ECLI:NL:RBAMS:2023:5074

Uitspraak

RECHTBANK AMSTERDAM

Bestuursrecht

Zaaknummer: AMS 22/5458

uitspraak van de meervoudige kamer van 10 augustus 2023 in de zaak tussen

DPG Media B.V., gevestigd te Amsterdam, eiseres (DPG)

(gemachtigden: mrs. Q.R. Kroes en M. Rijsenbrij ),

Autoriteit Persoonsgegevens, verweerder

(gemachtigden: mrs. A. Karimi en O.S. Nijveld ).

Procesverloop

Bij besluit van 14 januari 2022 (het primaire besluit) heeft verweerder aan DPG een boete van € 525.000,- opgelegd wegens overtreding van artikel 12, tweede lid, van de Algemene Verordening Gegevensbescherming (AVG).^[1]

Bij besluit van 4 oktober 2022 (het bestreden besluit) heeft verweerder het bezwaar van DPG tegen dat besluit ongegrond verklaard.

DPG heeft beroep ingesteld. Verweerder heeft een verweerschrift ingediend.

Het onderzoek ter zitting heeft plaatsgevonden op 29 juni 2023. DPG is vertegenwoordigd door haar gemachtigden, mr. van der Velde (advocaat), mr. van Breda (hoofd juridische zaken van DPG), mr. Heerink (jurist bij DPG). Verweerder heeft zich laten vertegenwoordigen door haar gemachtigden.

Overwegingen

Achtergrond

1. DPG is - onder meer - uitgever van bladen, tijdschriften en boeken. DPG heeft op 1 oktober 2021 Sanoma Media Netherlands B.V. (Sanoma) overgenomen. Deze procedure heeft met name betrekking op de periode waarin Sanoma nog zelfstandig was, vóór de overname door DPG. De rechtbank zal hierna steeds spreken over “DPG”, ook als het indertijd Sanoma betrof.

2. DPG verwerkt persoonsgegevens, zoals de naam, het adres en de woonplaatsgegevens van klanten die bijvoorbeeld een abonnement hebben afgesloten voor een van de tijdschriften die DPG uitgeeft. In dat kader kan DPG ook beschikken over financiële gegevens, zoals een bankrekeningnummer.

3. Op 29 januari 2019 heeft DPG van verweerder een verzoek ontvangen om informatie over het beleid dat zij op dat moment hanteerde ten aanzien van verzoeken om inzage en/of wissing van persoonsgegevens, waarbij een kopie van een identiteitsbewijs werd opgevraagd. Aanleiding hiervoor waren vijf klachten die verweerder had ontvangen in de periode van september 2018 tot en met januari 2019.

4. Op 18 februari 2019 heeft DPG een schriftelijke toelichting verstrekt. Vervolgens heeft verweerder op 3 juli 2019 aan DPG verzocht om op de individuele klachten te reageren. DPG heeft op 17 juli 2019 op de klachten gereageerd.

5. Op 7 oktober 2021 heeft verweerder het ‘
Onderzoeksrapport inzake het opvragen van een kopie ID bij verzoeken om inzage of verwijdering bij DPG Media Magazines B.V., voorheen Sanoma Media Netherlands B.V.’ van 29 september 2021 aan DPG gezonden. In dat rapport heeft verweerder geconcludeerd dat DPG met haar beleid en het actief uitdragen ervan het recht op inzage en wissing belemmerde en daarmee onnodige drempels opwierp voor het inzetten van deze rechten. Om die reden is volgens verweerder sprake van strijd met artikel 12, tweede lid, van de AVG in de periode van mei 2018 tot en met 18 juni 2021.

6. Bij brief van 7 oktober 2021 heeft verweerder een voornemen tot handhaving gestuurd naar DPG en daarbij de gelegenheid gegeven tot het indienen van een zienswijze. Op 16 november 2021 heeft DPG een zienswijze ingediend, waarna verweerder op 14 januari 2022 het primaire besluit heeft genomen.

