Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Bezuidenhoutseweg 30, 2594 AV Den Haag
T 070 8888 500 - F 070 8888 501
autoriteitpersoonsgegevens.nl

Vertrouwelijk/Aangetekend
DPG Media Magazines B.V.
T.a.v. het bestuur
Postbus 1900
2130 JH Hoofddorp

Contactpersoon
[VERTROUWELIJK]

Onderwerp
Besluit tot het opleggen van een boete

Geachte heer, mevrouw,

De Autoriteit Persoonsgegevens (AP) heeft besloten om aan bij DPG Media Magazines B.V. (DPG) een bestuurlijke boete van € 525.000 op te leggen. De AP is tot de conclusie gekomen dat DPG met haar beleid en het actief uitdragen ervan het recht van inzage en gegevenswissing van betrokkenen heeft belemmerd. DPG heeft onnodige drempels opgeworpen voor het kunnen inzetten van deze rechten. Hierdoor heeft DPG in strijd gehandeld met artikel 12, tweede lid, van de Algemene verordening gegevensbescherming (AVG).

De AP licht het besluit hierna nader toe. Hoofdstuk 1 betreft een inleiding en hoofdstuk 2 bevat de feiten. De AP beoordeelt in hoofdstuk 3 of er sprake is van verwerking van persoonsgegevens, de verwerkingsverantwoordelijkheid en de overtreding. In hoofdstuk 4 wordt de (hoogte van de) bestuurlijke boete uitgewerkt en hoofdstuk 5 bevat het dictum en de rechtsmiddelenclausule.

2/19

1. Inleiding 1.1 Betrokken organisatie

Dit besluit heeft betrekking op DPG Media Magazines B.V. (DPG), gevestigd aan de Capellalaan 65 te Hoofddorp.1 DPG is een mediahuis dat bladen, tijdschriften en boeken uitgeeft en exploiteert. Op 20 april 2020 is de statutaire naam van Sanoma Media Netherlands B.V. gewijzigd in DPG Media Magazines B.V.2

De activiteiten van DPG zijn ongewijzigd gebleven.

De AP heeft in de periode mei 2018 tot en met januari 2019 klachten ontvangen over de handelwijze van DPG bij verzoeken om inzage in en verzoeken om wissing van persoonsgegevens van betrokkenen (hierna: ‘klagers’). Volgens de klagers vroeg DPG om een kopie van een identiteitsbewijs van klagers ter verificatie van hun identiteit, als voorwaarde om hun verzoek om inzage of wissing (verder) in behandeling nemen.

De AP heeft vervolgens onderzoek gedaan naar het beleid van DPG rondom het opvragen en verwerken van een kopie van het identiteitsbewijs bij ingediende verzoeken om inzage in of wissing van persoonsgegevens. De AP richtte het onderzoek uitsluitend op het beleid en de handelwijze van DPG met betrekking tot inzage- en wissingsverzoeken die buiten de beveiligde loginomgeving van een account bij DPG werden ingediend. Het gaat hierbij om verzoeken die betrokkenen per brief, per e-mail of via een webformulier hadden ingediend. Het beleid en de handelwijze van DPG met betrekking tot verzoeken die werden ingediend binnen de digitale inlogomgeving van een account, vielen buiten de reikwijdte van het onderzoek.

1.2 Procesverloop

De AP heeft tijdens het onderzoek bij DPG en de klagers om informatie verzocht. De AP heeft ook DPG verzocht om separaat op de desbetreffende klachten te reageren. DPG heeft aan deze verzoeken voldaan.

Bij brief van 7 oktober 2021 heeft de AP aan DPG een voornemen tot handhaving verzonden en het daaraan ten grondslag gelegde rapport met bevindingen. DPG heeft op 16 november 2021 hierop schriftelijk een zienswijze gegeven. DPG heeft tot slot op verzoek van de AP op 16 december 2021 aanvullende informatie verstrekt.

1 KvK-nummer: 33133064. 2 Daar waar nodig, zal nog gesproken worden van Sanoma Media Netherlands B.V.

3/19

2. Feiten 2.1 Klantgegevens

DPG publiceerde tijdschriften waarop klanten een abonnement af konden sluiten. DPG verstuurde naar aanleiding van daartoe afgesloten abonnementen, tijdschriften aan haar klanten. In het kader daarvan beschikte zij over de naam, het adres en de woonplaatsgegevens van haar abonnees. Tevens beschikte DPG over financiële gegevens (bankgegevens) van haar abonnees.3 Van personen die zich hadden ingeschreven voor een nieuwsbrief of die een Schoolbank-account4 hadden aangevraagd, beschikte DPG over in ieder geval een deel van deze gegevens, zoals een naam en e-mailadres.

In de kwesties van de klagers blijkt dat DPG de klagers op verschillende manieren benaderde: - Enkele klagers hadden een abonnement (gehad) bij DPG; - Eén klager had tevens een account (gehad) bij Schoolbank.nl en; - Eén klager gaf aan geen abonnee te zijn geweest, maar alleen reclame (voor onder meer Libelle) te ontvangen op haar huisadres, vermoedelijk na contactgegevens achter te hebben gelaten bij een website of tijdschrift van DPG.

2.2 Digitale klantendatabase

DPG leverde producten aan haar klanten met name door het verzenden van (onder andere) tijdschriften. In het kader daarvan gebruikte DPG de eerdergenoemde gegevens om deze producten per post of per e-mail te kunnen verzenden. Datzelfde gold voor de reclamedrukwerken die DPG verzond.

DPG heeft aan de AP verklaard dat zij de gegevens bewaart in een digitale klantendatabase.5 Dit blijkt ook uit het feit dat middels deze gegevens een online profiel van de betrokkene kon worden aangemaakt. Zie hiervoor onderstaande afdruk van de website van DPG.6

3 Onderzoeksrapport AP van 29 september 2021, p. 5. 4 Het online platform www.schoolbank.nl was tot en met 2020 in eigendom van DPG. 5 Onderzoeksrapport AP van 29 september 2021, p. 4 en 6. 6 Onderzoeksrapport AP van 29 september 2021, p. 5.

