DPG Media krijgt AVG-boete van 525.000 euro voor onnodig opvragen id-bewijs
Mediabedrijf DPG Media heeft van de Autoriteit Persoonsgegevens een boete van 525.000 euro gekregen voor het onnodig opvragen van een identiteitsbewijs van mensen die hun gegevens wilden inzien of laten verwijderen. Daarmee heeft het mediabedrijf de AVG overtreden, zo stelt de privacytoezichthouder.
Wie wilde weten welke persoonsgegevens Sanoma en DPG Media bijhielden, of gegevens wilde laten wissen, moest eerst een identiteitsbewijs uploaden of opsturen. Daarnaast werden deze personen niet door DPG Media ingelicht dat zij gegevens daarvan mochten afschermen. Daardoor vroeg het mediabedrijf te veel persoonsgegevens op.
Het ging om klanten van DPG Media die geen online account bij het mediabedrijf hadden aangemaakt. Deze klanten konden moeilijker bij hun gegevens om ze in te zien of te wijzigen. DPG stelde dat zolang het de identiteit van de verzoeker niet kan vaststellen, de AVG niet van toepassing is. Verder stelde het mediabedrijf dat het vragen van een kopie identificatiebewijs noodzakelijk is om zo te voorkomen dat een kopie van de persoonsgegevens aan de verkeerde persoon worden verstrekt of persoonsgegevens van de verkeerde persoon worden verwijderd. De AP was het hier niet mee eens.
Te zwaar middel
"Een identiteitsbewijs mag je nooit zomaar opvragen. Er staan veel persoonsgegevens op. Zelfs als er delen van een identiteitsbewijs zijn afgeschermd, blijft een kopie vaak een te zwaar middel om vast te stellen of iemand is wie diegene zegt te zijn. Kopieën van identiteitsbewijzen moeten ook met grote zorgvuldigheid worden bewaard", zegt AP-vicevoorzitter Monique Verdier. "Je moet er niet aan denken dat kopieën via een ransomware-aanval of een ander datalek in verkeerde handen komen. Dat kan tot identiteitsfraude leiden en grote gevolgen hebben voor de mensen achter deze persoonsgegevens."
De Autoriteit Persoonsgegevens concludeerde dat DPG met haar beleid en het actief uitdragen ervan het recht van inzage en gegevenswissing van personen heeft belemmerd. Daarbij heeft het bedrijf onnodige drempels opgeworpen voor het kunnen inzetten van deze rechten. "Hierdoor heeft DPG in strijd gehandeld met artikel 12, tweede lid, van de Algemene verordening gegevensbescherming (AVG)", aldus de AP.
DPG Media heeft na de overname van Sanoma de werkwijze gewijzigd. DPG Media stuurt nu een verificatiemail om de identiteit van een verzoeker te kunnen vaststellen. Daarmee is de overtreding beëindigd. Het mediabedrijf kan nog in bezwaar gaan tegen de boete. Het Belgische DPG is onder andere eigenaar van het AD, NU.nl, De Volkskrant, Trouw, Het Parool, Tweakers, Independer, Nationale Vacaturebank, Hardware Info en nog allerlei magazines.
De Corona app heeft bewezen dat QR-codes makkelijk gebruikt kunnen worden om te bewijzen wie je bent
Dat is bv. ook de reden dat je op een kopie-id altijd moet vermelden voor wie de kopie is (er dwars overheen schrijven, of bv. de kopie-id app gebruiken). Er worden zo vaak ongemerkte kopieën ID gejat, dat het geen bewijs is.
Sowieso moet de ontvanger je kopie ergens mee kunnen vergelijken, dus ook wat dat betreft kan bv. een kopie-id geen bewijs zijn voor een bedrijf dat nog geen kopie van je id heeft.
Wat wel werkt is persoonlijk langs komen en je ID laten zien. Het bedrijf mag dan weer geen kopie ervan maken "om aan te tonen dat je er geweest bent", want daarvoor staat er weer te veel op die kopie, informatie waar het bedrijf helemaal geen recht op heeft, al helemaal niet als je wilt dat het bedrijf al hun gegevens over jou gaan wissen.
Maar ja, persoonlijk langskomen... Beetje hoge drempel?
De Corona app heeft bewezen dat QR-codes makkelijk gebruikt kunnen worden om te bewijzen wie je bent
De corona app heeft dus juist bewezen dat QR codes gemakkelijk misbruikt kunnen worden om te bewijzen wie je bent.
Dat is bv. ook de reden dat je op een kopie-id altijd moet vermelden voor wie de kopie is (er dwars overheen schrijven, of bv. de kopie-id app gebruiken). Er worden zo vaak ongemerkte kopieën ID gejat, dat het geen bewijs is.
Sowieso moet de ontvanger je kopie ergens mee kunnen vergelijken, dus ook wat dat betreft kan bv. een kopie-id geen bewijs zijn voor een bedrijf dat nog geen kopie van je id heeft.
Wat wel werkt is persoonlijk langs komen en je ID laten zien. Het bedrijf mag dan weer geen kopie ervan maken "om aan te tonen dat je er geweest bent", want daarvoor staat er weer te veel op die kopie, informatie waar het bedrijf helemaal geen recht op heeft, al helemaal niet als je wilt dat het bedrijf al hun gegevens over jou gaan wissen.
Maar ja, persoonlijk langskomen... Beetje hoge drempel?
Als ze beschikken over een adres, een telefoonnummer of een e-mailadres dan kunnen ze contact opnemen met degene van wie ze weten dat de gegevens zijn, en dat gebruiken om te verifiëren of het verzoek klopt. Als ze alleen een kloppende IBAN hebben dan kan het zelfs, maak 1 cent over met een code als omschrijving en vraag de verzoeker om die code te reproduceren. Met een beetje fantasie kom je een heel eind, en blijven er maar heel weinig situaties over waarin een identiteitsbewijs echt nodig is.
Onveiliger kan het niet. Iedereen in jouw kennissenkring kent waarschijnlijk deze gegevens en kan dan jouw gegevens opvragen.
Ik snap de AP dan ook helemaal niet. Door dis soort acties bemoeilijken ze het opvragen van deze gegevens juist. De enige oplossing voor DPG media is volgens mij dat mensen eerst met hun paspoort langs moeten komen bij het hoofdkantoor en zich daar legitimeren.
Onveiliger kan het niet. Iedereen in jouw kennissenkring kent waarschijnlijk deze gegevens en kan dan jouw gegevens opvragen.
Authenticatie kan veel makkelijker en veiliger door een persoon een brief te sturen die terug moet worden verzonden als het email adres is gewijzigd. Of door een email te sturen en om antwoord te vragen als je bent verhuisd.
Laten we wel zijn, het is geen halszaak als je een abonnement wil opzeggen (of aanvragen). Daar is nooit een paspoort voor nodig.
Het is ontzettend krom om als je om verwijdering vraagt er eerst nog meer gegevens worden gevraagd. Een verwijderverzoek dien je in om een goede reden: je vertrouwt dat bedrijf niet met je gegevens. Dit is dan ook niets meer dan het opwerpen van een barriëre om je AVG rechten uit te oeferen. De boete tegen zulke praktijken kan niet hoog genoeg zijn.
Opzeggen en gegevens verwijderen moet nooit moelijker worden gemaakt dan het was om de gegevens te verstrekken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