Besluitvorming verweerder

7. Bij het primaire besluit, gehandhaafd in het bestreden besluit, heeft verweerder een bestuurlijke boete van € 525.000 opgelegd aan DPG. Verweerder legt hieraan ten grondslag dat DPG artikel 12, tweede lid, van de AVG heeft overtreden. De overtreding bestaat eruit dat DPG aan betrokkenen die buiten de online inlogomgeving van DPG, te weten via het online contactformulier, per mail of per brief, een verzoek deden om uitoefening van hun recht op inzage in of wissing van hun persoonsgegevens, standaard en op voorhand vroeg om hun identiteit te bevestigen met een kopie van hun identiteitsbewijs. DPG deed dit verzoek zonder van tevoren te beoordelen of de desbetreffende verzoeker op een andere, minder ingrijpende wijze kon worden geïdentificeerd. Met deze werkwijze heeft DPG volgens verweerder de uitoefening van het recht op inzage en wissing niet gefaciliteerd naar de maatstaven van artikel 12, tweede lid, van de AVG. Verweerder heeft geen aanleiding gezien om van de basisboete af te wijken.

Standpunt DPG

8. DPG voert, kort samengevat, aan dat verweerder ten onrechte heeft geconcludeerd dat de werkwijze van DPG een overtreding van artikel 12, tweede lid, van de AVG oplevert, omdat verweerder een verkeerde uitleg geeft aan de norm van het artikel. In het beleid van DPG was verder wel degelijk ruimte voor maatwerk, dat ook in praktijk werd gebracht. Voorbeelden daarvan zijn te vinden in het onderzoeksrapport. DPG voert verder aan dat het opleggen van de boete in strijd is met het
lex certa-beginsel. Ten slotte voert DPG aan dat het opleggen en de hoogte van de bestuurlijke boete strijdig is met het evenredigheidsbeginsel.

Beoordeling door de rechtbank

9. De rechtbank beoordeelt in deze zaak of verweerder de boete mocht opleggen. Dit doet de rechtbank aan de hand van de beroepsgronden van DPG.

Artikel 12, tweede lid, van de AVG

10. De rechtbank stelt voorop dat de boete zoals verweerder die heeft opgelegd specifiek betrekking heeft op het beleid ten aanzien van verzoeken om inzage of wissing van persoonsgegevens, die werden gedaan buiten de inlogomgeving van DPG om. Tussen partijen staat vast dat verreweg de meeste verzoeken om inzage of wissing gedaan werden binnen de inlogomgeving. Verweerder heeft geen opmerkingen ten aanzien van de afhandeling van die verzoeken. De vraag die in deze procedure aan de orde is of verweerder zich terecht op het standpunt heeft gesteld dat DPG met haar beleid ten aanzien van verzoeken die gedaan werden buiten de inlogomgeving om, de uitoefening van de rechten van betrokkenen al dan niet voldoende faciliteerde in de zin van artikel 12, tweede lid, van de AVG. Hiervoor gaat de rechtbank eerst in op wat het beleid van DPG op dit punt inhield en wat het begrip ‘faciliteren’ in de zin van artikel 12, tweede lid, van de AVG betekent.

11.1.

Het beleid van DPG ten aanzien van verzoeken buiten de inlogomgeving om bestond er destijds uit dat - kort gezegd – bij ieder verzoek standaard en op voorhand een kopie van het identiteitsbewijs werd opgevraagd. Dit blijkt onder andere uit het toenmalige privacy statement dat zich in het procesdossier bevindt. Bij ontvangst van een verzoek om inzage in- of wissing van persoonsgegevens vroeg DPG altijd om een kopie van een identiteitsbewijs. Als het verzoek via het online formulier werd ingediend, geschiedde dit automatisch. Als het verzoek per e-mail werd ingediend, werd door DPG een e-mail teruggestuurd met het verzoek om een kopie van een identiteitsbewijs te verstrekken. Een verzoek werd pas in behandeling genomen, nadat een kopie van een identiteitsbewijs was verstrekt. Het privacy statement en de werkwijze stonden op de website van DPG en DPG heeft in de brief van 17 juli 2019 bevestigd dat zij deze werkwijze hanteerde. In het privacy statement stond verder nog vermeld dat men een afgeschermde kopie, waar het Burgerservicenummer en foto onherkenbaar waren gemaakt, kon verstrekken en dit ook voldoende was. Deze mogelijkheid noemde DPG niet nog expliciet in de gevallen dat zij een verzoeker vroeg om een kopie van het identiteitsbewijs te sturen nadat de verzoeker bij het contactformulier geen kopie had meegestuurd.