4/19

2.3 Privacybeleid DPG

Het privacybeleid vermeldde dat het privacybeleid van toepassing was op de verwerking van gegevens door onder meer Sanoma Media Netherlands B.V. (nu: DPG) en dat Sanoma Media Netherlands B.V. verwerkingsverantwoordelijke was voor de verwerking van persoonsgegevens voor haar Nederlandse merken (waaronder tevens de Belgische activiteiten van VT Wonen vielen).7

2.4 Beleid met betrekking tot inzage- en verwijderingsverzoeken

2.4.1. De algemene werkwijze van DPG in de onderzoeksperiode Betrokkenen kunnen bij DPG verzoeken tot inzage en wissing als bedoeld in artikel 15 en 17 van de AVG indienen. Betrokkenen kunnen deze verzoeken op twee manieren indienen:

1) De meest voorkomende wijze was door een dergelijk verzoek in te dienen binnen de digitale inlogomgeving van een DPG account van de betrokkene. Zoals vermeld in paragraaf 1.1 van dit besluit viel deze wijze buiten de reikwijdte van het onderzoek, aangezien bij deze wijze van indienen geen kopie van een identiteitsbewijs werd gevraagd.

2) Een andere wijze, waar dit besluit wel op ziet, was het indienen van een verzoek om inzage in en wissing van persoonsgegevens buiten de inlogomgeving van het account. Dit kon men doen via een online formulier op de website van DPG (destijds www.sanoma.nl), per e-mail of per brief.8

DPG hanteerde bij het in behandeling nemen van verzoeken om inzage in en wissing van persoonsgegevens die waren ingediend buiten de inlogomgeving van een account de volgende standaard werkwijze.

Bij ontvangst van een verzoek om inzage in of wissing van persoonsgegevens vroeg DPG de betrokkene altijd om een kopie van een identiteitsbewijs. Als de betrokkene een verzoek via het online formulier had ingediend, werd daarop meteen automatisch gevraagd om een kopie van een identiteitsbewijs te verstrekken. Als het verzoek per e-mail werd ingediend, werd door DPG een e-mail nagestuurd met het verzoek om een kopie van het identiteitsbewijs te verstrekken. DPG gaf daarbij aan dat een verzoek pas in behandeling werd genomen, nadat een kopie van een identiteitsbewijs was verstrekt.9

7 Onderzoeksrapport AP van 29 september 2021, p. 6-7. 8 Onderzoeksrapport AP van 29 september 2021, p. 7. 9 Idem.

5/19

Desgevraagd beschreef DPG deze standaardwerkwijze richting de AP als volgt. “Op het moment dat iemand via ons online contactformulier vraagt om inzage in en/of verwijdering van de gegevens die wij van die persoon hebben verwerkt, dan verschijnt in het contactformulier automatisch het verzoek om een kopie identificatiebewijs mee te sturen met het verzoek. In afwachting van de kopie identiteitsbewijs blijft het verzoek openstaan. Zodra wij van een aanvrager een kopie identiteitsbewijs hebben ontvangen en de gegevens van de aanvrager overeenstemmen met de gegevens van de bij ons geregistreerde klant, dan voeren wij het verzoek tot verwijdering uit. Aanvrager ontvangt vervolgens ook bevestiging van de verwerking van het door hem ingediende verzoek.”

DPG gaf ook in haar privacy statement aan dat in een dergelijk geval altijd gevraagd werd om een kopie van een (geldig) identiteitsbewijs ter identificatie van de aanvrager.10 DPG vermeldde in haar privacy statement en op het websitegedeelte dat Q&A’s bevatte over – onder andere – privacy het volgende:11

In de communicatie die DPG had met de klagers na ontvangst van de digitale verzoeken om inzage en wissing werd het afschermen van de kopie ook níet door DPG aangegeven als een mogelijkheid.12 Dit in tegenstelling tot verzoeken die per post werden ingediend, waar DPG in haar privacystatement vermeldde dat een afgeschermde kopie (waar onder andere het Burgerservicenummer en foto onherkenbaar worden gemaakt) wel volstond.13

DPG heeft verklaard dat zij zich op basis van artikel 12, zesde lid, van de AVG gerechtigd voelde om door middel van een kopie van een identiteitsbewijs de identiteit van betrokkenen vast te stellen, alvorens DPG overging tot het geven van inzage in of het wissen van de bij haar aanwezige persoonsgegevens van de betrokkene.14

Pas als op basis van een kopie van een identiteitsbewijs vaststond dat de betrokkene degene was die het verzoek indiende, werd uitvoering gegeven aan dit verzoek. DPG stelde dus – in de gevallen dat een verzoek werd ingediend buiten de inlogomgeving – de identiteit van de betrokkene uitsluitend vast op basis van een te verstrekken kopie van het identiteitsbewijs.

10 Onderzoeksrapport AP van 29 september 2021, p. 8. 11 Idem. 12 Onderzoeksrapport AP van 29 september 2021, bijlage 1 steeds onder A en E. 13 Onderzoeksrapport AP van 29 september 2021, bijlage 4 ‘Website Sanoma’. 14 Onderzoeksrapport AP van 29 september 2021, p. 8.

6/19

Andere wijzen van vaststelling van de identiteit had DPG niet, zo stelde zij. In alle gevallen werd na ontvangst van het verzoek gevraagd om een kopie van het identiteitsbewijs. Dit was volgens DPG nodig om te voorkomen dat bij inzageverzoeken gegevens bij een persoon terechtkwamen die niet over deze gegevens behoorde te beschikken.15

DPG gaf desgevraagd aan dat zij in de periode van 1 januari 2019 tot 1 juni 2019 circa 11.000 klantvragen en klantverzoeken met betrekking tot het onderwerp privacy ontving, en dat het merendeel hiervan verzoeken om wissing betrof. Volgens DPG werden hiervan circa 9400 verzoeken binnen de beveiligde inlogomgeving van een account gedaan (in welk geval er geen kopie van het identiteitsbewijs hoefde te worden verstrekt) en werd slechts een gering aantal verzoeken om wissing buiten de inlogomgeving ingediend, te weten circa 60 verzoeken.16

2.4.2 De algemene werkwijze van DPG na statutaire naamswijziging per 20 april 2020 De AP heeft in haar onderzoek geconcludeerd dat de werkwijze met betrekking tot het vragen van een kopie van een identiteitsbewijs bij een verzoek om inzage in of wissing van persoonsgegevens -ingediend buiten de inlogomgeving van een account- sinds de statutaire naamswijziging op 20 april 2020 is voortgezet.17 Ook heeft de AP op 18 juni 2021 vastgesteld dat in het privacy- en cookiebeleid van DPG aangegeven staat dat DPG om een geldig identiteitsbewijs vraagt aan degene die zijn rechten wil uitoefenen.18

De AP heeft naar aanleiding van de zienswijze van DPG vastgesteld dat DPG per 17 december 2020 niet langer vraagt om een kopie van een identiteitsbewijs bij een verzoek om inzage in of wissing van persoonsgegevens buiten de inlogomgeving van een account. DPG stuurt sindsdien een verificatiemail om de identiteit van een verzoeker te kunnen vaststellen.19 DPG heeft haar privacyverklaring overeenkomstig deze nieuwe werkwijze aangepast en gepubliceerd op 18 oktober 2021.20

