GDPR/AVG: Inzagerecht – de uitvoering (geactualiseerd)
Op 25 mei 2018 is de Europese privacywet General Data Protection Regulation (GDPR) van kracht geworden, in Nederland ook bekend als de Algemene Verordening Gegevensbescherming (AVG). Hoe is het na 8 maanden gesteld met de uitvoering van het bekendste recht, te weten het recht van inzage? Een onderzoek bij 7 Nederlandse, 4 Engelse en 2 Duitse bedrijven. Niet representatief, wel indicatief.
Rechten van een natuurlijke persoon
Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, de betrokkene. Verwerking is een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens, zoals het opvragen, raadplegen, gebruiken, verzamelen enz. (AVG, artikel 4). Rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens vindt plaats op basis van ‘gerechtvaardigde grondslagen’. Van die grondslagen komen uitvoering van een overeenkomst, voldoen aan een wettelijke verplichting en expliciete toestemming (artikel 6) in de praktijk veel voor.
De wet beschermt, breidt uit, versterkt en uniformeert verschillende rechten van EER-burgers betreffende eigen persoonsgegevens. Zoals het recht van inzage (artikel 15), het recht op rectificatie (artikel 16) en het recht op gegevenswissing/vergetelheid (artikel 17). Daarbij geldt: “De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene …”, mits hij in staat is betrokkene te identificeren (artikel 12, tweede lid), en reageert “… onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek van de betrokkene …” (artikel 12, derde lid).
De uitvoering van het inzagerecht
Gedurende het nieuwe wetsregime heb ik uiteenlopende verzoeken om inzage, rectificatie en wissing van persoonsgegevens ingediend. Alle verzoeken zijn online gedaan bij zeven Nederlandse, vier Engelse en twee Duitse ondernemingen. De laatste inzageverzoeken dateren van eind november 2018, een half jaar na inwerkingtreding van de uitvoeringswet GDPR/AVG. Hieronder staat het overzicht van de afzonderlijke verzoeken. De beoordeling per bedrijf varieert van 1 (zeer slecht) tot 9 (zeer goed).
De twaalf inzageverzoeken zijn gesteld in dezelfde taal als waarin ik eerder met betreffende ondernemingen heb gecorrespondeerd. Doorgaans in het Nederlands, en aan de hand van de voorbeeldbrief van de Autoriteit Persoonsgegevens. De bewerkte brief is acht keer gebruikt. Enkele Nederlandse bedrijven en Engelse intermediairs correspondeerden anoniem, hooguit onder vermelding van een groepsnaam. De negen intermediairs zijn ICT-tussenpersonen met wie herhaaldelijk contact is geweest. Voor twee heb ik gewerkt, meer dan vijf jaar geleden. De twee banken en het energiebedrijf leveren een product aan mij. Twee procedures lopen nog (zie tabel onder Opmerkingen, gecursiveerde zinnen).
Nader onderzoek verdient de uitvoering van het recht op rectificatie en op vergetelheid. Daaronder valt ook de kennisgevingsplicht aan iedere verwerker (artikel 19).
Conclusies
Over inzageverzoeken zijn enkele conclusies mogelijk:
1. Qua correctheid, volledigheid en snelheid scoren Nederlandse bedrijven matig.
2. Soms blijkt de vrees voor een datalek. Terecht. Echter de eisen die een grote intermediair stelt aan verificatie van de identiteit van de aanvrager, zijn wel erg stringent. Dat maakt de procedure moeizaam – en kan leiden tot administratieve boetes (maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is).
3. Indiening van het verzoek bij Rabobank NL conform haar instructie zorgt meteen voor misverstanden en vertraging in de behandeling. Opmerkelijk voor een financiële instelling van deze statuur. Evengoed zal het meer gebeuren dat een inzageverzoek, al dan niet via een online contactformulier, terechtkomt bij een onvoorbereide groep of persoon.
4. Een sluitende afhandeling begint met een tijdige, doordachte, gestandaardiseerde aanpak en ruimschootse, leesbare documentatie.
Vooruitzicht
Het proces voor inzageverzoeken, beschermd tegen datalekken, kan op verschillende onderdelen en momenten worden gestroomlijnd. Anders gesteld: u bent nog niet te laat.
Het is verstandig om tegelijkertijd het beroep op de andere praktische rechten in te richten. Dan bedoel ik niet alleen het recht op rectificatie en op vergetelheid, maar ook het recht op gegevensoverdraagbaarheid/dataportabiliteit (artikel 20), het recht van bezwaar (artikel 21) en het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming, waaronder profilering (artikel 22).
Bovendien verdient het aanbeveling om uw klachtenprocedure opnieuw te beschouwen. Zodat een klacht over verwerking van persoonsgegevens niet meteen leidt tot een beroep op het ”Recht om klacht in te dienen bij een toezichthoudende autoriteit” (artikel 77).
Kortom, onder de GDPR/AVG moet u een rechtmatig verzoek van een natuurlijke persoon correct, volledig én snel afhandelen. Stuur een e-mail naar mij als u hierbij hulp nodig hebt. Hoe dan ook succes met de aanpassingen in 2019!