11.2.

Voor de invulling van het begrip ‘faciliteren’ in artikel 12, tweede lid, van de AVG zoekt de rechtbank aansluiting bij de preambule van de AVG, in het bijzonder overwegingen 59 tot en met 64. Mede tegen deze achtergrond leest de rechtbank de verordening aldus dat ‘faciliteren’ betekent dat een verwerkingsverantwoordelijke moet voorzien in een regeling die het mogelijk maakt om de rechten uit hoofde van de AVG, zoals het recht op inzage en wissing, uit te oefenen, met dien verstande dat geen sprake mag zijn van onnodige belemmeringen ten aanzien van de uitoefening van deze rechten. Verweerder heeft er terecht op gewezen dat daarnaast als verplichting geldt dat de verwerkingsverantwoordelijke de identiteit controleert van degene die om inzage verzoekt. De verantwoordelijke dient hiertoe alle redelijke maatregelen te nemen. Dit zal een belemmering kunnen opleveren, maar deze mag niet onnodig zijn. De beginselen van proportionaliteit, subsidiariteit en dataminimalisatie zullen bij het maken en de uitvoering van de regelingen in acht moeten worden genomen.

12. De rechtbank stelt derhalve vast, dat er een spanningsveld bestaat met betrekking tot het ‘faciliteren’ van het inzagerecht en de identificatieplicht. Op grond van de AVG is DPG immers verplicht aan verzoekers inzage te geven in de van hen verwerkte persoonsgegevens, waarbij geen onnodige belemmeringen mogen worden opgeworpen, maar tegelijkertijd is DPG verplicht verzoekers te identificeren, om te voorkomen dat persoonsgegevens aan de verkeerde persoon worden verstrekt (datalek), hetgeen belemmerend kan werken. Er is niet op voorhand een voor alle gevallen toepasbare strakke lijn te trekken tussen wat in dit verband wel en niet is toegestaan bij de invulling van de identificatieplicht en wat daarbij onnodig belemmerend moet worden geacht en wat niet. Op dit punt spelen, zoals hiervoor overwogen, de beginselen van proportionaliteit, subsidiariteit en dataminimalisatie een rol. Een en ander is onder meer afhankelijk van welke persoonsgegevens een organisatie verwerkt. Tussen partijen is onbetwist - en ook de rechtbank gaat daar van uit - dat gevoeligere gegevens met meer beveiligingsmaatregelen moeten worden gewaarborgd.

13. De rechtbank overweegt tegen deze achtergrond het volgende ten aanzien van het beleid van DPG met betrekking tot verzoeken om inzage of wissing buiten de inlogomgeving om.

14. De rechtbank deelt het standpunt van DPG, dat een kopie van een identiteitsbewijs op zichzelf geen onredelijk middel is om een persoon te identificeren. Een en ander is ook bevestigd door de Afdeling bestuursrechtspraak van de Raad van State (de Afdeling).^[2]In de hier bedoelde gevallen vroeg DPG echter altijd om een kopie van het identiteitsbewijs en nam zij een verzoek niet in behandeling zolang er geen kopie was verstrekt. Dit terwijl - zoals ter zitting besproken - het niet in alle gevallen over (zeer) gevoelige persoonsgegevens van de klanten van DPG ging en het in ieder geval in een deel van de gevallen ook mogelijk was om op andere, minder ingrijpende, wijze tot identificatie van verzoekers te komen dan door middel van het verstrekken van een kopie van een identiteitsbewijs (zoals identificatie via e-mail, wat later als standaardregeling werd ingevoerd). Aangenomen moet worden dat op het te verstrekken identiteitsbewijs veelal ook meer persoonsgegevens stonden dan nodig om de verzoeker te identificeren, zoals een Burgerservicenummer, een foto en een documentnummer. Dit is niet in overeenstemming met het beginsel van dataminimalisatie. Hoewel in het privacy statement stond dat het Burgerservicenummer en de foto afgeschermd mochten worden, noemde DPG deze mogelijkheid niet indien zij om een kopie van een identiteitsbewijs verzocht.