2.4.3 De klachten De AP ontving vijf klachten over de wijze waarop DPG invulling gaf aan verzoeken om inzage in of wissing van persoonsgegevens. Deze vijf klagers hadden allen een verzoek om inzage in of wissing van persoonsgegevens gedaan bij DPG door middel van het online contactformulier of per e-mail. Eén klager verzocht DPG om inzage in persoonsgegevens en vier klagers verzochten om wissing van hun persoonsgegevens.21

15 Onderzoeksrapport AP van 29 september 2021, p. 8. 16 Onderzoeksrapport AP van 29 september 2021, p. 9. 17 Idem. 18 Onderzoeksrapport AP van 29 september 2021, p. 9 en bijlage 7. 19 Brief van 16 december 2021 van DPG aan de AP, beantwoording informatieverzoek AP van 25 november 2021. 20 Zienswijze DPG van 16 november 2021, p. 11; Brief van 16 december 2021 van DPG aan de AP, beantwoording informatieverzoek AP van 25 november 2021; https://privacy.dpgmedia.nl/document/privacystatement. 21 Onderzoeksrapport AP van 29 september 2021, p. 9.

7/19

In alle gevallen gold dat DPG – onmiddellijk na de indiening van het verzoek door klagers – aan klagers verzocht om verstrekking van een kopie van een identiteitsbewijs als voorwaarde voor het (verder) in behandeling nemen van de ingediende verzoeken.22

Vier klagers gaven geen gehoor aan het verzoek van DPG om verstrekking van een identiteitsbewijs. DPG nam deze wissingsverzoeken vervolgens niet in behandeling. Een aantal klagers had al rechtstreeks aan DPG aangegeven dat zij niet bereid waren om een kopie van hun identiteitsbewijs te verstrekken, omdat zij dit een ‘te zwaar middel’ vonden.23 Eén klager verzond wel een kopie van een identiteitsbewijs aan DPG. Deze klager ontving echter na het versturen van een kopie van het identiteitsbewijs geen inzage van DPG. DPG gaf aan dat de kopie van het identiteitsbewijs per abuis niet gekoppeld was aan het account van de klager en vroeg wederom om een kopie identiteitsbewijs. Hierna diende de klager een klacht in bij de AP.24

2.4.4 De werkwijze van DPG met betrekking tot de klachten in de onderzoeksperiode Uit in ieder geval vier van de ingediende klachten bleek dat DPG, in de gevallen waarin geen kopie van het identiteitsbewijs werd verstrekt, geen gehoor gaf aan de ingediende verzoeken tot wissing van persoonsgegevens. DPG nam de verzoeken vervolgens niet (verder) in behandeling.25 Deze werkwijze vindt ook steun in de verklaring van DPG ten tijde van het onderzoek:

“Op het moment dat iemand via ons online contactformulier vraagt om inzage in en/of verwijdering van de gegevens die wij van die persoon hebben verwerkt, dan verschijnt in het contactformulier automatisch het verzoek om een kopie identificatiebewijs mee te sturen met het verzoek. (…) Wordt een verzoek tot inzage en/of verwijdering verstuurd zonder kopie identiteitsbewijs, dan verzoekt de klantenservice in de reactie richting de aanvrager daar alsnog om. (…) In afwachting van de kopie identiteitsbewijs blijft het verzoek openstaan. Zodra wij van een aanvrager een kopie identiteitsbewijs hebben ontvangen en de gegevens van de aanvrager overeenstemmen met de gegevens van de bij ons geregistreerde klant, dan voeren wij het verzoek tot verwijdering uit. Aanvrager ontvangt vervolgens ook bevestiging van de verwerking van het door hem ingediende verzoek. (…)”26

22 Zie ook paragraaf 2.4.1 en 2.4.2. 23 Onderzoeksrapport AP van 29 september 2021, p. 10. 24 Onderzoeksrapport AP van 29 september 2021, p. 10. 25 Idem. 26 Idem.

8/19

3. Beoordeling 3.1 Persoonsgegevens en de verwerkingsverantwoordelijke

DPG verwerkte onder andere de naam, het adres, de woonplaats en/of het e-mailadres van haar klanten/abonnees voor een van de Nederlandse merken van DPG, dan wel van personen die een account hadden op Schoolbank.nl. Met deze gegevens kon DPG natuurlijke personen identificeren. DPG verwerkte aldus persoonsgegevens in de zin van artikel 4, onderdeel 1, van de AVG.

De AP heeft verder vastgesteld dat in het privacybeleid stond vermeld dat Sanoma Media Netherlands B.V. de verwerkingsverantwoordelijke was voor de verwerking van de persoonsgegevens voor de Nederlandse merken en dat het privacybeleid van toepassing was op alle producten en diensten van DPG. In het privacybeleid was ook opgenomen hoe een betrokkene inzage in zijn gegevens kon krijgen en hoe een betrokkene zijn gegevens kon laten verwijderen.

Voorts blijkt uit verklaringen van DPG dat zij ook feitelijk optrad als degene die het doel en de middelen bepaalde voor de verwerking van persoonsgegevens in relatie tot ingediende verzoeken om inzage in en wissing van persoonsgegevens. Uit deze verklaringen blijkt namelijk dat DPG zelfstandig bepaalde welke gegevens moesten worden verstrekt door verzoekers van inzage- en wissingsverzoeken (middel) en waarom die gegevens moesten worden verstrekt (doel).27

Gelet op het voorgaande stelt de AP vast dat DPG de verwerkingsverantwoordelijke is in de zin van artikel 4, onderdeel 7, van de AVG voor de verwerking van persoonsgegevens met betrekking tot de ingediende verzoeken om inzage in en wissing van persoonsgegevens.

3.2. Faciliteren rechten van betrokkenen

3.2.1 Juridisch kader Op grond van artikel 12, tweede lid, van de AVG dient de verwerkingsverantwoordelijke de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22 van de AVG te faciliteren. Het recht op inzage in persoonsgegevens (artikel 15 van de AVG) en het recht op wissing van persoonsgegevens (artikel 17 van de AVG) zijn hieronder begrepen.

