Vorige maand werd de boete van de Autoriteit Persoonsgegevens (AP) aan DPG Media voor het onrechtmatig verwerken van kopieën van identiteitsbewijzen bij inzageverzoeken bevestigd door de Afdeling Bestuursrechtspraak van de Raad van State (de Afdeling). Deze zaak speelde al sinds 2022. De lagere rechter oordeelde dat de AVG wel was overtreden, maar dat een boete niet op zijn plaats was. De AP ging daartegen in beroep bij de Afdeling en werd in het gelijk gesteld; de boete werd echter wel gehalveerd van €525.000 naar €262.500.
Hoe zit het precies met het verwerken van identiteitsbewijzen bij verzoeken op grond van de AVG? In deze blog staan we kort stil bij de uitspraak van de Afdeling en de regels over het verwerken van identiteitsbewijzen.
De uitspraak
Recht op inzage en verwijdering van persoonsgegevens
Wanneer jouw persoonsgegevens worden verwerkt, heb je bepaalde rechten in de AVG, waaronder het recht op inzage en het recht op verwijdering van je gegevens. Degene die jouw gegevens verwerkt (de verwerkingsverantwoordelijke) is verplicht de uitoefening van deze rechten (kosteloos) te faciliteren. De boete die aan DPG Media in 2022 werd opgelegd, zag op het niet voldoende faciliteren van deze rechten, door aan iedereen die zijn rechten uitoefende eerst een kopie van een identiteitsbewijs te vragen. De reden hiervoor was simpelweg het identificeren van degene die het verzoek deed, wat ook moet volgens de AVG. De persoon in kwestie moet immers kunnen bewijzen dat het om zijn eigen persoonsgegevens gaat.
Kopie van ID-kaart vragen bij inzageverzoek is een te hoge drempel
Om hiervoor een kopie van een ID-kaart te vragen, ging volgens de rechter te ver. Het gaat immers om zeer persoonlijke en gevoelige gegevens waar misbruik van kan worden gemaakt, met name door identiteitsfraude. Door mensen te verplichten deze gegevens af te staan voor een eenvoudig inzageverzoek, creëer je een te hoge drempel voor zo’n verzoek.
Niet-afgeschermde kopie van identiteitsbewijs bevat veel persoonsgegevens
De Afdeling bevestigt dit: “Een niet-afgeschermde kopie van een identiteitsbewijs bevat veel meer persoonsgegevens dan de gegevens die nodig zijn voor een identiteitscontrole, zoals een BSN-nummer en een handtekening. Het vragen van meer informatie dan nodig is, is in strijd met het beginsel van minimale gegevensverwerking.” Daarnaast stelt de Afdeling dat DPG Media niet heeft onderzocht of de identiteitscontrole niet op een minder ingrijpende wijze kan, waardoor het gevoerde beleid in strijd is met het beginsel van proportionaliteit en subsidiariteit.
Regels over het gebruik van identiteitsbewijzen bij AVG verzoeken
In de zaak ging het dus niet specifiek over het onrechtmatige gebruik van een identiteitsbewijs, maar over het faciliteren van het uitoefenen van rechten uit de AVG. Het vragen van een identiteitsbewijs was in deze uitspraak een te zwaar middel, maar dit is niet altijd het geval. Voor de beoordeling of een kopie van een identiteitsbewijs verwerkt mag worden bij het behandelen van bijvoorbeeld een inzage- of verwijderverzoek, moet je kijken naar de open normen uit de AVG en die per geval toepassen. Alleen voor het BSN geldt dat het verboden is om deze te verwerken, tenzij je hiertoe wettelijk verplicht bent. Deze plicht geldt bijvoorbeeld voor zorginstellingen bij het aannemen van patiënten. Bestaat er geen wettelijke plicht, dan moet het BSN dus altijd afgeschermd zijn.
Open normen uit de AVG
Zoals hiervoor kort naar voren kwam, vond de Afdeling dat het verwerken van een kopie van een identiteitsbewijs in strijd was met twee beginselen uit de AVG: het beginsel van minimale gegevensverwerking en het beginsel van proportionaliteit en subsidiariteit.
