Blog

GDPR/AVG: Privacyrechten van consumenten – de uitvoering

Op 25 mei 2018 is de Europese privacywet General Data Protection Regulation (GDPR) van kracht geworden, in Nederland bekend als de Algemene Verordening Gegevensbescherming (AVG). Hoe is het 1 jaar na dato gesteld met de uitvoering van de rechten van betrokkenen? Een onderzoek bij 15 ondernemingen: 14 West-Europese en 1 Amerikaanse. Niet representatief, wel indicatief. Leestijd 5 minuten.

Rechten van een natuurlijke persoon

Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, de betrokkene. Verwerking is een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, zoals het opvragen, raadplegen, gebruiken, verzamelen, opslaan, wissen enz. (AVG, artikel 4). Rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens vindt plaats op basis van ‘gerechtvaardigde grondslagen’. Van die grondslagen komen ‘uitvoering van een overeenkomst’, ‘voldoen aan een wettelijke verplichting’ en ‘expliciete toestemming’ (artikel 6) in de praktijk veel voor.

De privacywet beschermt, breidt uit, versterkt en uniformeert verschillende rechten van EER-burgers betreffende eigen persoonsgegevens. Zoals het recht op informatie (artikel 13 en 14), op inzage (artikel 15), op rectificatie (artikel 16) en op gegevenswissing/vergetelheid (artikel 17). Daarbij geldt dat het verstrekken van informatie, van de communicatie en het treffen van maatregelen kosteloos geschieden. Alleen indien de verzoeken van een betrokkene ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter (artikel 12, lid 5), of indien de betrokkene om bijkomende kopieën van diens persoonsgegevens verzoekt (artikel 15, lid 3), mag de ‘verwerkingsverantwoordelijke’ een redelijke vergoeding op basis van de administratieve kosten rekenen. Of beargumenteerd weigeren om gevolg te geven aan de verzoeken.

“De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van betrokkene …”, mits hij in staat is betrokkene te identificeren (artikel 12, lid 2), en reageert “… onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek …” (artikel 12, lid 3).

De uitvoering van het inzagerecht, en van andere rechten

Gedurende het nieuwe wetsregime heb ik uiteenlopende verzoeken om inzage, wissing en rectificatie van persoonsgegevens ingediend. Alle 22 verzoeken zijn online gedaan bij zeven Nederlandse, vier Engelse, twee Duitse en een Amerikaanse onderneming.
De laatste inzageverzoeken dateren van eind november 2018, een half jaar na inwerkingtreding van de uitvoeringswet GDPR/AVG. Daarna verschuift het accent naar de wissingsverzoeken. Hieronder staat het overzicht van de afzonderlijke verzoeken.
De beoordeling per bedrijf varieert van 2 (slecht) tot 9 (zeer goed).

De twaalf inzageverzoeken zijn gesteld in dezelfde taal als waarin ik eerder met betreffende ondernemingen heb gecorrespondeerd. Doorgaans in het Nederlands, en aan de hand van de voorbeeldbrief van de Autoriteit Persoonsgegevens – in Nederland de toezichthouder en wetgevingsadviseur. De bewerkte voorbeeldbrief is acht keer gebruikt.

Enkele Nederlandse bedrijven en Engelse intermediairs corresponderen anoniem, hooguit onder vermelding van een groepsnaam. De tien intermediairs zijn ICT-tussenpersonen met wie herhaaldelijk contact is geweest. Voor twee heb ik gewerkt, meer dan vijf jaar geleden. De twee banken en het energiebedrijf leverden een product aan mij.

Nader onderzoek verdient de uitvoering van het recht op rectificatie en op vergetelheid. Daaronder vallen ook de kennisgevingsplicht aan iedere verwerker (artikel 19).

Conclusies

Over inzageverzoeken zijn enkele conclusies mogelijk:

1. Qua correctheid, volledigheid en snelheid scoren Nederlandse bedrijven matig.

2. Soms blijkt de vrees voor een datalek. Terecht. Echter de eisen die een grote intermediair stelt aan verificatie van de identiteit van de aanvrager, zijn wel erg stringent. Dat maakt de procedure moeizaam – en kan leiden tot administratieve boetes (maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is).

3. Indiening van het verzoek bij Rabobank NL conform haar instructie zorgt meteen voor misverstanden en vertraging in de behandeling. Opmerkelijk voor een financiële instelling van deze statuur. Evengoed zal het meer gebeuren dat een inzageverzoek, al dan niet via een online contactformulier, terechtkomt bij een onvoorbereide groep of persoon.

4. Een sluitende afhandeling begint met een tijdige, doordachte, gestandaardiseerde aanpak en ruimschootse, leesbare documentatie.

Vooruitzicht

Het proces voor inzageverzoeken, beschermd tegen datalekken, kan op verschillende onderdelen en momenten worden gestroomlijnd. Anders gesteld: u bent nog niet te laat.

Het is verstandig om tegelijkertijd het beroep op de andere praktische rechten in te richten. Dan bedoel ik niet alleen het recht op rectificatie en op vergetelheid, maar ook het recht op beperking van de verwerking (artikel 18), gegevensoverdraagbaarheid/dataportabiliteit (artikel 20), het recht van bezwaar (artikel 21) en het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming, waaronder profilering (artikel 22).

Bovendien verdient het aanbeveling om uw klachtenprocedure opnieuw te beschouwen. Zodat een klacht over verwerking van persoonsgegevens niet meteen leidt tot een beroep op het ”Recht om klacht in te dienen bij een toezichthoudende autoriteit” (artikel 77).

Kortom, onder de GDPR/AVG moet u een rechtmatig verzoek van een natuurlijke persoon correct, volledig én snel afhandelen. Laat het weten als u hierbij hulp nodig hebt.

Hoe dan ook succes met de aanpassingen in 2019!