De klacht werd namelijk ingediend bij de AP in Nederland. Maar omdat de beslissingen van het recruitmentbureau op dit gebied in de Spaanse vestiging van het bedrijf worden genomen, voerde de Spaanse toezichthouder het onderzoek uit. Dit gebeurde in goede samenwerking met de AP.

Recht op inzage

De Nederlandse had zich ingeschreven bij het recruitmentbureau en wilde van het bureau weten welke persoonsgegevens het van haar had verzameld. Dit recht op inzage is een recht dat iedereen in Europa heeft, op basis van de privacywet Algemene verordening gegevensbescherming (AVG).

Michael Page wilde de Nederlandse alleen inzage geven in haar gegevens als zij zich zou identificeren door een volledige kopie van haar identiteitsbewijs en van haar verzekeringspas op te sturen. Daarnaast eiste het bureau een kopie van een recente energie- of waterrekening, om te controleren of haar adres klopte.

Onnodig

Michael Page eiste hiermee onnodig extra persoonsgegevens. Het bureau had deze persoonsgegevens niet nodig om te controleren of degene die inzage in haar persoonsgegevens vroeg, ook was wie zij zei. Deze persoon had namelijk ook een account bij Michael Page, waar alleen zij toegang tot had. Dat is voldoende.

Identiteitsfraude

Bovendien is het opvragen van een identiteitsbewijs een erg zwaar middel. Organisaties mogen dat alleen in zeer uitzonderlijke gevallen doen. De risico’s zijn namelijk groot: kopieën van een identiteitsbewijs kunnen bijvoorbeeld via een ransomware-aanval of een ander datalek in verkeerde handen komen. Dat kan tot identiteitsfraude leiden. En grote gevolgen hebben voor de mensen achter deze persoonsgegevens.

Bron: autoriteitpersoonsgegevens.nl