Toepassen van het beginsel van minimale gegevensverwerking
Het beginsel van minimale gegevensverwerking houdt in dat persoonsgegevens toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit moet per geval worden beoordeeld. Als het verwerken van een identiteitsbewijs dus niet nodig is voor de identificatie van de betrokkene (het doeleinde), dan is het in strijd met het beginsel van minimale gegevensverwerking om dit toch te doen. Daarnaast is het ook in veel gevallen niet nodig om álle gegevens van een identiteitsbewijs te verwerken, een afgeschermde kopie kan al voldoende zijn zoals hiervoor al uit het oordeel van de rechter bleek. Of het identiteitsbewijs noodzakelijk is voor het doel (het identificeren van een persoon), zal in veel gevallen neerkomen op de vraag of er minder zware alternatieven zijn om iemands identiteit vast te stellen, wat ook een belangrijk onderdeel is van het beginsel van proportionaliteit en subsidiariteit.
Toepassen van het beginsel van proportionaliteit en subsidiariteit
Dit beginsel houdt namelijk in dat het middel in verhouding moet staan tot het doel van de verwerking (proportionaliteit) en dat er geen andere, minder ingrijpende manier is om dit doel te bereiken (subsidiariteit). Ook dit moet uiteraard per geval worden beoordeeld. De rechter in deze zaak onderstreept bijvoorbeeld dat het voor een verzoek om inzage uitmaakt op welke persoonsgegevens het verzoek ziet. Wanneer het verzoek over zeer gevoelige persoonsgegevens gaat, kan het wel nodig zijn om een afgeschermde kopie van een identiteitsbewijs te vragen; dat staat dan in verhouding tot het doel.
Verwerken van zeer gevoelige persoonsgegevens
Als verwerkingsverantwoordelijke moet je altijd zeker weten dat je de juiste gegevens aan de juiste persoon geeft, maar bij zeer gevoelige persoonsgegevens moet je zelfs extra waarborgen aanbrengen voor het beschermen en verstrekken van die gevoelige gegevens. Daarnaast stelt de rechter in de onderhavige uitspraak dat er minder ingrijpende manieren voor de hand lagen om iemands identiteit vast te stellen, zoals “met behulp van een abonnee- of klantnummer, e-mailverificatie of met andere persoonlijke gegevens”. Naast deze alternatieven zijn er ook specifieke diensten die de identiteit van een persoon kunnen verifiëren, zonder dat je daarvoor zelf een identiteitsbewijs hoeft te verwerken (zoals bijvoorbeeld iDIN).
Een verwerking die in strijd is met één (of beide) van deze beginselen is een overtreding van de AVG en kan met hoge boetes bestraft worden, zoals in deze rechtszaak ook het geval was.
Conclusie
De AVG geeft geen vaste regels over wanneer een (afgeschermd) identiteitsbewijs verwerkt mag worden, maar hanteert open normen. Deze open normen worden wel zo uitgelegd dat een kopie van een identiteitsbewijs zelden de wenselijke optie is om personen te identificeren, omdat er vaak minder ingrijpende alternatieven zijn. Dit moet per geval worden beoordeeld, waarbij alle relevante omstandigheden van het geval moeten worden meegewogen.
Als je toch een kopie van een identiteitsbewijs nodig hebt, zorg dan dat je altijd vraagt om een afgeschermde kopie waar alleen de nodige gegevens zichtbaar zijn. Het BSN moet bijna altijd worden afgeschermd, je mag deze alleen verwerken als je daarvoor een wettelijke plicht hebt. Afhankelijk van het geval kan een foto, documentnummer of handtekening wel nodig zijn (bijvoorbeeld voor het verifiëren van een handtekening), maar veel gevallen zal dat niet zo zijn.
Zoals uit de uitspraak blijkt, is het nodig om een goede procedure te hebben ten aanzien van AVG-verzoeken, met duidelijke keuzes over de identificatie. Deze procedures helpen je sneller en beter met verzoeken om te gaan en kunnen in geval van discussie aantonen dat je goed over dit soort zaken hebt nagedacht.
De IT-Jurist helpt organisaties te voldoen aan de AVG
Hulp nodig bij het opstellen van dit soort procedures of heb je ze al en wil je ze eens laten toetsen? Neem dan vrijblijvend contact op met ons. Meer weten over de AVG en wat onze IT-juristen voor je kunnen doen? Lees dan:
Wat kan De IT-Jurist voor je doen op het gebied van privacy?