15. Naar oordeel van de rechtbank bood het beleid van DPG daarmee onvoldoende ruimte om te kunnen voldoen aan de vereisten van proportionaliteit en subsidiariteit. DPG hanteerde naar het oordeel van de rechtbank een te rigide procedure voor het identificeren van verzoekers, waarmee op voorhand in ieder geval voor een deel van de verzoeken een onnodige belemmering werd opgeworpen. Gebleken is dat er in de praktijk wel meer ruimte bestond wanneer verzoekers na het doen van het verzoek ertoe over gingen te klagen dat zij een kopie van hun identiteitsbewijs moesten verstrekken. Naar het oordeel van de rechtbank is dat echter te laat. DPG had zijn proces zo kunnen en moeten inrichten dat er in een eerder stadium meer ruimte was om rekening te houden met alle relevante omstandigheden, waaronder de aard van het verzoek en de informatie waarom wordt gevraagd. Zo zal bij een eenvoudig verzoek om geen reclamemateriaal meer te ontvangen het verlangen van een (afgeschermde) kopie identiteitsbewijs als voorwaarde voor het in behandeling nemen van dat verzoek doorgaans niet proportioneel en subsidiair zijn. De procedure moet flexibel genoeg zijn om een dergelijk verzoek laagdrempeliger af te kunnen doen.

16
De rechtbank concludeert dan ook dat het beleid van DPG niet in overeenstemming is met het bepaalde in artikel 12, tweede lid, van de AVG.

17. De rechtbank volgt eiseres daarbij niet in haar beroep op het
lex certa-beginsel. Volgens vaste jurisprudentie van de Afdeling verlangt het
lex certa-beginsel, dat onder meer besloten ligt in artikel 7 van het EVRM, van de wetgever dat hij met het oog op de rechtszekerheid op een zo duidelijk mogelijke wijze de verboden gedragingen omschrijft.^[3]Daarbij moet niet uit het oog worden verloren dat de wetgever soms met een zekere vaagheid, bestaande uit het gebruik van algemene termen, verboden gedragingen omschrijft om te voorkomen dat gedragingen die strafwaardig zijn buiten het bereik van die omschrijving vallen. Die vaagheid kan onvermijdelijk zijn, omdat niet altijd te voorzien is op welke wijze de te beschermen belangen in de toekomst zullen worden geschonden en omdat, indien dit wel is te voorzien, de omschrijvingen van verboden gedragingen anders te verfijnd worden met als gevolg dat de overzichtelijkheid wegvalt en daarmee het belang van de algemene duidelijkheid van wetgeving schade lijdt.

18. In dit geval is naar het oordeel van de rechtbank geen sprake van strijd met dit beginsel. De wetgever van de AVG heeft de tekst voldoende algemeen moeten houden om hem bruikbaar te laten zijn voor alle verwerkingsverantwoordelijken en verwerkers. Hoewel de norm van artikel 12, tweede lid, van de AVG open is, is de norm niet dermate onduidelijk dat sprake is van strijd met het
lex certa-beginsel. Voor DPG had duidelijk moeten zijn dat het beleid in deze rigide vorm niet kon voldoen aan de vereisten van proportionaliteit, subsidiariteit en dataminimalisatie.

Het middel en de hoogte van de boete

19. Op grond van artikel 83, vijfde lid, van de AVG is verweerder bevoegd een boete op te leggen bij een inbreuk van artikel 12 van de AVG. Op grond van de Boetebeleidsregels Autoriteit Persoonsgegevens (Boetebeleidsregels) valt de overtreding van artikel 12, tweede lid, van de AVG onder Categorie III. De basisboete van Categorie III bedraagt € 525.000.^[4]Bij het opleggen van een boete moet verweerder een aantal factoren in acht nemen. Deze factoren zijn opgesomd in artikel 83, tweede lid, van de AVG en artikel 7 van de Boetebeleidsregels.

