Recruiter Michael Page beboet voor kwart miljoen na schending privacyregels

De Spaanse privacytoezichthouder Agencia Española de Protección de Datos (AEPD) heeft recruitmentbureau Michael Page een boete van 240.000 euro opgelegd. Het bureau krijgt die boete omdat mensen die hun gegevens wilden inzien onder meer een volledige kopie van hun identiteitsbewijs moesten opsturen.

Onderzoek gestart na klacht van Nederlandse

Deze eis van Michael Page is een schending van de privacyregels die gelden in de EU. Iedereen heeft het recht op inzage in de eigen persoonsgegevens bij een derde organisatie, zonder dat daar aanvullende voorwaarden aan gesteld kunnen worden. Dit recht is in Nederland vastgelegd in de Algemene verordening gegevensbescherming (AVG). Het stellen van voorwaarden aan inzage in de eigen persoonsgegevens geldt als een onwettige beperking van dit recht.

De Spaanse waakhond AEPD startte het onderzoek na een klacht van een Nederlandse. De boete is daarom afgestemd met de Autoriteit Persoonsgegevens (AP). Bij deze Nederlandse instantie is de klacht namelijk ingediend. De boete is echter uitgedeeld door de Spaanse waakhond omdat de beslissingen van Michael Page op het gebied van privacy worden genomen door de Spaanse vestiging van het bedrijf. Om deze reden was het de Spaanse toezichthouder die het onderzoek naar het recruitmentbureau uitvoerde. Dit gebeurde in goede samenwerking met de AP.

Risico op lekkage van privacygevoelige informatie

De Nederlandse had zich ingeschreven bij Michael Page en wilde van het bureau weten welke persoonsgegevens het van haar had verzameld. Michael Page wilde de Nederlandse alleen inzage geven in haar gegevens als zij zich zou identificeren door een volledige kopie van haar identiteitsbewijs en een kopie van haar verzekeringspas op te sturen. Daarnaast eiste het bureau een kopie van een recente energie- of waterrekening, om te controleren of haar adres klopte.

Michael Page eiste hiermee onnodig extra persoonsgegevens, zo luidde het oordeel van het AEPD. Het recruitmentbureau had deze persoonsgegevens niet nodig om te controleren of degene die inzage in haar persoonsgegevens vroeg, ook was wie zij zei. Deze persoon had namelijk ook een account bij Michael Page, waar alleen zij toegang tot had. Dat is voldoende.

Bovendien is het opvragen van een identiteitsbewijs een erg zwaar middel. Organisaties mogen dat alleen in zeer uitzonderlijke gevallen doen. De risico’s op lekkage van privacygevoelige informatie zijn namelijk groot: kopieën van een identiteitsbewijs kunnen bijvoorbeeld via een ransomware-aanval of een ander datalek in verkeerde handen komen. Dat kan tot identiteitsfraude leiden. Daarmee liggen de risico’s niet alleen bij het recruitmentbureau. Ook voor mensen die houder zijn van de persoonsgegevens kunnen gevolgen voor verlies van persoonsgegevens groot zijn.