Hoge Raad, als die straks uitspraak in deze zaak doet, aandacht besteedt aan de beperkingen van de wet en de risico’s van digitale verwerking. Zo kijkt de wet niet zorgvuldig naar de hele keten van betrokken partijen. Want wie krijgen allemaal toegang tot die gegevens? Zit daar een ICT-leverancier achter? Worden kopieën ook voor andere doeleinden gebruikt?”
Waarschijnlijk vanaf eind volgend jaar kan online identificatie en verificatie anders worden ingericht. Dan moeten EU-lidstaten hun burgers een zogenoemde EDI-wallet beschikbaar stellen. Dat is een digitale identificatie-tool waarin persoonlijke gegevens veilig kunnen worden opgeslagen en gedeeld met overheidsorganisaties en bedrijven. El Bouazati: „Dat is op zich positief, maar ook daar zitten haken en ogen aan. Zo kan je nu wel zeggen dat zo’n identificatie op vrijwillige basis is, maar echte vrijwilligheid betekent dat burgers zich ook fysiek kunnen identificeren. In de praktijk werkt dat niet, omdat dienstverleners die mogelijkheid niet bieden, ook niet op verzoek. Dat illustreert dat het tijd is voor een maatschappelijke discussie over hoe we in brede zin met digitale identificatie omgaan.”
Details uitspraak
Afdeling bestuursrechtspraak van de Raad van State, 24 september 2025, ECLI:NL:RVS:2025:4562
Olivia den Hollander is verbonden aan The Investigative Desk, een groep gespecialiseerde onderzoeksjournalisten
NIEUW: Geef dit artikel cadeauAls NRC-abonnee kun je elke maand 10 artikelen cadeau geven aan iemand zonder NRC-abonnement. De ontvanger kan het artikel direct lezen, zonder betaalmuur.
Een overzicht van de verhalen die de economieredactie vandaag heeft gemaakt
Source: NRC