Overweging 59 van de AVG geeft nadere duiding aan de norm in artikel 12 van de AVG: Er dienen regelingen voorhanden te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening gemakkelijker uit te oefenen, zoals mechanismen om te verzoeken om met name inzage in en rectificatie of wissing van persoonsgegevens en, indien van toepassing, deze gratis te verkrijgen, alsmede om het recht van bezwaar uit te oefenen. […]

27 Onderzoeksrapport AP van 29 september 2021, bijlage 1 steeds onder E.

9/19

Overweging 63 van de AVG benoemt onder andere het volgende: Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. […]

Op grond van het bovenstaande moet de verwerkingsverantwoordelijke een regeling hebben om de betrokkenen in staat te stellen hun rechten gemakkelijker en eenvoudig uit te oefenen. Een verwerkingsverantwoordelijke mag daarbij geen onnodige drempels opwerpen voor betrokkenen om voornoemde rechten uit te oefenen. Wanneer een verwerkingsverantwoordelijke beleid heeft dat de uitoefening van de genoemde rechten belemmert en dit beleid actief uitdraagt, kan er sprake zijn van overtreding van artikel 12, tweede lid, van de AVG.28

Het verifiëren van de identiteit van een natuurlijk persoon die een verzoek om inzage of wissing doet, is een onmisbare paragraaf van een regeling in de zin van artikel 12, tweede lid, van de AVG. Een verwerkingsverantwoordelijke is immers gehouden zorg te dragen voor een passende beveiliging van de door haar verwerkte persoonsgegevens, onder meer tegen ongeoorloofde of onrechtmatige verwerking.29

Daarnaast moet de verwerkingsverantwoordelijke bij de controle van de identiteit van een verzoeker het beginsel van gegevensminimalisatie als bedoeld in artikel 5, eerste lid bij c, van de AVG in acht nemen. Hieruit vloeit voort dat bij het verifiëren van de identiteit van de verzoeker in het kader van de uitoefening van zijn/haar rechten, de door een verwerkingsverantwoordelijke gevraagde persoonsgegevens toereikend dienen te zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Hierbij dienen de beginselen van proportionaliteit en subsidiariteit in acht te worden genomen. De opgevraagde gegevens ter verificatie van de identiteit van de verzoeker dienen in verhouding te staan tot het met de verwerking daarvan te dienen doel (proportionaliteit). En dit doel kan niet op een minder nadelige, minder ingrijpende wijze worden verwezenlijkt (subsidiariteit).

Het is onevenredig om een kopie van een identiteitsbewijs te vereisen als de identiteit van de betrokkene op een andere manier kan worden geverifieerd. Bovendien vormt de verwerking van kopieën van identiteitsbewijzen een groot risico voor de veiligheid van persoonsgegevens. Daarnaast kan de verwerkingsverantwoordelijke er niet zeker van zijn dat de kopie authentiek is en de eigenaar van de identiteitskaart daadwerkelijk de verzoeker is, door bijvoorbeeld (ongeoorloofde) toegang tot identiteitsbewijzen door huisgenoten en vervalste kopieën van identiteitsbewijzen.

Al het voorgaande komt erop neer dat het beleid van een verwerkingsverantwoordelijke met betrekking tot de uitoefening van rechten van betrokkenen zo moet zijn ingericht, dat een betrokkene zich op de minst ingrijpende wijze moet identificeren. En dat dit beleid is afgestemd op (onder meer) het risico voor de

28 Zie ook ECLI:NL:RBGEL:2020:3159, overwegingen 9.7 en 9.8. 29 Zie artikel 32 van de AVG.

10/19

rechten en vrijheden van personen, mede gelet op de aard van en hoeveelheid gegevens waarvan inzage of wissing wordt gevraagd en de context waarbinnen het verzoek wordt gedaan. Dit zal in veel gevallen betekenen dat zoveel mogelijk primair aan de hand van persoonsgegevens die een verwerkingsverantwoordelijke reeds verwerkt, de identiteit van de verzoeker kan worden vastgesteld.

Mocht een verwerkingsverantwoordelijke ondanks de in eerste instantie gevraagde en door de betrokkene verstrekte persoonsgegevens alsnog redenen hebben om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient, dan kan de verwerkingsverantwoordelijke op grond van artikel 12, zesde lid, van de AVG de betrokkene om aanvullende informatie vragen. Artikel 12, zesde lid, van de AVG ziet derhalve vooral op individuele gevallen, waarin er in het concrete geval redenen zijn om te twijfelen aan de identiteit. In dat geval staat artikel 12, zesde lid, van de AVG een verwerkingsverantwoordelijke toe om aanvullende informatie te vragen die nodig is om de identiteit van de verzoeker vast te stellen, mits hij kan aantonen dat hij de identiteit van de betrokkene niet zonder aanvullende gegevens kan controleren. Maar ook hier geldt dat de verwerkingsverantwoordelijke slechts die (aanvullende) informatie mag opvragen die noodzakelijk is. Ook hier gelden de hierboven genoemde beginselen van proportionaliteit en subsidiariteit.

3.2.2. Beoordeling De AP heeft in hoofdstuk 2 vastgesteld dat DPG buiten de inlogomgeving van accounts altijd om een kopie van een identiteitsbewijs verzocht.30 DPG deed dit verzoek ongeacht welke (contact)informatie bij DPG beschikbaar was over de betrokkene en zonder rekening te houden met de aard en hoeveelheid persoonsgegevens waarvan inzage of wissing werd gevraagd. De werkwijze van DPG was voorts zo ingericht dat als een kopie van het identiteitsbewijs door de betrokkene niet werd verstrekt, het verzoek om inzage of wissing om die reden niet (verder) in behandeling werd genomen. Indien de betrokkene wel een kopie van het identiteitsbewijs verstrekte, dan had dat tot gevolg dat DPG onnodig veel gevoelige gegevens aan het verwerken was (zoals het Burgerservicenummer).

Gelet op het bovenstaande juridische kader moet een regeling met betrekking tot de uitoefening van rechten van betrokkenen zo zijn ingericht, dat een betrokkene zich op de minst ingrijpende wijze moet kunnen identificeren. Dit betekent naar het oordeel van de AP, dat DPG een betrokkene zoveel mogelijk primair aan de hand van persoonsgegevens die DPG reeds verwerkt moet identificeren. Een voorbeeld hiervan kan zijn een abonnee-/klantnummer in combinatie met een naam en adres en/of e-mailadres van een verzoeker.

Nu door DPG van betrokkenen standaard een kopie van een identiteitsbewijs werd vereist zonder eerst na te gaan of DPG (al) beschikte over andere (identificerende) (contact)informatie en zonder rekening te houden met de aard en hoeveelheid van persoonsgegevens, is de AP van oordeel dat betrokkenen niet op gemakkelijke en eenvoudige wijze aanspraak konden maken op hun rechten onder de AVG. Met andere

30 Bijvoorbeeld via een automatisch verzoek dat verscheen in het contactformulier of een nagestuurde e-mail.

11/19

woorden, DPG vroeg niet om een kopie van het identiteitsbewijs op basis van een concrete beoordeling per individueel geval als bedoeld in artikel 12, zesde lid, van de AVG. Maar DPG vroeg bij voorbaat om een kopie van het identiteitsbewijs, omdat dit geldend beleid was. Dit beleid van DPG en het actief uitdragen ervan op onder andere de website en via de klantenservice van DPG, zorgde er dan ook voor dat een onnodige drempel werd opgeworpen rondom de indiening van verzoeken om inzage in en wissing van persoonsgegevens.

