Bij recht op inzage persoonsgegevens (AVG) is zorgvuldigheid geboden

De Spaanse privacytoezichthouder Agencia Española de Protección de Datos (AEPD) heeft recruitmentbureau Michael Page een boete van 240.000 euro opgelegd. Het bureau krijgt die boete omdat mensen die hun gegevens willen inzien een kopie van hun identiteitsbewijs moesten opsturen. De AEPD startte het onderzoek na een klacht van een Nederlandse burger. De boete is daarom afgestemd met de Autoriteit Persoonsgegevens (AP).

De klacht werd namelijk ingediend bij de AP in Nederland. Echter maakt de Spaanse vestiging van het recruitmentbureau de beslissingen op dit gebied. Daarom voerde de Spaanse toezichthouder het onderzoek naar recruitmentbureau Michael Page uit. Dit gebeurde in samenwerking met de AP.

Recht op inzage

De Nederlandse had zich ingeschreven bij het recruitmentbureau. En wilde vervolgens van het bureau weten welke persoonsgegevens het van haar had verzameld. Dit recht op inzage is een recht dat iedereen in Europa heeft, op basis van de privacywet Algemene verordening gegevensbescherming (AVG). Dergelijke rechten zijn geregeld in de artikelen 15 t/m 22 van de AVG, waarbij soms de artikelen 21 en 22 AVG niet mee lijken te doen en soms weer wel.

Michael Page wilde de Nederlandse alleen inzage geven in haar gegevens als zij zich zou identificeren door een volledige kopie van haar identiteitsbewijs en een kopie van haar verzekeringspas op te sturen. Daarnaast eiste het bureau een kopie van een recente energie- of waterrekening, om te controleren of haar adres klopte.

Onnodig

Michael Page eiste hiermee onnodig extra persoonsgegevens aldus de AEPD. Het bureau had deze persoonsgegevens niet nodig om de identiteit van de aanvrager te controleren. Deze persoon had namelijk ook een account bij Michael Page, waar alleen zij toegang tot had. Dat is voldoende.

Identiteitsfraude

Bovendien is het opvragen van een identiteitsbewijs een erg zwaar middel. Organisaties mogen dat alleen in zeer uitzonderlijke gevallen doen.
De risico’s zijn namelijk groot. Zo kunnen kopieën van een identiteitsbewijs bijvoorbeeld via een ransomware-aanval of een ander datalek in verkeerde handen komen. Dat kan tot identiteitsfraude leiden. En grote gevolgen hebben voor de mensen achter deze persoonsgegevens.

Gevolgen voor de praktijk

Vooral voor bedrijven die werken met een online account lijkt de boodschap te zijn dat het uitoefenen van rechten op grond van de AVG vooral via dat account moet worden geregeld, zodat daarmee de noodzaak voor een extra controle op de juistheid van de persoon vervalt, zie ook overweging 57 van de AVG.

Voor verwerkingsverantwoordelijken die niet met accounts werken, is het echter de vraag op welke wijze zij wel de identiteit van de klager kunnen controleren wanneer zij de identiteit van de betrokkene niet kunnen vaststellen. Als zonder controle wordt voldaan aan het inzagerecht, terwijl achteraf blijkt dat daarmee deze gegevens in handen zijn gevallen van anderen dan de betrokkene, zijn immers de rapen gaar.

Regelgeving AVG

Artikel 11 AVG regelt het als volgt. Indien de doeleinden waarvoor een verwerkingsverantwoordelijke persoonsgegevens verwerkt, niet of niet meer vereisen dat hij een betrokken identificeert, is hij niet verplicht om, uitsluitend om aan de AVG te voldoen, aanvullende gegevens ter identificatie van de betrokken bij te houden, te verkrijgen of te verwerken. Wanneer de verwerkingsverantwoordelijke kan aantonen dat hij de betrokkene niet kan identificeren, stelt hij de betrokken daarvan in kennis. In dergelijke gevallen zijn de artikel 15 t/m 20 AVG niet van toepassing. Tenzij de betrokkene alsnog aanvullende gegevens verstrekt die het mogelijk maken om hem te identificeren.

In artikel 12 AVG worden de verplichtingen van de verwerkingsverantwoordelijke ten aanzien van de uitoefening van de rechten van de betrokkenen op grond van de artikelen 15 t/m 22 AVG geregeld. In lid 6 van artikel 12 AVG is geregeld dat onverminderd artikel 11 AVG de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient als bedoeld in de artikel 15 t/m 21 AVG, om aanvullende informatie kan vragen die nodig is ter bevestiging van de identiteit van de betrokkene.

Hier lijken de regelingen van artikel 11 en 12 AVG elkaar in de wielen te rijden. Volgens artikel 11 AVG kan de verwerkingsverantwoordelijke niet verplicht worden om aanvullende gegevens op te vragen als hij de identiteit van de betrokkene niet kan vaststellen, terwijl artikel 12 AVG wel die mogelijkheid tot het opvragen van aanvullende gegevens openstelt.

Evenwel laat artikel 12 AVG de regeling van artikel 11 AVG onverlet. Dus wanneer identificatie van de betrokkene niet mogelijk is, is het voldoende om dat aan de betrokkene te laten weten. Deze kan dan zelf beslissen of en welke aanvullende gegevens deze aan de verwerkingsverantwoordelijke ter beschikking stelt.

Meer over privacyrecht

Wilt u meer weten over de AVG of heeft u nog vragen over het privacyrecht? Neem dan geheel vrijblijvend contact op met een van de gespecialiseerde advocaten van Fruytier Lawyers in Business, zij helpen u graag verder.