20. Volgens vaste jurisprudentie van de Afdeling^[5]moet een bestuursorgaan bij het toepassen van de bevoegdheid om een boete op te leggen de hoogte van de boete afstemmen op de ernst van de overtreding en de mate waarin deze aan de overtreder kan worden verweten. Daarbij moet rekening worden gehouden met de omstandigheden waaronder de overtreding is gepleegd. Dit is geregeld in artikel 5:46, tweede lid, van de Algemene wet bestuursrecht. Verweerder heeft beleidsregels vastgesteld waarin de boetebedragen voor de overtredingen zijn vastgelegd. Ook als de rechter het beleid niet onredelijk heeft bevonden, moet verweerder bij de toepassing daarvan in een individueel geval beoordelen of die toepassing in overeenstemming is met de hiervoor bedoelde wettelijke eisen aan de uitoefening van de boetebevoegdheid. Steeds moet ten aanzien van de boete, zo nodig in aanvulling op of in afwijking van het beleid, worden vastgesteld dat deze evenredig is. De rechtbank toetst het besluit zonder terughoudendheid.

21. De rechtbank is van oordeel dat verweerder in dit geval niet zonder meer tot de oplegging van de boete had mogen komen. Naar het oordeel van de rechtbank heeft verweerder onvoldoende oog gehad voor de onderstaande omstandigheden.

22. De doelstelling van de AVG is gelegen in het beschermen van persoonsgegevens. Ook de identificatieplicht strekt hiertoe. DPG heeft bij het maken van het beleid een invulling gegeven aan deze identificatieplicht, om er zeker van te zijn dat de persoon die een verzoek doet de betrokkene is in de zin van de AVG. Zij is daarmee niet lichtzinnig omgegaan met haar plichten als verwerkingsverantwoordelijke, maar heeft enkel een onjuiste inschatting gemaakt van het vereiste evenwicht tussen databescherming en het faciliteren van andere rechten uit de AVG. Van ernstig verwijtbaar handelen kan in zoverre niet worden gesproken. Zoals in overweging 14 is gesteld, is een kopie van een identiteitsbewijs bovendien volgens de Afdeling op zichzelf een goed middel om iemand te identificeren.

23. Daarbij komt dat de AVG in de periode waarom het gaat nog maar recent in werking was getreden, namelijk op 25 mei 2018. Verweerder nam hierna bij e-mail van

29 januari 2019 voor het eerst contact met DPG op, waarop DPG op 18 februari 2019 reageerde. Na 18 februari 2019 hoorde DPG vervolgens enige tijd niets, waarna verweerder haar op 3 juli 2019 vroeg specifiek te reageren op de vijf klachten die verweerder had ontvangen. Nadat DPG op 17 juli 2019 aan dit verzoek had voldaan, hoorde DPG pas op

21 oktober 2021 pas weer van verweerder, toen deze het concept rapport opstuurde. De rechtbank overweegt dat verweerder al in een eerder stadium het gesprek aan had kunnen gaan en minst genomen de suggestie had kunnen doen om het beleid aan te passen. Dit klemt temeer, nu DGP in haar brief van 18 februari 2019 al expliciet de vraag aan de orde had gesteld of zij haar beleid zo kon voortzetten, terwijl verweerder, zeker in de periode direct na de inwerkingtreding van de AVG, ook een voorlichtende rol op zich genomen had als toezichthoudende autoriteit. DPG had in de eerste reactie van 18 februari 2019 ook al zodanige openheid van zaken gegeven over haar beleid, dat verweerder zonder meer al op dat moment had kunnen constateren dat het beleid naar haar oordeel in strijd kwam met het bepaalde in artikel 12 van de AVG. Een en ander maakt dat het door verweerder genoemde langdurige karakter van de overtreding niet aan DPG kan worden tegengeworpen. Daarbij constateert de rechtbank ook nog dat DPG het beleid al uit eigen beweging had gewijzigd op het moment dat het concept rapport verscheen. Vanaf 17 december 2020 vroeg DPG niet meer standaard en op voorhand om een kopie van het identiteitsbewijs. Hoewel het privacy statement pas in oktober 2021 wijzigde, is de rechtbank van oordeel dat de wijziging op 17 december 2020 betekende dat niet langer standaard en op voorhand werd gevraagd om een kopie van het identiteitsbewijs.

