Volgens de Wet bescherming persoonsgegevens (Wbp) heeft iedere burger het recht om inzage te krijgen in de persoonsgegevens die een organisatie over haar verwerkt. Tevens moet deze organisatie informatie geven over het doel van de verwerking, de herkomst van de persoonsgegevens, en een overzicht van organisaties waaraan deze gegevens eventueel zijn verstrekt. In het kader van het Privacy Seminar dat ik ieder voorjaar geef aan de Radboud Universiteit Nijmegen, heb ik mijn studenten gevraagd om bij een aantal organisaties gebruik te maken van dit recht. Zelf heb ik dat ook gedaan. Doel was om te kijken hoe organisaties met dergelijke inzageverzoeken omgaan. De conclusie is ontluisterend: dat doen ze beroerd. Het recht op inzage is in de praktijk een wassen neus.

We hebben de klantenservice van telecommunicatiebedrijven, verzekeringsmaatschappijen, webwinkels, supermarkten e.d. aangeschreven. De meerderheid (70% in deze beperkte steekproef) van de bedrijven en organisaties reageert simpelweg niet. Van de bedrijven en organisaties die wel reageren, kunnen we stellen dat de reactie zelden voldoet.

OV chipkaart maakt het in eerste instantie het bontst. De klantenservice stuurt als antwoord een email, zonder enige informatie. Wel staat aan het eind van deze korte email: “Verder worden uw persoonsgegevens nooit vrijgegeven aan andere organisaties. U hoeft zich dus hierover geen zorgen te maken.” Dit is één van de eerste reacties die wij krijgen, en omdat we deze reactie zo bizar vinden, sturen we hem door naar Bits of Freedom. Via via bereikt deze reactie Gerben Nelemans, de directeur van TransLink Systems (TLS). Hij grijpt in, en na een week ontvangen we een A4 envelop met werkelijk alle gegevens (inclusief alle check-ins en check-outs) die bij de gevraagde OV chipkaart horen. We hebben niet getest of een nieuw verzoek meteen, zonder tussenkomst van de directeur, net zo’n gedetailleerd antwoord oplevert…

T-Mobile stuurt geen brief maar belt. En belt later nog een keer, met de mededeling dat het al een halve dag gekost heeft om de informatie te verzamelen en dat ze de informatie eigenlijk niet willen geven. Ziggo belt in eerste instantie ook. De brief die Ziggo na enig aandringen stuurt bevat geen informatie over welke gegevens zij opslaan, maar enkel de verzekering dat zij nooit persoonsgegevens aan derden doorgeven. Dit lijkt overigens sterk op de reactie van OV chipkaart.

Albert Heijn lijkt de verzoeken om gegevens die geregistreerd staan op een bonuskaart verkeerd te begrijpen. We ontvangen een uitdraai van iets wat lijkt op een screenshot van een persooneelsadministratiesysteem. Daar staan wij niet in, inderdaad…

Het Bureau Kredietregistratie (BKR) reageert per kerende post. Maar het antwoord is een standaardbrief met een brochure waarin in een omslachtige procedure wordt beschreven die doorlopen moet worden om inzage te krijgen in de persoonsgegevens. Daarvoor moet je óf zelf bij het BKR in Tiel langs gaan, óf naar een filiaal van jouw bank toe gaan. Daar kun je dan een formulier invullen en door de bank laten opsturen naar het BKR. In beide gevallen moet je je legitimeren. Dit proces zorgt er weliswaar voor dat onbevoegden geen informatie over anderen kunnen opvragen, maar het is wel omslachtig.

De enige twee organisaties die het goed doen zijn de Gemeentelijke Basis Administratie (GBA) en Bol.com. Het antwoord van de GBA komt laat (na drie weken), maar bevat een uittreksel van alle gegevens die de GBA over de persoon in kwestie opgeslagen heeft, plus een overzicht van de gegevens die aan andere partijen zijn doorgegeven. Ook Bol.com reageert snel met een keurige brief met daarin alle gevraagde gegevens.

Al met al een teleurstellend resultaat. Bedrijven zijn wettelijk verplicht binnen een redelijke termijn een verzoek tot inzage volledig te beantwoorden. Uit de onbeholpen reacties van de bedrijven die wel antwoorden blijkt dat van dit recht maar weinig gebruik gemaakt. En als er maar weinig gebruikt van gemaakt wordt, zijn er ook maar weinig klachten en wordt de wet dus niet gehandhaafd. Dat kan beter. Vraag zelf bij een aantal bedrijven uw persoonsgegevens op. En doe uw beklag als u geen of onvoldoende antwoord krijgt.

Volgend jaar doen we deze test nog een keer. Laten we er samen voor zorgen dat de bedrijven en organisaties in Nederland dan beter scoren.