Het beleid van DPG heeft ook in de praktijk – ten aanzien van klagers – belemmerend gewerkt bij de verzoeken om inzage en wissing.31 Uit de ingediende klachten blijkt dat deze werkwijze van DPG weerstand opriep, die erin resulteerde dat de klagers (in een aantal gevallen) niet bereid waren om een kopie van hun identiteitsbewijs te verstrekken. De weigering om een kopie van het identiteitsbewijs te verstrekken had tot gevolg dat DPG de verzoeken van een aantal klagers om die reden niet (verder) in behandeling nam. Het beleid en de uitvoering ervan door DPG wierp ten aanzien van die klagers dan ook daadwerkelijk een belemmering op voor het uitoefenen van het recht op inzage of wissing.

De AP wil in het bijzonder opmerken dat de door DPG gehanteerde voorwaarde tot het overleggen van een kopie van een identiteitsbewijs bij een verzoek van een betrokkene niet in verhouding stond tot de aard en hoeveelheid persoonsgegevens waaromtrent een verzoek werd gedaan. Bovendien mogen organisaties alleen het Burgerservicenummer verwerken als dit in een specifieke wet is bepaald. Bij het opvragen van een kopie van het identiteitsbewijs klemt dit temeer, omdat vanuit de Rijksoverheid wordt aanbevolen om voorzichtig om te gaan met het verstrekken van (afgeschermde) kopieën van het identiteitsbewijs. Dit document bevat immers gevoelige persoonsgegevens. De combinatie van gegevens die vermeld staan op het identiteitsbewijs maakt bovendien identiteitsfraude mogelijk. Ook de AP wijst op haar website dat het verstrekken van een kopie van een identiteitsbewijs een risico inhoudt.32

3.3 Zienswijze DPG en reactie AP

DPG heeft een zienswijze naar voren gebracht op de onderzoeksbevindingen van de AP. De AP zet de zienswijze van DPG hieronder kort uiteen, voorzien van een reactie van de AP.

3.3.1 Noodzaak kopie identiteitsbewijs DPG stelt in haar zienswijze dat de identiteit van een kleine groep betrokkenen niet kan worden vastgesteld aan de hand van persoonlijke beveiligingsgegevens, aangezien de informatie die zij opgeven niet al is geverifieerd/gekoppeld aan informatie in de systemen van DPG (omdat ze niet zijn ingelogd). Een verzoeker die een inzage- of wissingsverzoek buiten de beveiligde omgeving indient, moet daarom aanvullende gegevens verstrekken. Op deze manier kan DPG nagaan en aantonen dat deze persoon een beroep toekomt op inzage of verwijdering van de persoonsgegevens (m.a.w. kwalificeert als een

31 Zie paragraaf 2.4.3. 32 https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs.

12/19

betrokkene) en DPG een wettelijke grondslag heeft om eventuele persoonsgegevens die zij verwerkt op diens verzoek te wissen of te verstrekken aan deze verzoeker (m.a.w. vast te stellen of de verzoeker de betrokkene is die deze zegt te zijn).

Zolang DPG de identiteit van de verzoeker niet kan vaststellen, is de AVG volgens DPG niet van toepassing.33 Voor de afhandeling van het AVG-verzoek volstaat dat DPG aangeeft niet in staat te zijn om de identiteit van de verzoeker vast te stellen en te vragen om aanvullende gegevens. Dat laatste juist ter naleving van artikel 12, tweede lid tweede zin, van de AVG.

DPG acht voorts het vragen van een kopie identificatiebewijs noodzakelijk. Volgens DPG wordt op deze wijze effectief het risico beperkt dat DPG een kopie van de persoonsgegevens verstrekt of persoonsgegevens verwijdert van de ‘verkeerde’ betrokkene, wat een overtreding zou meebrengen van artikel 6 van de AVG. Het gebruik van een kopie identiteitsbewijs is de minst ingrijpende wijze om de identiteit deugdelijk vast te stellen en is bovendien afgestemd op het reële risico voor de rechten en vrijheden van personen.34 Zonder een kopie identiteitsbewijs kan de identiteit van een verzoeker volgens DPG niet (deugdelijk) worden vastgesteld en mag DPG op grond van op grond van artikel 5 en 6 van de AVG weigeren het door de verzoeker gewenste gevolg te geven aan dergelijke verzoeken.

De AP volgt de zienswijze van DPG niet. De AP benadrukt dat zij in onderhavig besluit heeft beoordeeld op welke wijze DPG de rechten van betrokkenen heeft gefaciliteerd en niet of bepaalde individuen uiteindelijk wel of niet te identificeren waren. De door DPG aangehaalde jurisprudentie waarin uitspraak is gedaan over de identificatie van een individu in het kader van artikel 15 van de AVG en 35 van de Wet bescherming persoonsgegevens (Wbp) acht de AP in dit geval daarom niet relevant. Dat een kopie van een identiteitsbewijs noodzakelijk kan zijn in een individueel geval tussen een burger en de overheid, maakt nog niet dat het vragen hiervan bij voorbaat in alle gevallen noodzakelijk is.

De AP is het verder niet eens met de stelling van DPG dat het in alle gevallen noodzakelijk is om een kopie van het identiteitsbewijs te verkrijgen van de verzoeker. Het ligt op de weg van DPG om eerst zelf na te gaan welke gegevens zij al van de verzoeker in bezit heeft. Indien geen minder ingrijpende wijze van identificeren mogelijk is, dan kan een verwerkingsverantwoordelijke verzoeken een afgeschermd identiteitsbewijs te tonen. DPG heeft overigens ook zelf tijdens het onderzoek verklaard dat zij in sommige gevallen een klant reeds kan identificeren op basis van naam en adres, soms zijn aanvullende gegevens als abonneenummer of e-mailadres noodzakelijk.35 Daarnaast hanteert DPG momenteel de aangepaste werkwijze waarbij een verificatiemail wordt gestuurd om de identiteit van een verzoeker te kunnen vaststellen. Het verwerken van kopieën van identiteitsbewijzen waar gevoelige gegevens op staan zoals het Burgerservicenummer, foto, lengte en nationaliteit is in dit geval juist in strijd met het beginsel van

33 DPG verwijst naar ECLI:NL:RBOVE:2021:1296, r.o. 8. 34 DPG verwijst naar ECLI:NL:RVS:2020:2833, r.o. 5.2. 35 Onderzoeksrapport AP van 29 september 2021, bijlage 1 steeds onder E.

