DPG Media krijgt boete van 525.000 euro van AP

Logo van DPG Media tegen de gevel van het hoofdkantoor in Vilvoorde

De Autoriteit Persoonsgegevens legt DPG Media een boete op van 525.000 euro. Het multimediabedrijf vroeg mensen die inzage in hun gegevens wilden of deze wilden laten verwijderen om een kopie van hun paspoort. Daardoor legt het bedrijf een te hoge drempel op en verzamelt het teveel persoonsgegevens.

Dat meldt de toezichthouder in een persbericht.

DPG Media verzamelt teveel persoonsgegevens

De Autoriteit Persoonsgegevens zegt verschillende klachten te hebben ontvangen over de manier waarop Sanoma Media Netherlands BV (de voorloper van DPG Media) omging met inzageverzoeken. Mensen die een klacht indienden hadden een tijdschriftabonnement bij het bedrijf, of kregen ongewenst reclame van Sanoma.

Klanten die vervolgens bij Sanoma aanklopten om te informeren welke gegevens het bedrijf van hen bijhield, werden niet direct geholpen. Voordat zij antwoord kregen op hun vraag, moesten ze eerst een kopie van hun identiteitsbewijs uploaden of opsturen. Sanoma en later opvolger DPG Media wees hen er niet op dat ze bepaalde gegevens mochten afschermen, zoals het BSN-nummer.

De toezichthouder benadrukt dat het om mensen ging die geen online account hadden aangemaakt bij DPG Media. Voor hen was het een stuk moeilijker om toegang te krijgen tot hun gegevens om deze in te zien of te wijzigen. Inmiddels heeft het multimediabedrijf de werkwijze voor inzage- en verwijderingsverzoeken aangepast. Het bedrijf verstuurt tegenwoordig een verificatiemail om de identiteit van de verzoeker vast te stellen. Daarmee is de overtreding beëindigd.

‘Grote gevolgen bij een ransomware-aanval of datalek’

De Autoriteit Persoonsgegevens is niet te spreken over de werkwijze. Door om een kopie van een identiteitsbewijs te vragen, werpt DPG Media een te grote drempel op. Bovendien verzamelt het mediabedrijf hierdoor teveel persoonlijke gegevens van klanten, wat niet is toegestaan in deze situatie.

“Een identiteitsbewijs mag je nooit zomaar opvragen. Er staan veel persoonsgegevens op. Zelfs als er delen van een identiteitsbewijs zijn afgeschermd, blijft een kopie vaak een te zwaar middel om vast te stellen of iemand is wie diegene zegt te zijn. Kopieën van identiteitsbewijzen moeten ook met grote zorgvuldigheid worden bewaard”, zegt Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens.

Ze vervolgt haar verhaal. “Je moet er niet aan denken dat kopieën via een ransomware-aanval of een ander datalek in verkeerde handen komen. Dat kan tot identiteitsfraude leiden en grote gevolgen hebben voor de mensen achter deze persoonsgegevens.” Vanwege de eventuele verstrekkende gevolgen heeft de toezichthouder besloten om een boete van 525.000 euro op te leggen.

DPG Media kan nog in beroep gaan tegen de boete. Of het multimediabedrijf dat ook daadwerkelijk gaat doen, is onbekend. Het heeft nog niet gereageerd op de boete.

Eerdere boetes van de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens legde in 2021 in totaal zeven boetes op voor het overtreden van Europese privacyregels.  In februari kreeg het Onze Lieve Vrouwe Gasthuis (OLVG) een boete van 440.000 euro, omdat het Amsterdamse ziekenhuis jarenlang onvoldoende maatregelen genomen om ongeautoriseerde toegang tot medische dossiers te voorkomen.

In maart kreeg Booking.com een boete van 475.000 euro, omdat het een datalek te laat meldde bij de toezichthouder. Om dezelfde reden moest de PVV Overijssel een bedrag van 7.500 euro betalen. In mei kreeg Locatefamily.com een tik op de vingers, omdat het zonder medeweten toestemming persoonsgegevens van mensen publiceerde. Daar moest het bedrijf een bedrag van 525.000 euro ophoesten.

Vorig jaar zomer kreeg TikTok een boete van 750.000 euro opgelegd voor het jarenlang schenden van de privacy van jonge, Nederlandse kinderen. En in november kreeg luchtvaartmaatschappij Transavia te horen dat ze 400.000 euro moest betalen, omdat de beveiliging van persoonsgegevens niet op orde was. De laatste en hoogste boete van 2021 kwam op naam van de Belastingdienst. De fiscus moest een bedrag van 2,75 miljoen euro betalen, omdat het jarenlang de (dubbele) nationaliteit van aanvragers van kinderopvangtoeslag verwerkte. De toezichthouder oordeelde eerder dat de verwerking van deze gegevens “onrechtmatig, discriminerend en onbehoorlijk” was.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen