Bedrijven reageren onvoldoende of helemaal niet op inzageverzoeken. Daartoe zijn ze wel wettelijk verplicht. Waarom reageren ze dan zo onbeholpen? En hoe kan dat veranderen?

De oorzaak ligt wellicht in het feit dat bedrijven over het algemeen maar weinig inzageverzoeken ontvangen. Zo is bekend dat ook maar weinig mensen Google Dashboard raadplegen (om te kijken hoe Google omgaat met de persoonsgegevens die ze bewaart). En omdat ze maar weinig verzoeken tot inzage krijgen, hebben ze kennelijk geen goede bedrijfsprocessen geïmplementeerd om zo’n verzoek correct te beantwoorden.

Dat laatste is wel opmerkelijk, en eigenlijk ook wel zorgelijk, en onzorgvuldig.

De Privacy Inzage Machine (PIM) van Bits of Freedom bevat alleen bedrijven die officieel hebben gemeld dat ze persoonsgegevens verwerken. Ook dit is een verplichting die voortvloeit uit de Wet Bescherming Persoonsgegevens (Wbp). Kennelijk melden bedrijven netjes de verwerking van persoonsgegevens, maar laten ze vervolgens na de noodzakelijke processen voor het verwerken van een inzageverzoek goed in te richten. Dan rijst toch de vraag of deze bedrijven überhaupt hebben nagedacht over de verwerking van persoonsgegevens. Weten ze wel precies welke persoonsgegevens ze allemaal verzamelen, en hoe en waar dat precies gebeurt? Dit vergroot de kans op incidenten en privacyinbreuken van de klant. Immers, als je niet weet welke informatie je verzamelt, en waar je die opslaat, verwerkt en gebruikt, dan kun je die informatie ook niet afdoende beschermen.

Hoe deze situatie te veranderen? Bedrijven zouden kunnen overgaan tot het invoeren van een Enterprise Privacy Management Systeem (EPMS). Een eerste belangrijke stap daarbij is het vastleggen van het privacybeleid, in eerste instantie op een hoog niveau. Dit beleid wordt vervolgens uitgewerkt in gedetailleerde regels die voor elk type informatie aangeven welke operaties op die informatie mogen worden uitgevoerd, door wie, en onder welke condities. Daarnaast wordt geïnventariseerd binnen welke bedrijfsprocessen op dit moment persoonsgegevens worden verwerkt en of voldaan wordt aan deze regels. Het EPMS kan dit deels automatisch doen, op basis van een formele beschrijving van deze processen. Ook wordt gecontroleerd of bepaalde noodzakelijke processen (zoals de mogelijkheid tot inzage) afdoende zijn geïmplementeerd. Vaak zullen IT systemen moeten worden aangepast en moeten controls worden ingebouwd om naleving van de regels af te dwingen. Ook hierin kan het EPMS een belangrijke rol spelen, als centrale repository van het privacybeleid en de daaruit afgeleide regels.

Soms is het privacy management systeem (PMS) gecombineerd met het information security management systeem (ISMS) tot een geïntegreerd geheel. Dat kan kosten besparend zijn, maar draagt ook een zeker risico in zich mee. Omdat ISMS-en al langer gebruikt worden, kan het er toe leiden dat privacy vooral in termen van security wordt gezien en geïmplementeerd, of erger nog, dat privacy ondergeschikt wordt gemaakt aan security. Het moge duidelijk zijn dat privacy en security slechts deels overlappen qua doelstellingen en bijbehorende maatregelen.

Daarnaast zouden bedrijven ook online inzage in de persoonsgegevens van een klant kunnen bieden, zoals Google dat al deels met haar Dashboard doet, en zoals bepaalde webwinkels ook de aankoopgeschiedenis online tonen. Inzage wordt zo een primair proces. Voor consumenten is dit natuurlijk zeer gebruikersvriendelijk. Er schuilt hier echter wel een groot risico in: ook kwaadwillenden hebben zo, in theorie, simpel toegang tot andermans persoonsgegevens. Zo raken we, qua privacy, van de regen in de drup.

Een dergelijke vorm van online inzage vraagt dus om een voldoende veilige vorm van authenticatie, om er zeker van te zijn dat het de klant zelf is die inzage in zijn gegevens vraagt. Gebruikersnaam en wachtwoord is hier niet altijd veilig genoeg voor. Denk bijvoorbeeld aan het Elektronisch Patiënten Dossier, financiële gegevens, of gegevens uit juridische dossiers. Voor inzage in dergelijke systemen is een sterkere vorm van authenticatie noodzakelijk. Een landelijke betrouwbare identiteits-infrastructuur ontbreekt hiervoor op dit moment echter. Digid is niet betrouwbaar genoeg, en systemen die op dit moment gebruikt worden voor Internetbankieren zijn niet toepasbaar in andere sectoren.

Dit is meteen een interessant voorbeeld van het wellicht ironische feit dat soms een sterke vorm van authenticatie van jou identiteit juist nodig is om je privacy te beschermen. De andere kant op ligt dat meer voor de hand: een opsporingsambtenaar moet zich kunnen identificeren voordat je verplicht bent zelf je paspoort of rijbewijs te tonen. Sterke authenticatie van websites (door middel van TLS) is een ander voorbeeld van een maatregel die er voor bedoeld is om te voorkomen dat jou persoonlijke gegevens in verkeerde handen vallen. Maar dat terzijde.

Volgend jaar testen we het recht op inzage nog een keer. Laten we er samen voor zorgen dat de bedrijven en organisaties in Nederland dan beter scoren.