13/19

gegevensminimalisatie en rechtmatigheid (artikel 5, lid 1 bij sub c en artikel 6 van de AVG). Dat DPG bij voorbaat een kopie van het – bovendien niet-afgeschermde - identiteitsbewijs heeft vereist om überhaupt een verzoek in behandeling te nemen werkt niet faciliterend voor de uitoefening van de rechten van betrokkenen.

3.3.2 Het begrip faciliteren DPG geeft aan dat de AP in haar onderzoeksrapport stelt dat artikel 12, tweede lid, van de AVG betekent dat de verwerkingsverantwoordelijke de uitoefening van de rechten van betrokkenen gemakkelijker moet maken. DPG is echter van mening dat de AP geen gelijk heeft gekregen in deze uitleg in een door de AP aangehaalde uitspraak van een voorzieningenrechter. ‘Faciliteren’ brengt volgens DPG mee dat een verwerkingsverantwoordelijke de uitoefening van deze rechten niet (onnodig) belemmert en ‘mogelijk moet maken’.36 DPG stelt verder dat de Belgische toezichthouder op de AVG in haar Nederlandstalige voorbeeldbrief voor AVG-verzoeken standaard opgenomen heeft dat betrokkenen een kopie van de identiteitskaart kunnen meesturen. Tot slot verwijt DPG de AP dat zij niet eerder (uitdrukkelijk) afstand heeft gedaan van een standpunt in een brief van een zaak uit 2003 van haar rechtsvoorganger het College bescherming persoonsgegevens (CBP).37

De AP gaat niet mee in de zienswijze van DPG. Ten eerste heeft de AP in haar onderzoeksrapport de desbetreffende uitspraak van de Rechtbank Gelderland aangehaald als voorbeeld bij een andere stelling. Namelijk in het geval een verwerkingsverantwoordelijke beleid heeft dat de uitoefening van de genoemde rechten belemmert en dit beleid ook actief uitdraagt, is er sprake van overtreding van artikel 12, tweede lid, van de AVG.38 Ten tweede heeft de desbetreffende voorzieningenrechter de discussie of ‘faciliteren’ ook het ‘makkelijker maken’ omvat in die casus niet relevant geacht, omdat belemmering in elk geval niet kan worden aangemerkt als het faciliteren van het recht van inzage.39 De AP is dus op basis van artikel 12, tweede lid, van de AVG en overweging 59 en 63 van de AVG van oordeel dat ‘faciliteren’ zo opgevat moet worden dat de verwerkingsverantwoordelijke een regeling moet hebben om de betrokkenen in staat te stellen hun rechten onbelemmerd, gemakkelijker en eenvoudig uit te oefenen.

De AP is voorts van oordeel dat de door DPG aangehaalde citaten uit een CBP-brief uit 2003 een eenzijdig beeld oproepen van de inhoud van die brief. Het CBP wijst in deze brief een verzoek tot bemiddeling tussen twee partijen af. Het CBP heeft overwogen dat bij het vaststellen van de identiteit de aard van de gegevens

36 DPG verwijst naar ECLI:NL:RBGEL:2020:3159, r.o. 9.8. 37 DPG heeft uit deze brief het volgende geciteerd: “Naar het oordeel van het CBP mag het belang van het deugdelijk vaststellen van de identiteit van verzoeker niet te snel opzij worden gezet ten gunste van een snellere of gemakkelijkere behandeling van een inzageverzoek. […] In bepaalde gevallen (zoals in casu) wil betrokkene geen kopie van het identiteitsbewijs opsturen omdat daar persoonsgegevens op staan. Als betrokkene geen kopie van een identiteitsbewijs wil versturen, dan is er altijd nog de mogelijkheid dat betrokkene of diens gemachtigde het identiteitsbewijs ter plaatse toont aan de verantwoordelijke en op deze wijze inzage verkrijgt. […] Het is ook denkbaar dat [de verwerkingsverantwoordelijke] genoegen neemt met een kopie van een paspoort waarop bijvoorbeeld het sofi-nummer onleesbaar is gemaakt.” 38 ECLI:NL:RBGEL:2020:3159, r.o. 9.7. 39 ECLI:NL:RBGEL:2020:3159, r.o. 9.8.

14/19

en van de verwerking van belang zijn. Ook heeft het CPB gesteld dat bij een schriftelijk inzageverzoek door een advocaat een kopie identiteitsbewijs van de advocaat in beginsel niet nodig is in het kader van artikel 37, tweede lid, van de Wbp. Voor de betrokkene of diens gemachtigde is het ook een mogelijkheid om het identiteitsbewijs ter plaatse te tonen aan de verantwoordelijke, aldus het CPB. Tot slot had het, - gelet op de lange tijd die sinds 2003 is verstreken, op de weg van DPG gelegen om met het van kracht worden van de AVG per 24 mei 2016 en de inwerkingtreding ervan per 25 mei 2018 zich (opnieuw) van de geldende wet- en regelgeving te vergewissen en in overeenstemming daarmee te handelen; helemaal nu een verdergaande gedigitaliseerde maatschappij (vijftien jaar later) helaas met zich mee heeft gebracht dat het verstrekken van persoonsgegevens niet zonder risico is. De AP geeft op haar website al geruime tijd uitgebreide informatie over de regels bij identificatie.40 Een Belgische modelbrief, waar overigens een afschermde kopie als een optie wordt gegeven naast bijvoorbeeld een toegekend klantnummer, doet daar niet aan af.

3.3.3 Wijze van identificeren DPG is het niet eens met de in het onderzoeksrapport opgenomen stelling van de AP dat DPG buiten een kopie van het identiteitsbewijs geen andere wijze van vaststelling van de identiteit had. Betrokkenen konden er volgens DPG voor kiezen om een verzoek in te dienen via zijn/haar account. Daarnaast gold volgens DPG de werkwijze dat wanneer de verzoeker weigerde een kopie identiteitsbewijs te verstrekken, met de privacy officer werd overlegd en een kopie identiteitsbewijs niet nodig werd bevonden wanneer verificatie van de identiteit op een andere manier plaats kon vinden. DPG stelt tot slot dat zij via haar voormalige privacyverklaring actief het beleid heeft uitgedragen om gebruik te maken van een afgeschermde kopie identiteitsbewijs.

