Het kopietje paspoort van RTL | AVG

RTL maakt met regelmaat cybersecurity-schandalen bekend, waaraan techjournalist Daniël Verlaan (site, twitter) een verdienstelijke bijdrage levert. RTL heeft de eigen cybersecurity niet op orde, zo blijkt uit hun privacystatement.

In het fraaie privacystatement legt de uitgever uit dat alles over de site-bezoekers en nieuwsbrieflezers wordt verzameld en met een groot aantal derden, onder meer Adfactor, DPG Media (voorheen De Persgroep), Branddeli en Dumpert, wordt ‘gedeeld’. Van derden worden ook gegevens verkregen. Daarmee wordt van de gebruiker een profiel gemaakt, dat wordt verkocht aan adtech bedrijven. RTL gaat daarbij van de veronderstelling uit dat zij een gerechtvaardigd belang bij direct marketing hebben  (marketing en gerechtvaardigd  belang is een thema waar ik nog eens in wil duiken).

Inzage | kopie ID per e-mail
Degene die bij RTL een inzageverzoek wil doen, wordt in het privacystatement gevraagd om een kopie van een paspoort (waarom geen identiteitsbewijs), dat per e-mail aan privacy@rtl.nl moet worden gestuurd… Terwijl e-mail onveilig is en onderweg gelezen kan worden (lees dit) en terwijl iemand anders een kopie ID kan hebben en dit kan gebruiken om aan RTL te sturen.

Het vragen van inzage op grond van de AVG is een gekend cybersecurityrisico voor de gebruikers.

Het enige dat RTL doet is verwijzen naar een pagina bij de rijksoverheid over voorkoming van fraude met een identiteitsbewijs, waarin alleen wordt uitgelegd dat bepaalde gegevens moeten worden afgedekt. Daarmee voldoet RTL niet aan de AVG, ten eerste mag geen kopie-ID worden gevraagd, ten tweede moet op grond van de AVG  bepaalde informatie aan de inzage-verzoeker worden verstrekt [1] en ten derde is RTL verantwoordelijk voor een veilige communicatie. Op de site van de Autoriteit Persoonsgegevens is informatie over het vragen van inzage te vinden [2].

Slechte beurt van RTL!

 

NB Neemt niet weg dat ik Verlaan blijf lezen.

 

 

 

Noten:

[1] Autoriteit Persoonsgegevens (AP): Hoe kan ik de identiteit vaststellen wanneer iemand zijn/haar privacyrechten uitoefent?. De AP schrijft: “Geen kopie ID. Toch mag u voor dit doel bijna nooit een kopie van het identiteitsbewijs vragen. In de meeste gevallen zijn er namelijk minder ingrijpende manieren om iemands identiteit vast te stellen“. Vervolgens geeft de AP een aantal voorbeelden van alternatieve identificatie: via een bestaand inlogsysteem, een vorm van tweefactorauthenticatie, langs komen en laten tonen ID-bewijs zonder een kopie te maken. Als er wel een reden is voor een kopie van het ID-bewijs, moet de ontvanger bepaalde informatie verschaffen.
[2] Bekijk ook de inleidende informatie van de AP over de rechten van betrokkene (degene over wie de persoonsgegevens gaan) en de nadere informatie over inzage.

 

Andere berichten over kopietje paspoort op dit blog zijn via deze tag te vinden.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Fraude, witwasbestrijding, Wwft, ICT, privacy, e-commerce en getagged met , , , , , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s