De Spaanse privacytoezichthouder Agencia Española de Protección de Datos (AEPD) heeft recruitmentbureau Michael Page een boete van 240.000 euro opgelegd. Het bureau krijgt die boete omdat mensen die hun gegevens wilden inzien onder meer een volledige kopie van hun identiteitsbewijs moesten opsturen. De AEPD startte het onderzoek na een klacht van een Nederlandse en de boete is dan ook afgestemd met de Autoriteit Persoonsgegevens (AP).
Spaanse boete voor recruiter na Nederlandse klacht
De klacht werd namelijk ingediend bij de AP in Nederland. Maar omdat de beslissingen van het recruitmentbureau op dit gebied in de Spaanse vestiging van het bedrijf worden genomen, voerde de Spaanse toezichthouder het onderzoek uit. Dit gebeurde in goede samenwerking met de AP.
Recht op inzage
De Nederlandse had zich ingeschreven bij het recruitmentbureau en wilde van het bureau weten welke persoonsgegevens het van haar had verzameld. Dit recht op inzage is een recht dat iedereen in Europa heeft, op basis van de privacywet Algemene verordening gegevensbescherming (AVG).
Michael Page wilde de Nederlandse alleen inzage geven in haar gegevens als zij zich zou identificeren door een volledige kopie van haar identiteitsbewijs en van haar verzekeringspas op te sturen. Daarnaast eiste het bureau een kopie van een recente energie- of waterrekening, om te controleren of haar adres klopte.
Onnodig
Michael Page eiste hiermee onnodig extra persoonsgegevens. Het bureau had deze persoonsgegevens niet nodig om te controleren of degene die inzage in haar persoonsgegevens vroeg, ook was wie zij zei. Deze persoon had namelijk ook een account bij Michael Page, waar alleen zij toegang tot had. Dat is voldoende.
Identiteitsfraude
Bovendien is het opvragen van een identiteitsbewijs een erg zwaar middel. Organisaties mogen dat alleen in zeer uitzonderlijke gevallen doen. De risico’s zijn namelijk groot: kopieën van een identiteitsbewijs kunnen bijvoorbeeld via een ransomware-aanval of een ander datalek in verkeerde handen komen. Dat kan tot identiteitsfraude leiden. En grote gevolgen hebben voor de mensen achter deze persoonsgegevens.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.