De Autoriteit Persoonsgegevens (AP) heeft februari jongstleden DPG Media een boete opgelegd. Het mediabedrijf eiste van betrokkenen dat ze voor een inzageverzoek altijd eerst een identiteitsbewijs opstuurden. Op deze manier werd een inzageverzoek, volgens de AP, onnodig bemoeilijkt. En dat is in strijd met de eis uit de AVG dat de uitoefening van de rechten niet onnodig mag worden bemoeilijkt. Deze handelwijze was bovendien in strijd met het dataminimalisatie-beginsel. Een identificatiebewijs bevat immers veel gevoelige persoonsgegevens. Denk bijvoorbeeld aan een pasfoto, lengte en het BSN-nummer. Deze gegevens waren niet nodig om de identificatie te kunnen uitvoeren. Door ze toch op te vragen, verwerkte DPG dus meer gegevens dan strikt noodzakelijk. Daarnaast had ze er ook geen verwerkingsgrondslag voor. Nu we dit weten, hoe gaan we dan om met verzoeken tot inzage, waarbij u twijfelt aan de identiteit van de verzoeker? Naast het opvragen van een kopie van een ID-kaart, zijn er gelukkig altijd alternatieven. Als men aan de balie komt, kunt u altijd de ID-kaart inzien en vervolgens vastleggen dat u de identiteit heeft vastgesteld. Dat is wezenlijk anders dan het vastleggen/opslaan van de kopie of de gegevens zelf. Een alternatief kan bijvoorbeeld het volgende zijn: de verzoeker heeft reeds een digitaal account bij uw organisatie en doet aan de balie een verzoek tot inzage. In dat geval kan het volstaan om de verzoeker bijvoorbeeld een code of bevestigingslink te sturen die hij louter op zijn digitale account kan ontvangen. Verder is het ook een optie om de verzoeker de beveiligingsvraag (die is gekoppeld aan het digitale account van de verzoeker) te laten beantwoorden. Op deze wijze is het controleerbaar of de verzoeker inderdaad is gekoppeld aan het digitale account van de organisatie/instelling. Kunt u de identiteit niet anders vastleggen dan door het opvragen van een ID-bewijs? Zorg er dan in ieder geval voor dat, met het oog op dataminimalisatie, de verzoeker ervan op de hoogte wordt gesteld dat bepaalde informatie op de identiteitsbewijs moet worden afgedekt. Vaak volstaat enkel de naam ter identificatie. Te denken valt aan de pasfoto, QR-code, lengte en het BSN-nummer. Soms is de geboortedatum wel nodig. Ook is het aan te raden om de verzoeker te adviseren om op de gekopieerde/geüploade kopie van het identiteitsbewijs te schrijven dat het een kopie betreft en voor welke instantie de kopie bedoeld is. Denk tot slot goed na over de bewaartermijn: hoelang moet u de gegevens vastleggen? Hoelang is het nog relevant? Is het niet meer nodig? Verwijder de gegevens dan. Zoals altijd geldt: denk goed na over welke gegevens u vraagt en waarom! Leg een en ander goed vast en voldoe daarmee aan uw accountabilityplicht. Vragen? Neem gerust contact met ons op.

De advocaten en juristen van Elferink & Kortier Advocaten schrijven op deze plek iedere maand een column, waarin zij een praktisch probleem op het gebied van de AVG in relatie tot informatiebeheer behandelen. Heeft u een praktijkvraag die u behandeld wilt zien? Stuur deze naar Od@publiekdenken.nl.