Handelen DPG rechtvaardigt geen boete

Rechtbank Amsterdam 10 augustus 2023, IT 4351; ECLI:NL:RBAMS:2023:5074 (DPG Media/AP) Bestuursrecht. In deze zaak oordeelt de rechtbank Amsterdam over het beroep van DPG Media B.V. (hierna: DPG) tegen een boete die haar door de Autoriteit Persoonsgegevens (hierna: AP) is opgelegd. DPG is een uitgever van bladen en boeken. Hierbij worden persoonsgegevens van klanten verwerkt. Als een betrokkene om verwijdering of inzage van diens persoonsgegevens vraagt, vraagt DPG eerst verificatie van de identiteit van betrokkene middels een identiteitsbewijs. De AP stelt dat dit in strijd is met de AVG, omdat hiermee een onnodige barrière voor betrokkenen wordt opgeworpen. Volgens de AP past DPG geen maatwerk toe aangezien ze niet beoordeelt of een verzoeker op een andere, minder ingrijpende wijze kan worden geïdentificeerd. DPG verweert zich met de stelling dat haar werkwijze niet in strijd is met de AVG, aangezien er wél ruimte was voor maatwerk, en dit ook werd toegepast in de praktijk.

De rechtbank stelt voorop dat het identificatiebeleid van DPG alleen geldt als men buiten de digitale omgeving van DPG om inzage of verwijdering van persoonsgegevens verzoekt. De vraag is of hiermee de uitoefening van het recht op inzage en wissing gefaciliteerd is. De rechtbank wijst op het spanningsveld tussen het voorkomen van een datalek en het faciliteren van het voornoemde recht. Daarbij moet het beginsel van subsidiariteit en dataminimalisatie in acht worden genomen. Het beleid van DPG wordt daarmee geacht te rigide zijn, omdat er op een identiteitsbewijs meer informatie staat dan nodig is om de verzoeker te identificeren. Dat is in strijd met het beginsel van dataminimalisatie. De rechtbank oordeelt echter ook dat de AP niet tot oplegging van de boete had mogen komen. DPG is stringent geweest in haar inrichting van haar gegevensbeschermingsbeleid, maar is niet lichtzinnig geweest in haar taak als verwerkingsverantwoordelijke. Er is hierdoor niet te spreken van ernstig verwijtbaar handelen. De inbreuk en haar omvang zijn beide dermate minimaal dat de rechtbank geen grond ziet om een boete op te leggen. Het beroep van DPG wordt gegrond geacht en de uitspraak van de rechtbank treedt in de plaats van het besluit.

12 De rechtbank stelt derhalve vast, dat er een spanningsveld bestaat met betrekking tot het ‘faciliteren’ van het inzagerecht en de identificatieplicht. Op grond van de AVG is DPG immers verplicht aan verzoekers inzage te geven in de van hen verwerkte persoonsgegevens, waarbij geen onnodige belemmeringen mogen worden opgeworpen, maar tegelijkertijd is DPG verplicht verzoekers te identificeren, om te voorkomen dat persoonsgegevens aan de verkeerde persoon worden verstrekt (datalek), hetgeen belemmerend kan werken. Er is niet op voorhand een voor alle gevallen toepasbare strakke lijn te trekken tussen wat in dit verband wel en niet is toegestaan bij de invulling van de identificatieplicht en wat daarbij onnodig belemmerend moet worden geacht en wat niet. Op dit punt spelen, zoals hiervoor overwogen, de beginselen van proportionaliteit, subsidiariteit en dataminimalisatie een rol. Een en ander is onder meer afhankelijk van welke persoonsgegevens een organisatie verwerkt. Tussen partijen is onbetwist - en ook de rechtbank gaat daar van uit - dat gevoeligere gegevens met meer beveiligingsmaatregelen moeten worden gewaarborgd.