Blog:

Welke persoonsgegevens hebben bedrijven eigenlijk van ons?

door Marco Derksen op 29 april 2018

Bij alles wat we doen laten we, al dan niet bewust, steeds meer gegevens achter. De nieuwe Europese privacywetgeving, de Algemene verordening gegevensbescherming (AVG), die op 25 mei in gaat, heeft tot doel de omgang met persoonsgegevens te reguleren. Maar hoe realistisch is het dat bedrijven over een maand ineens transparant zullen zijn over hun omgang met onze gegevens? Verslaggever Saar Slegers ging de afgelopen maanden voor het radioprogramma Argos op zoek naar de informatie die bedrijven over haar verzamelen. De in beginsel eenvoudige vraag om inzage, blijkt een enorm karwei.

De Argos-rapportage Badmeester wat weet u van mij?, begint bij een Radboud Grand Round-bijeenkomst in het Radboudumc in Nijmegen op 18 september 2017 waar hoogleraar Bart Jacobs een lezing geeft getiteld: ‘Zorg voor privacy‘:

Al snel blijkt dat zelfs in een gerenomeerd ziekenhuis als het Radboudumc de handhaving van de privacywetgeving nog een grote uitdaging is. En nee, dan heb ik het niet over het REshape Center dat in tegenstelling tot wat Jabobs beweert, wel degelijk op de hoogte is van de privacywetgeving. Ik heb het dan vooral over de zorgprofessionals die geen idee hebben waar de data staan en wat er wel en niet kan en mag met data. Compliment overigens voor Radboudumc dat het deze lezing publiek beschikbaar stelt en daarmee laat zien hoe kwetsbaar een ziekenhuisorganisatie in een tijd van toenemende digitalisering kan zijn. Deze video zou een must moeten zijn voor alle zorgprofessionals.

Het wordt immers steeds makkelijker om gegevens op te slaan en te delen. Onze medische geschiedenis, onze locatiegegevens, informatie over ons leesgedrag, ons koopgedrag, onze vrienden, ons liefdesleven, het is allemaal opgeslagen op servers in binnen- en buitenland. Volgens de wet mogen die persoonsgegevens niet zomaar door iedereen gedeeld en gebruikt worden, maar in de praktijk wordt nauwelijks gecontroleerd welke data organisaties verzamelen en hoe ze er vervolgens mee omgaan.

Volgens de Wet bescherming persoonsgegevens zijn bedrijven en organisaties verplicht om te reageren op inzageverzoeken van burgers. Maar al snel blijkt dat veel organisaties het niet zo nauw nemen met de voorgenomen transparantie. Sommige bedrijven hebben zelfs geen idee welke persoonsgegevens ze allemaal in huis hebben. Andere organisaties geven geen enkele reactie blijkt uit onderzoek (pdf) van René Mahieu en Hadi Asghari van de TU Delft.

Ook Argos-verslaggever Saar Slegers vraagt met verwijzing naar artikel 35 van de Wet bescherming persoonsgegevens, organisaties als Interpolis, Tele2, het zwembad om de hoek, de Persgroep (oa de Volkskrant), Ziggo, Booking.com, Bergman Clinics, Tikkie (betaalapp ABN Amro), datingsite Paiq en de NS of ze persoonsgegevens van haar hebben verwerkt en zo ja, om welke gegevens het gaat, wat het doel is van de verwerking, aan welke personen, bedrijven en/of andere organisaties deze gegevens zijn verstrekt en waar de gegevens vandaan komen. Ook Slegers komt tot de conclusie dat niet alle organisaties voldoen aan de Wet bescherming persoonsgegevens. Van de 11 organisaties die Slegers aanschrijft, krijgt ze van slechts 2 organisaties de gevraagde informatie. Van de andere organisaties krijgt ze onvolledig of helemaal geen informatie.

Interessant is de NS-case die uitgebreid aan bod komt in de uitzending:

Alhoewel het niet in één keer goed ging bij de NS, volgde vervolgens een zeer volledig overzicht. Uit het gesprek met Paulette van den Broek, Directeur Klantenservice NS, blijkt dat NS het afgelopen jaar 50 keer een inzageverzoek heeft ontvangen (op 10 miljoen klantcontacten per jaar). Om het overzicht van Slegers volledig op te kunnen leveren zijn een paar mensen van de NS een paar dagen bezig geweest. De gegevens moesten uit verschillende systemen worden gehaald zoals het klantenservice systeem, het OV-fiets systeem en de marketingdatabase. Van den Broek hoopt in de toekomst deze informatie geautomatiseerd te kunnen opleveren.

Overigens is de NS niet de enige organisatie die met veel moeite de informatie kan opleveren. Volgens hoogleraar en advocaat Gerrit-Jan Zwenne zullen veel organisaties niet of slechts beperkt kunnen voldoen aan een inzageverzoek omdat men zelf het overzicht niet of nauwelijks heeft. En dat is volgens Zwenne voor een deel ook te wijten aan het feit dat de Autoriteit Persoonsgegevens de afgelopen jaren te weinig toezicht heeft gehouden en nauwelijks boetes heeft opgelegd aan organisaties die niet voldeden aan een inzageverzoek. En dat terwijl de Wet bescherming persoonsgegevens (Wbp) al vanaf september 2001 geldt en er vanaf 2016 door de toezichthouder boetes tot 820.000 euro (pdf) kunnen worden opgelegd.

Aleid Wolfsen, sinds 2016 voorzitter van de Autoriteit Persoonsgegevens, geeft later in de uitzending als reactie dat de capaciteit van de autoriteit wordt vergroot om de privacywet te kunnen handhaven. Wolfsen stelt dat organisaties vanaf 25 mei 2018 geen excuses meer hebben als ze niet kunnen voldoen aan de nieuwe Europese privacywet.

Saar Slegers gaat in de uitzending nog verder in op de afhandeling van het inzageverzoek door de Persgroep (de Volkskrant) en Bergman Clinics. Twee voorbeelden van organisaties die gebruikersdata gebruiken om geld te verdienen aan gerichte advertenties. Zo blijkt Bergman Clinics via datahandelaar EDM gebruik te hebben gemaakt van persoonsgegevens die zijn verkocht door PostNL Verhuisservice. In de reclamewereld dagelijkse praktijk en sinds het datamisbruik bij Facebook door Cambridge Analytica ook bekend bij het grote publiek.

Nog een paar weken en dan treedt de nieuwe Europese wetgeving in werking, maar het is duidelijk dat nog lang niet alle organisaties daar klaar voor zijn!

Voetnoten:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Laatste blogs

Bekijk alle blogs (571)
Contact