De AP volgt ook deze zienswijze van DPG niet. Als betrokkenen niet via het contactformulier of per e-mail een kopie van hun identiteitsbewijs willen verstrekken, dan moeten zij vervolgens niet gedwongen worden om een account aan te maken op de DPG-website. Ook dit is een (onnodige) belemmering voor betrokkenen om hun rechten onder de AVG te kunnen uitoefenen. Dat in een latere fase intern bij DPG met de privacy officer overleg plaatsvond, zoals DPG stelt maar niet met bewijs onderbouwt, acht de AP niet relevant voor het oordeel over het uitgedragen beleid dat DPG van tevoren naar de betrokkenen toe voerde. Overigens strookt deze verklaring niet met datgene wat DPG tijdens het onderzoek heeft verklaard over haar beleid.

De AP kan DPG tot slot niet volgen in de stelling dat zij actief het beleid heeft uitgedragen om gebruik te maken van een afgeschermde kopie identiteitsbewijs. DPG heeft in haar privacystatement aangegeven dat alleen bij verzoeken per post een afgeschermde kopie volstaat. Via het contactformulier, de e-mail en in het geval dat een betrokken weigerde een kopie identiteitsbewijs te verstrekken heeft DPG er niet op gewezen dat het om een afgeschermde kopie ging. Dit volgt ook uit de overgelegde communicatie tussen DPG en klagers.

40 https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs.

15/19

3.3.4 Artikel 12, zesde lid, van de AVG DPG vindt de in het onderzoeksrapport opgenomen uitspraak van de AP dat een verwerkingsverantwoordelijke de identiteit van de verzoeker (tot inzage of wissing) “buiten gerede twijfel” wil vaststellen om een datalek of misbruik van rechten te voorkomen, een onvolledige, onjuiste interpretatie van de AVG. De ‘gerede twijfel’-toets van artikel 12, zesde lid, van de AVG komt volgens DPG niet aan de orde indien de verwerkingsverantwoordelijke überhaupt de identiteit van de verzoeker niet kan vaststellen.

De AP volgt het betoog van DPG niet. Als de verwerkingsverantwoordelijke niet in staat is om de identiteit van een betrokkene vast te stellen, dan stelt hij de betrokkene daarvan in kennis. Wanneer de betrokkene daarna geen aanvullende gegevens verstrekt die het mogelijk maken hem te identificeren, dan zijn artikel 15 tot en met 20 van de AVG in dat geval niet van toepassing. Weliswaar om een andere reden komt ook de AP tot de conclusie dat artikel 12, zesde lid, van de AVG in de onderhavige beoordeling van de overtreding niet relevant is.

3.3.5 Klachten DPG is van mening dat de AP ten onrechte vijf klachten bij haar onderzoek en beoordeling heeft betrokken. De klachten hebben geen of onvoldoende betrekking op de bevindingen van de AP op basis waarvan zij de overtreding constateert dat DPG in strijd handelt met artikel 12, tweede lid, van de AVG. DPG verzoekt de AP daarom deze klachten niet te betrekken bij een handhavingsbesluit.

De AP zal dit verzoek niet inwilligen. De communicatie tussen de klagers en DPG vormt een weergave van de wijze waarop DPG haar beleid omtrent de rechten van betrokkenen heeft uitgevoerd. Uit elke klacht blijkt dat Sanoma, of onderdelen die onder Sanoma vielen, destijds voor het in behandeling nemen van een verzoek een kopie van het identiteitsbewijs vereiste en dat de klagers dit als een belemmering hebben ervaren.

3.4 Conclusie

De AP komt tot de conclusie dat DPG ten tijde van de inbreuk onvoldoende de uitoefening van de rechten van betrokkenen heeft gefaciliteerd. Hierdoor heeft DPG in strijd gehandeld met artikel 12, tweede lid, van de AVG.

16/19

4. Boete 4.1 Inleiding

DPG heeft in strijd gehandeld met artikel 12, tweede lid, van de AVG. De AP maakt voor de vastgestelde overtreding gebruik van haar bevoegdheid om aan DPG een boete op te leggen. Gezien de ernst van de overtreding en de mate waarin deze aan DPG kan worden verweten, acht de AP de oplegging van een boete gepast. De AP motiveert dit in het navolgende.

4.2 Boetebeleidsregels Autoriteit Persoonsgegevens 2019

Ingevolge artikel 58, tweede lid, aanhef en onder i en artikel 83, vijfde lid, van de AVG, gelezen in samenhang met artikel 14, derde lid, van de UAVG, is de AP bevoegd aan DPG in geval van een overtreding van artikel 12 van de AVG een bestuurlijke boete op te leggen tot € 20.000.000 of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

De AP heeft Boetebeleidsregels vastgesteld inzake de invulling van voornoemde bevoegdheid tot het opleggen van een bestuurlijke boete, waaronder het bepalen van de hoogte daarvan.41 In de Boetebeleidsregels is gekozen voor een categorie-indeling en bandbreedte systematiek. Overtreding van artikel 12, tweede lid, van de AVG is ingedeeld in categorie III. Categorie III heeft een boetebandbreedte tussen € 300.000 en € 750.000 en een basisboete van € 525.000.

4.3 Boetehoogte

4.3.1 Ernst van de overtreding In het kader van het transparantiebeginsel moet de verwerkingsverantwoordelijke de uitoefening van de rechten van de betrokkene faciliteren. Voor de gegevensbescherming is het essentieel dat betrokkenen op een gemakkelijke manier hun rechten onder de AVG kunnen uitoefenen. Hierdoor wordt de betrokkene in staat gesteld om op eenvoudige manier kennis te nemen welke persoonsgegeven een verwerkingsverantwoordelijke verwerkt. Een goede invulling van het inzagerecht is verder noodzakelijk om andere rechten te kunnen uitoefenen, zoals het recht op rectificatie en het recht op gegevenswissing.

DPG stelt in haar zienswijze dat een afweging van de belangen in deze zaak hooguit moet leiden tot een berisping. Indien het gaat om een kleine inbreuk dan kan de AP in plaats van een gelboete kiezen voor een berisping. Gelet op de onderhavige overtreding was er echter naar het oordeel van de AP sprake van een ernstige inbreuk, waarin DPG de rechten van betrokkenen onvoldoende heeft gefaciliteerd. De AP acht het

41 Stcrt. 2019, 14586, 14 maart 2019.

17/19

opleggen van een berisping daarom onvoldoende doeltreffend, niet evenredig en evenmin afschrikkend. De AP motiveert dit als volgt.

Voor wat betreft de aard van de inbreuk weegt de AP zwaar mee dat ongeacht welke (contact)informatie bij DPG beschikbaar was over de betrokkene, DPG de verzoeken niet in behandeling nam als de betrokkene geen kopie van het identiteitsbewijs verstrekte. Hierdoor moesten betrokkenen niet alleen veel persoonsgegevens verstrekken, maar ook zeer gevoelige persoonsgegevens zoals een foto en het Burgerservicenummer. Betrokkenen moeten niet aangespoord worden om persoonsgegevens te verstrekken die niet noodzakelijk zijn voor de uitoefening van hun rechten onder de AVG.