24. Ten slotte acht de rechtbank van belang dat het beleid van DPG een veel breder scala aan verzoeken ontving dan het deel waarop de onderhavige beslissing ziet. Zoals reeds overwogen blijkt uit het dossier en het verhandelde ter zitting, dat in verreweg de meeste gevallen, namelijk als een betrokkene om inzage of wissing van persoonsgegevens verzocht binnen de inlogomgeving, van een overtreding van artikel 12, tweede lid, van de AVG geen sprake was. Het gaat in dit geval om een relatief beperkt aantal verzoeken. Verweerder heeft bovendien niet vastgesteld in hoeveel van die gevallen het beleid in de praktijk daadwerkelijk tot een onnodige belemmering heeft geleid, omdat het vragen van een kopie van het identificatiebewijs daadwerkelijk niet nodig was geweest, en in hoeveel gevallen DPG daartoe goede gronden had gehad. Dat sprake is geweest van meer dan een kleine inbreuk op de AVG, kan naar het oordeel van de rechtbank tegen de achtergrond van al het voorgaande niet worden vastgesteld.

25. Verweerder heeft bij het opleggen van de boete onvoldoende oog gehad voor de hiervoor genoemde omstandigheden. De rechtbank is van oordeel dat verweerder gelet op al deze omstandigheden tezamen niet tot oplegging van een boete had mogen komen. Wellicht dat de omstandigheden aanleiding zouden kunnen geven om een alternatieve maatregel op te leggen als bedoeld in artikel 58, tweede lid, van de AVG, maar de rechtbank laat dit verder in het midden. Het is aan verweerder om te bezien of hiertoe eventueel nog aanleiding bestaat.

Conclusie

26. Gelet op hetgeen is overwogen over het middel en de hoogte van de boete zal de rechtbank het beroep gegrond verklaren. De rechtbank vernietigt het bestreden besluit en herroept het primaire besluit voor zover daarin de boete is opgelegd. De rechtbank bepaalt dat deze uitspraak in zoverre in de plaats treedt van de besluiten.

27. Omdat de rechtbank het beroep gegrond verklaart, bepaalt de rechtbank dat verweerder aan DPG het door haar betaalde griffierecht ten bedrage van € 365,- vergoedt.

28. De rechtbank veroordeelt verweerder in de door DPG gemaakte proceskosten. Deze kosten stelt de rechtbank op grond van het Besluit proceskosten bestuursrecht voor de door een derde beroepsmatig verleende rechtsbijstand vast op € 1.674,- (1 punt voor het indienen van het beroepschrift, 1 punt voor het verschijnen ter zitting, met een waarde per punt van € 837,- en een wegingsfactor 1).

Beslissing

De rechtbank:

verklaart het beroep gegrond;
vernietigt het bestreden besluit voor zover daarbij een boete is opgelegd en herroept het primaire besluit voor zover daarbij een boete is opgelegd;
bepaalt dat deze uitspraak in de plaats treedt;
draagt verweerder op het betaalde griffierecht van € 365,- aan DPG te vergoeden;
veroordeelt verweerder in de proceskosten van eiseres tot een bedrag van

€ 1.674,-.

Deze uitspraak is gedaan door mr. S.D. Arnold, voorzitter, en mr. M.F. Ferdinandusse en

mr. A.K. Glerum, leden, in aanwezigheid van mr. K.M. Nannan Panday, griffier
.

De beslissing is in het openbaar uitgesproken op 10 augustus 2023.

griffier

voorzitter

is verhinderd de uitspraak te ondertekenen

Afschrift verzonden aan partijen op:

Rechtsmiddel

Tegen deze uitspraak kan binnen zes weken na de dag van verzending daarvan hoger beroep worden ingesteld bij de Afdeling bestuursrechtspraak van de Raad van State.

Als hoger beroep is ingesteld, kan bij de voorzieningenrechter van de hogerberoepsrechter worden verzocht om het treffen van een voorlopige voorziening.