Spaans recruitmentbureau krijgt 240.000 euro boete van toezichthouder

Vrouw gaat op sollicitatiegesprek

De Agencia Española de Protección de Datos (AEPD) heeft een boete van bijna een kwart miljoen euro opgelegd aan recruitmentbureau Michael Page. Klanten die hun gegevens wilden inzien, moesten een kopie van hun identiteitsbewijs overhandigen. Een Nederlander diende daarop een klacht in. De Spaanse toezichthouder oordeelt dat het bureau teveel persoonsgegevens verzamelt om de identiteit van klanten vast te stellen.

Dat schrijft de Autoriteit Persoonsgegevens (AP) in een persverklaring. De klacht werd bij de Nederlandse privacywaakhond ingediend. Omdat het recruitmentbureau in Spanje is gevestigd, nam de AEPD het onderzoek over. De AP werkte samen met de Spaanse toezichthouder om het boetebesluit vast te stellen.

Recruitmentbureau vraagt veel persoonsgegevens bij inzageverzoek

De Nederlander had zich ingeschreven bij het wervingsbureau en vroeg zich af welke persoonsgegevens het bureau van hem had. Hij vroeg daarop inzage in zijn gegevens. Dat was zijn goed recht: het recht van inzage is immers vastgelegd in artikel 15 van de Algemene Verordening Gegevensbescherming (AVG).

Het recruitmentbureau wilde de Nederlandse man alleen inzage geven in zijn gegevens als hij zich kon identificeren met een kopie van zijn identiteitsbewijs en verzekeringspas. Verder eiste het bureau dat de man een kopie van een recente energie- of waterrekening kon meesturen. Dat was volgens het bureau nodig om zijn woonadres te verifiëren.

Boete van bijna kwart miljoen euro

Daar was de man niet van gecharmeerd en klopte daarom aan bij de Autoriteit Persoonsgegevens. De stelde op zijn beurt zijn Spaanse collega’s van de AEPD op de hoogte. Omdat het recruitmentbureau in Spanje is gevestigd, deed de Spaanse toezichthouder onderzoek naar het voorval.

In samenwerking met de Autoriteit Persoonsgegevens oordeelde de AEPD dat Michael Page onnodig veel persoonsgegevens verzamelde om zijn identiteit vast te stellen. Het recruitmentbureau had niet al deze informatie nodig om te controleren of de Nederlandse man daadwerkelijk was wie hij zei dat hij was.

De persoon in kwestie had namelijk een account bij Michael Page, een account waar alleen hij toegang tot had. Dat was volgens de Spaanse waakhond voldoende om identiteitsfraude uit te sluiten. Alles tezamen genomen besloot de AEPD om het recruitmentbureau een boete van 240.000 euro op te leggen.

Grote risico’s

Het opvragen van een kopie van een identiteitsbewijs is een zwaar middel. In ons land geldt dat een organisatie of instantie daar alleen om mag vragen als het daartoe wettelijk verplicht is. Onder meer financiële instellingen als banken en creditcardmaatschappijen, verzekeraars, notarissen en casino’s mogen dat.

Bovendien zijn de risico’s van het opslaan en verwerken van kopieën van identiteitsbewijzen groot. Als deze door een ransomware-aanval of een datalek in de verkeerde handen belanden, kunnen deze gegevens misbruikt worden voor identiteitsfraude. Ook is er onder hackers en cybercriminelen een levendige handel in privégegevens.

Spaans hotel krijgt boete van toezichthouder na klacht Nederlander

Eerder deze maand legde de Spaanse toezichthouder ook al een boete op nadat een Nederlander een klacht had ingediend. Toen ging het om het Spaanse Hotel Marins Playa. Tijdens zijn verblijf in het hotel bestelde een Nederlandse toerist een drankje. Om te betalen moest hij de sleutelkaart van zijn hotelkamer overhandigen. Daarop zag de Nederlander zijn pasfoto, inclusief naam en andere persoonsgegevens op de tablet van de ober in beeld verschijnen.

Het opslaan en verspreiden van een scan van de pasfoto was een te zwaar controlemiddel, zo oordeelde de AEPD. Informeren naar het kamernummer van de gast, al dan niet in combinatie met de naam van de gast, was voldoende. Het hotel had hiervoor geen pasfoto’s van gasten nodig. Verder had het hotel niet van tevoren om toestemming gevraagd om de foto in zijn paspoort te bewaren en verspreiden. Dat is in strijd met de AVG.

De hoteleigenaar kreeg daarop te horen dat hij een boete van 30.000 euro moet betalen. Daarnaast moet het de werkwijze aanpassen om herhaling in de toekomst te voorkomen.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen