Het komt regelmatig voor dat organisaties een kopie van een identiteitsbewijs vragen als iemand zijn privacyrechten op grond van de Algemene Verordening Gegevensbescherming (AVG) wil uitoefenen, zoals het recht op inzage van persoonsgegevens. Pas dan zal de organisatie het verzoek in behandeling nemen omdat zij met deze gegevens kunnen controleren of diegene ook daadwerkelijk diegene is die hij zegt te zijn.
Maar mag een bedrijf een kopie van het identiteitsbewijs eisen als mensen hun privacyrechten willen uitoefenen?
Boete voor Michael Page
De Spaanse privacytoezichthouder heeft recruitmentbureau Michael Page een boete van € 240.000,- opgelegd. Het bureau kreeg een boete omdat mensen die hun gegevens wilden inzien onder meer een volledige kopie van hun identiteitsbewijs moesten opsturen. De Spaanse toezichthouder startte het onderzoek na een klacht van een Nederlandse vrouw. De boete is daarom afgestemd met de Autoriteit Persoonsgegevens (AP). Michael Page wilde de vrouw alleen inzage geven in haar gegevens als zij zich zou identificeren door een volledige kopie van haar identiteitsbewijs en een kopie van haar verzekeringspas op te sturen. Daarnaast eiste het bureau een kopie van een recente energie- of waterrekening, om te controleren of haar adres klopte.
De Spaanse en Nederlandse privacytoezichthouders besloten dat Michael Page daarmee onnodig veel persoonsgegevens eiste om te kunnen controleren of degene die inzage in haar persoonsgegevens vroeg, ook was wie zij zei. De vrouw had namelijk ook een account bij Michael Page waar alleen zij toegang tot had. Dat is voldoende. Bovendien is het risico op identiteitsfraude bij het opvragen van een identiteitsbewijs groot.
Lessons learned?
Wat kunnen organisaties leren van dit boetebesluit? AVG schrijft niet voor hoe organisaties precies iemands identiteit moeten verifiëren. Wél is het belangrijk om niet meer persoonsgegevens te verzamelen dan strikt noodzakelijk is. Ook moet je altijd kiezen of er geen andere, minder ingrijpende manieren zijn om persoonsgegevens te verwerken. Zo zal het opvragen van een identiteitsbewijs in veel situaties geen meerwaarde hebben om iemands identiteit te verifiëren. Een eenvoudige en gebruiksvriendelijke methode is bijvoorbeeld gebruikmaken van de reeds bekende contactgegevens. In dat geval kan de organisatie iemand bijvoorbeeld een bericht sturen via zijn account of e-mailadres om te verifiëren of hij ook daadwerkelijk het verzoek heeft verstuurd. Vergelijk het met de procedure waarop een wachtwoord gewijzigd kan worden als je die bent vergeten.
Kortom, wees als organisatie kritisch bij het vragen om een identiteitsbewijs en kijk altijd of er geen andere, privacyvriendelijke alternatieven zijn.