De Autoriteit Persoonsgegevens heeft DPG Media een boete opgelegd van meer dan een half miljoen euro (525.000). Het betreft het onterecht vragen aan klanten om (een kopie van) hun identiteitsbewijs te uploaden voordat ze hun gegevens konden inzien of verwijderen. De privacy overtredingen hebben plaats gevonden voordat Sanoma door DPG overgenomen werd.
Sanoma gaf klanten die wilde weten welke persoonsgegevens door het bedrijf bijgehouden en opgeslagen werden pas toegang tot die gegevens nadat ze hun identiteitsbewijs toonden. Dat moest (online) opgestuurd of geüpload worden. Bovendien verzuimde Sanoma deze klanten op de hoogte te stellen van de gegevens die zij op hun ID mochten afschermen, zoals het BSN-nummer.
Inmiddels is de werkwijze door DPG Media aangepast. Klanten die hun accountgegevens willen inzien, of verwijderen, krijgen nu een verificatiemail. Daarmee is DPG Media niet meer in overtreding, aldus de AP. De opgelegde boete van 525.000 euro moet echter wl betaald worden. DPG Media heeft daar bezwaar tegen aangetekend. Dat zal de komende periode behandeld worden.
Het opvragen van een ID-bewijs was volgens de AP een veel te zwaar middel voor het mogen inzien van gegevens van online accounts. Nog los van het feit dat het inzien of verwijderen van zo’n account hierdoor een stuk ingewikkelder gemaakt werd.
“Een identiteitsbewijs mag je nooit zomaar opvragen. Er staan veel persoonsgegevens op. Zelfs als er delen van een identiteitsbewijs zijn afgeschermd, blijft een kopie vaak een te zwaar middel om vast te stellen of iemand is wie diegene zegt te zijn. Kopieën van identiteitsbewijzen moeten ook met grote zorgvuldigheid worden bewaard. Je moet er niet aan denken dat kopieën via een ransomware-aanval of een ander datalek in verkeerde handen komen. Dat kan tot identiteitsfraude leiden en grote gevolgen hebben voor de mensen achter deze persoonsgegevens”, aldus Monique Verdier van de Autoriteit Persoonsgegevens.
