De Argos-rapportage Badmeester wat weet u van mij?, begint bij een Radboud Grand Round-bijeenkomst in het Radboudumc in Nijmegen op 18 september 2017 waar hoogleraar Bart Jacobs een lezing geeft getiteld: ‘Zorg voor privacy‘:

Al snel blijkt dat zelfs in een gerenomeerd ziekenhuis als het Radboudumc de handhaving van de privacywetgeving nog een grote uitdaging is. En nee, dan heb ik het niet over het REshape Center dat in tegenstelling tot wat Jabobs beweert, wel degelijk op de hoogte is van de privacywetgeving. Ik heb het dan vooral over de zorgprofessionals die geen idee hebben waar de data staan en wat er wel en niet kan en mag met data. Compliment overigens voor Radboudumc dat het deze lezing publiek beschikbaar stelt en daarmee laat zien hoe kwetsbaar een ziekenhuisorganisatie in een tijd van toenemende digitalisering kan zijn. Deze video zou een must moeten zijn voor alle zorgprofessionals.

Het wordt immers steeds makkelijker om gegevens op te slaan en te delen. Onze medische geschiedenis, onze locatiegegevens, informatie over ons leesgedrag, ons koopgedrag, onze vrienden, ons liefdesleven, het is allemaal opgeslagen op servers in binnen- en buitenland. Volgens de wet mogen die persoonsgegevens niet zomaar door iedereen gedeeld en gebruikt worden, maar in de praktijk wordt nauwelijks gecontroleerd welke data organisaties verzamelen en hoe ze er vervolgens mee omgaan.

Volgens de Wet bescherming persoonsgegevens zijn bedrijven en organisaties verplicht om te reageren op inzageverzoeken van burgers. Maar al snel blijkt dat veel organisaties het niet zo nauw nemen met de voorgenomen transparantie. Sommige bedrijven hebben zelfs geen idee welke persoonsgegevens ze allemaal in huis hebben. Andere organisaties geven geen enkele reactie blijkt uit onderzoek (pdf) van René Mahieu en Hadi Asghari van de TU Delft.

Ook Argos-verslaggever Saar Slegers vraagt met verwijzing naar artikel 35 van de Wet bescherming persoonsgegevens, organisaties als Interpolis, Tele2, het zwembad om de hoek, de Persgroep (oa de Volkskrant), Ziggo, Booking.com, Bergman Clinics, Tikkie (betaalapp ABN Amro), datingsite Paiq en de NS of ze persoonsgegevens van haar hebben verwerkt en zo ja, om welke gegevens het gaat, wat het doel is van de verwerking, aan welke personen, bedrijven en/of andere organisaties deze gegevens zijn verstrekt en waar de gegevens vandaan komen. Ook Slegers komt tot de conclusie dat niet alle organisaties voldoen aan de Wet bescherming persoonsgegevens. Van de 11 organisaties die Slegers aanschrijft, krijgt ze van slechts 2 organisaties de gevraagde informatie. Van de andere organisaties krijgt ze onvolledig of helemaal geen informatie.

Interessant is de NS-case die uitgebreid aan bod komt in de uitzending:

Alhoewel het niet in één keer goed ging bij de NS, volgde vervolgens een zeer volledig overzicht. Uit het gesprek met Paulette van den Broek, Directeur Klantenservice NS, blijkt dat NS het afgelopen jaar 50 keer een inzageverzoek heeft ontvangen (op 10 miljoen klantcontacten per jaar). Om het overzicht van Slegers volledig op te kunnen leveren zijn een paar mensen van de NS een paar dagen bezig geweest. De gegevens moesten uit verschillende systemen worden gehaald zoals het klantenservice systeem, het OV-fiets systeem en de marketingdatabase. Van den Broek hoopt in de toekomst deze informatie geautomatiseerd te kunnen opleveren.

Overigens is de NS niet de enige organisatie die met veel moeite de informatie kan opleveren. Volgens hoogleraar en advocaat Gerrit-Jan Zwenne zullen veel organisaties niet of slechts beperkt kunnen voldoen aan een inzageverzoek omdat men zelf het overzicht niet of nauwelijks heeft. En dat is volgens Zwenne voor een deel ook te wijten aan het feit dat de Autoriteit Persoonsgegevens de afgelopen jaren te weinig toezicht heeft gehouden en nauwelijks boetes heeft opgelegd aan organisaties die niet voldeden aan een inzageverzoek. En dat terwijl de Wet bescherming persoonsgegevens (Wbp) al vanaf september 2001 geldt en er vanaf 2016 door de toezichthouder boetes tot 820.000 euro (pdf) kunnen worden opgelegd.

Aleid Wolfsen, sinds 2016 voorzitter van de Autoriteit Persoonsgegevens, geeft later in de uitzending als reactie dat de capaciteit van de autoriteit wordt vergroot om de privacywet te kunnen handhaven. Wolfsen stelt dat organisaties vanaf 25 mei 2018 geen excuses meer hebben als ze niet kunnen voldoen aan de nieuwe Europese privacywet.

Saar Slegers gaat in de uitzending nog verder in op de afhandeling van het inzageverzoek door de Persgroep (de Volkskrant) en Bergman Clinics. Twee voorbeelden van organisaties die gebruikersdata gebruiken om geld te verdienen aan gerichte advertenties. Zo blijkt Bergman Clinics via datahandelaar EDM gebruik te hebben gemaakt van persoonsgegevens die zijn verkocht door PostNL Verhuisservice. In de reclamewereld dagelijkse praktijk en sinds het datamisbruik bij Facebook door Cambridge Analytica ook bekend bij het grote publiek.

Nog een paar weken en dan treedt de nieuwe Europese wetgeving in werking, maar het is duidelijk dat nog lang niet alle organisaties daar klaar voor zijn!

Voetnoten:

• AVG – nieuwe Europese privacywetgeving (dossier)
• The Right of Access as a Tool for Privacy Governance: Findings from Individual Requests & Proposal for a Crowd-sourced Dataset of Privacy Practices (pdf)
• Consumentenbond: Een inzageverzoek doen, stap voor stap
• Vertrouwen en authenticatie (pdf)
• In Argos-uitzending vanaf 19:26 tot ca 28:00 min. de NS-case (met oa gesprek Paulette van den Broek, Directeur Klantenservice NS)
• Rechten van betrokkenen (incl. recht op inzage)