Ook het stelselmatige – en dus niet incidentele – karakter van de overtreding waarbij DPG langdurig en systematisch haar beleid (actief) heeft uitgedragen, weegt de AP mee bij de bepaling van de ernst van de overtreding. Hoewel DPG per 17 december 2020 niet langer vraagt om een kopie van een identiteitsbewijs, heeft DPG pas op 18 oktober 2021 haar privacybeleid op de website hierop aangepast. Voor wat betreft de omvang van het aantal getroffen betrokkenen neemt de AP in aanmerking dat het aantal betrokkenen in relatieve zin beperkt was, maar in absolute zin omvangrijk. Uit een steekproef over een periode van 6 maanden is gebleken dat het 60 betrokkenen betrof. Gelet op de duur van de werkwijze van DPG van 25 mei 2018 tot in oktober 2021 is de AP van oordeel dat het om enkele honderden betrokkenen moet zijn gegaan. Deze betrokkenen, maar ook andere personen die door dit beleid en via verschillende communicatiemiddelen van DPG afzagen van hun rechten, werden dus onnodig belemmerd in de uitoefening van hun rechten onder de AVG. Het beleid van DPG heeft tot gevolg gehad dat betrokkenen die niet hun kopie van hun identiteitsbewijs verstrekten, geen inzage hebben kunnen krijgen in hun persoonsgegevens of hun persoonsgegevens niet hebben kunnen laten verwijderen.

Op grond van het bovenstaande is de AP van oordeel dat sprake is van een ernstige overtreding, op grond waarvan een basisboete van € 525.000 passend is. De AP ziet in dit geval geen aanleiding om de basisboete te verhogen of te verlagen.

4.3.2 Verwijtbaarheid en evenredigheid Ingevolge artikel 5:46, tweede lid, van de Awb houdt de AP bij de oplegging van een bestuurlijke boete rekening met de mate waarin deze aan de overtreder kan worden verweten.

DPG stelt dat de overtreding niet aan haar kan worden verweten, omdat DPG met haar handelwijze de algehele naleving van de AVG voor ogen had. Dit betoog kan niet slagen. Van afwezigheid van verwijtbaarheid is geen sprake. Nu het hier gaat om een overtreding, mag de AP voor het opleggen van een bestuurlijke boete conform vaste rechtspraak de verwijtbaarheid veronderstellen als het daderschap vaststaat. DPG heeft actief beleid gevoerd dat in strijd was met de AVG. DPG heeft nagelaten om dat beleid aan te passen aan de waarborgen die de AVG aan onder andere het recht van inzage en op gegevenswissing geeft. De AP acht dit verwijtbaar.

18/19

DPG stelt voorts in haar zienswijze dat het in strijd zou zijn met het lex certa-beginsel indien de AP op basis van open normen een punitieve sanctie zou opleggen. De AP volgt de zienswijze van DPG niet. Het belemmeren van de uitoefening van de rechten als bedoeld in artikel 15 tot en met 22 van de AVG kan in geen geval worden aangemerkt als het faciliteren van die rechten. De wettekst van de AVG, overweging 59 en 63 van de AVG en de uitgebreide informatie over de regels bij identificatie op de AP-website geven voldoende duidelijkheid. Van een professionele marktpartij als DPG mag worden verwacht dat zij zich terdege van de voor haar geldende normen vergewist en vooral ook dat zij deze naleeft.

Tot slot beoordeelt de AP ingevolge artikelen 3:4 en 5:46 van de Awb of de toepassing van haar beleid voor het bepalen van de hoogte van de boete gezien de omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leidt.

De AP is van oordeel dat (de hoogte van) de boete evenredig is.42 De AP heeft in dit oordeel onder andere de ernst van de inbreuk en de mate waarin deze aan DPG kan worden verweten meegewogen. Vanwege de aard van de persoonsgegevens, de duur van de overtreding en de gevolgen van het beleid van DPG voor betrokkenen kwalificeert de AP deze inbreuk op de AVG als ernstig. Gezien de financiële omvang van DPG vindt de AP de hoogte van de boete gepast en afschrikkend.

Gezien het voorgaande ziet de AP geen aanleiding het bedrag van de boete op grond van de evenredigheid en de in de Boetebeleidsregels genoemde omstandigheden, voor zover van toepassing in het voorliggende geval, te verhogen of te verlagen.

4.4 Conclusie

De AP stelt het totale boetebedrag vast op € 525.000.

42 Zie voor de motivering paragraaf 4.3.1 en 4.3.2.

19/19

5. Dictum De AP legt aan DPG Media Magazines B.V. wegens overtreding van artikel 12, tweede lid, van de AVG een bestuurlijke boete op ten bedrage van: € 525.000 (zegge vijfhonderdvijfentwintigduizend euro).43

Hoogachtend, Autoriteit Persoonsgegevens,

w.g.

ir. M.J. Verdier Vicevoorzitter

Rechtsmiddelenclausule Indien u het niet eens bent met dit besluit kunt u binnen zes weken na de datum van verzending van het besluit digitaal of op papier een bezwaarschrift indienen bij de Autoriteit Persoonsgegevens. Ingevolge artikel 38 van de UAVG schort het indienen van een bezwaarschrift de werking van de beschikking tot oplegging van de bestuurlijke boete op. Voor het indienen van digitaal bezwaar, zie www.autoriteitpersoonsgegevens.nl, onder het kopje Bezwaar maken tegen een besluit, onderaan de pagina onder de kop Contact met de Autoriteit Persoonsgegevens. Het adres voor het indienen op papier is: Autoriteit Persoonsgegevens, postbus 93374, 2509 AJ Den Haag. Vermeld op de envelop ‘Awb-bezwaar’ en zet in de titel van uw brief ‘bezwaarschrift’. Schrijf in uw bezwaarschrift ten minste: - uw naam en adres; - de datum van uw bezwaarschrift; - het in deze brief genoemde kenmerk (zaaknummer); of een kopie van dit besluit bijvoegen; - de reden(en) waarom u het niet eens bent met dit besluit; - uw handtekening.

43 De AP zal voornoemde vordering uit handen geven aan het Centraal Justitieel Incassobureau (CJIB). De boete dient overeenkomstig artikel 4:87, eerste lid, Awb binnen zes weken te worden betaald. Voor informatie en/of instructie over de betaling kan contact opgenomen worden met de eerder vermelde contactpersoon bij de AP.