Vraag: het vaststellen van de identiteit
Een aantal appgebruikers binnen een panel willen graag een uitdraai van de gegevens die het onderzoekbureau van hen heeft.
Het verstrekken van de gevraagde gegevens is geen probleem. Het probleem is wel hoe te bepalen of je te maken hebt met de ware respondent of met een gehackt profiel.
Het uitvragen van een kopie van rijbewijs of id kaart zou hierbij kunnen helpen, maar dan willen de gebruiker liever niet, en is wellicht onnodig.
Antwoord voor het vaststellen van de identiteit van een respondent
De Autoriteit Persoonsgegevens heeft bepaald in een procedure bij een mediabedrijf dat betrokkenen(de respondent) die hun eigen persoonsgegevens wilden inzien, die het mediabedrijf verwerkt, niet gevraagd mogen worden om een kopie van een identiteitsbewijs om op die wijze er zeker van te zijn het om de “echte” respondent gaat en niet om een fake/gehackt profiel.
Er is dus geen bezwaar tegen de verstrekking van de (persoons-) gegevens maar wel tegen de wijze van verificatie of het de juiste persoon betreft die het verzoek doet. De onderzoeksorganisatie moet dan wel de Verwerkingsverantwoordelijke (‘eigenaar’) zijn voor de persoonsgegevens.
Dit zou overigens anders kunnen zijn als er van betrokkenen bijzondere persoonsgegevens (art 9 Avg), zoals gezondheidsgegevens, ras gegevens etc worden verwerkt, maar daar ga ik niet vanuit). https://www.autoriteitpersoonsgegevens.nl/actueel/ap-boete-dpg-media-voor-onnodig-opvragen-identiteitsbewijs
De Autoriteit Persoonsgegevens heeft aangegeven dat er een andere, minder ingrijpende, methode dient te worden gekozen. Een oplossing is het versturen van een verificatie mail aan de betrokkene die dit heeft verzocht, op het e-mailadres dat bekend is van de betrokkene bij de onderzoeksorganisatie. In de verificatiemail wordt de betrokkene verzocht om te bevestigen of hij/zij inderdaad verzocht heeft om inzage. Bij bevestiging via het bekende e-mailadres is er voldaan aan het vaststellen van de identiteit van de betrokkene.
Geeft de betrokkene in de mail die hij/zij terugstuurt aan dat er een ander e-mailadres dient te worden gebruikt dan dit andere e-mailadres niet gebruiken. Dan dient de betrokkene op een andere manier te worden gecontracteerd om te verifiëren. Gebruik dus alleen de gegevens om te verifiëren die bekend zijn bij de onderzoeksorganisatie.
Amsterdam, 11 juni 2024