Blog

GDPR/AVG: Privacyrechten – de uitvoering (1)

Op 25 mei 2018 is de Europese privacywet General Data Protection Regulation (GDPR) van kracht geworden, in Nederland bekend als de Algemene Verordening Gegevensbescherming (AVG). Hoe is het na ruim acht maanden gesteld met de uitvoering van de rechten van betrokkenen? Een onderzoek bij zeven Nederlandse, vier Engelse en twee Duitse bedrijven. Niet representatief, wel indicatief.

Rechten van een natuurlijke persoon

Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, de betrokkene. Verwerking is een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, zoals het opvragen, raadplegen, gebruiken, verzamelen, opslaan, wissen enz. (AVG, artikel 4). Rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens vindt plaats op basis van ‘gerechtvaardigde grondslagen’. Van die grondslagen komen uitvoering van een overeenkomst, voldoen aan een wettelijke verplichting en expliciete toestemming (artikel 6) in de praktijk veel voor.

De privacywet beschermt, breidt uit, versterkt en uniformeert verschillende rechten van EER-burgers betreffende eigen persoonsgegevens. Zoals het recht op informatie (artikel 13 en 14), op inzage (artikel 15), op rectificatie (artikel 16) en op gegevenswissing/vergetelheid (artikel 17). Daarbij geldt dat het verstrekken van informatie, van de communicatie en het treffen van maatregelen kosteloos geschieden. Alleen indien de verzoeken van een betrokkene ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter (artikel 12, lid 5), of indien de betrokkene om bijkomende kopieën van diens persoonsgegevens verzoekt (artikel 15, lid 3), mag de ‘verwerkingsverantwoordelijke’ een redelijke vergoeding op basis van de administratieve kosten rekenen. Of beargumenteerd weigeren om gevolg te geven aan de verzoeken.

“De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van betrokkene …”, mits hij in staat is betrokkene te identificeren (artikel 12, lid 2), en reageert “… onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek …” (artikel 12, lid 3).

De uitvoering van het inzagerecht, en van andere rechten

Gedurende het nieuwe wetsregime heb ik uiteenlopende verzoeken om inzage, rectificatie en wissing van persoonsgegevens ingediend. Alle verzoeken zijn online gedaan bij zeven Nederlandse, vier Engelse en twee Duitse ondernemingen. De laatste inzageverzoeken dateren van eind november 2018, een half jaar na inwerkingtreding van de uitvoeringswet GDPR/AVG. Hieronder staat het overzicht van de afzonderlijke verzoeken. De beoordeling per bedrijf varieert van 1 (zeer slecht) tot 9 (zeer goed).

De twaalf inzageverzoeken zijn gesteld in dezelfde taal als waarin ik eerder met betreffende ondernemingen heb gecorrespondeerd. Doorgaans in het Nederlands, en aan de hand van de voorbeeldbrief van de Autoriteit Persoonsgegevens (in Nederland de toezichthouder en wetgevingsadviseur). De bewerkte brief is acht keer gebruikt.

Enkele Nederlandse bedrijven en Engelse intermediairs corresponderen anoniem, hooguit onder vermelding van een groepsnaam. De negen intermediairs zijn ICT-tussenpersonen met wie herhaaldelijk contact is geweest. Voor twee heb ik gewerkt, meer dan vijf jaar geleden.
De twee banken en het energiebedrijf leveren een product aan mij. Eén procedure loopt nog; zie overzicht onder Opmerkingen, gecursiveerde zin.

Nader onderzoek verdient de uitvoering van het recht op rectificatie en op vergetelheid. Daaronder valt ook de kennisgevingsplicht aan iedere verwerker (artikel 19).

Conclusies

Over inzageverzoeken zijn enkele conclusies mogelijk:

1. Qua correctheid, volledigheid en snelheid scoren Nederlandse bedrijven matig.

2. Soms blijkt de vrees voor een datalek. Terecht. Echter de eisen die een grote intermediair stelt aan verificatie van de identiteit van de aanvrager, zijn wel erg stringent. Dat maakt de procedure moeizaam – en kan leiden tot administratieve boetes (maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is).

3. Indiening van het verzoek bij Rabobank NL conform haar instructie zorgt meteen voor misverstanden en vertraging in de behandeling. Opmerkelijk voor een financiële instelling van deze statuur. Evengoed zal het meer gebeuren dat een inzageverzoek, al dan niet via een online contactformulier, terechtkomt bij een onvoorbereide groep of persoon.

4. Een sluitende afhandeling begint met een tijdige, doordachte, gestandaardiseerde aanpak en ruimschootse, leesbare documentatie.

Vooruitzicht

Het proces voor inzageverzoeken, beschermd tegen datalekken, kan op verschillende onderdelen en momenten worden gestroomlijnd. Anders gesteld: u bent nog niet te laat.

Het is verstandig om tegelijkertijd het beroep op de andere praktische rechten in te richten. Dan bedoel ik niet alleen het recht op rectificatie en op vergetelheid, maar ook het recht op gegevensoverdraagbaarheid/dataportabiliteit (artikel 20), het recht van bezwaar (artikel 21) en het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming, waaronder profilering (artikel 22).

Bovendien verdient het aanbeveling om uw klachtenprocedure opnieuw te beschouwen. Zodat een klacht over verwerking van persoonsgegevens niet meteen leidt tot een beroep op het ”Recht om klacht in te dienen bij een toezichthoudende autoriteit” (artikel 77).

Kortom, onder de GDPR/AVG moet u een rechtmatig verzoek van een natuurlijke persoon correct, volledig én snel afhandelen. Stuur een e-mail naar mij als u hierbij hulp nodig hebt. Hoe dan ook succes met de aanpassingen in 2019!