Het recht op inzage is een wassen neus

July 15, 2011
9

Volgens de Wet bescherming persoonsgegevens (Wbp) heeft iedere burger het recht om inzage te krijgen in de persoonsgegevens die een organisatie over haar verwerkt. Tevens moet deze organisatie informatie geven over het doel van de verwerking, de herkomst van de persoonsgegevens, en een overzicht van organisaties waaraan deze gegevens eventueel zijn verstrekt. In het kader van het Privacy Seminar dat ik ieder voorjaar geef aan de Radboud Universiteit Nijmegen, heb ik mijn studenten gevraagd om bij een aantal organisaties gebruik te maken van dit recht. Zelf heb ik dat ook gedaan. Doel was om te kijken hoe organisaties met dergelijke inzageverzoeken omgaan. De conclusie is ontluisterend: dat doen ze beroerd. Het recht op inzage is in de praktijk een wassen neus.

We hebben de klantenservice van telecommunicatiebedrijven, verzekeringsmaatschappijen, webwinkels, supermarkten e.d. aangeschreven. De meerderheid (70% in deze beperkte steekproef) van de bedrijven en organisaties reageert simpelweg niet. Van de bedrijven en organisaties die wel reageren, kunnen we stellen dat de reactie zelden voldoet.

OV chipkaart maakt het in eerste instantie het bontst. De klantenservice stuurt als antwoord een email, zonder enige informatie. Wel staat aan het eind van deze korte email: "Verder worden uw persoonsgegevens nooit vrijgegeven aan andere organisaties. U hoeft zich dus hierover geen zorgen te maken." Dit is één van de eerste reacties die wij krijgen, en omdat we deze reactie zo bizar vinden, sturen we hem door naar Bits of Freedom. Via via bereikt deze reactie Gerben Nelemans, de directeur van TransLink Systems (TLS). Hij grijpt in, en na een week ontvangen we een A4 envelop met werkelijk alle gegevens (inclusief alle check-ins en check-outs) die bij de gevraagde OV chipkaart horen. We hebben niet getest of een nieuw verzoek meteen, zonder tussenkomst van de directeur, net zo'n gedetailleerd antwoord oplevert...

T-Mobile stuurt geen brief maar belt. En belt later nog een keer, met de mededeling dat het al een halve dag gekost heeft om de informatie te verzamelen en dat ze de informatie eigenlijk niet willen geven. Ziggo belt in eerste instantie ook. De brief die Ziggo na enig aandringen stuurt bevat geen informatie over welke gegevens zij opslaan, maar enkel de verzekering dat zij nooit persoonsgegevens aan derden doorgeven. Dit lijkt overigens sterk op de reactie van OV chipkaart.

Albert Heijn lijkt de verzoeken om gegevens die geregistreerd staan op een bonuskaart verkeerd te begrijpen. We ontvangen een uitdraai van iets wat lijkt op een screenshot van een persooneelsadministratiesysteem. Daar staan wij niet in, inderdaad...

Het Bureau Kredietregistratie (BKR) reageert per kerende post. Maar het antwoord is een standaardbrief met een brochure waarin in een omslachtige procedure wordt beschreven die doorlopen moet worden om inzage te krijgen in de persoonsgegevens. Daarvoor moet je óf zelf bij het BKR in Tiel langs gaan, óf naar een filiaal van jouw bank toe gaan. Daar kun je dan een formulier invullen en door de bank laten opsturen naar het BKR. In beide gevallen moet je je legitimeren. Dit proces zorgt er weliswaar voor dat onbevoegden geen informatie over anderen kunnen opvragen, maar het is wel omslachtig.

De enige twee organisaties die het goed doen zijn de Gemeentelijke Basis Administratie (GBA) en Bol.com. Het antwoord van de GBA komt laat (na drie weken), maar bevat een uittreksel van alle gegevens die de GBA over de persoon in kwestie opgeslagen heeft, plus een overzicht van de gegevens die aan andere partijen zijn doorgegeven. Ook Bol.com reageert snel met een keurige brief met daarin alle gevraagde gegevens.

Al met al een teleurstellend resultaat. Bedrijven zijn wettelijk verplicht binnen een redelijke termijn een verzoek tot inzage volledig te beantwoorden. Uit de onbeholpen reacties van de bedrijven die wel antwoorden blijkt dat van dit recht maar weinig gebruik gemaakt. En als er maar weinig gebruikt van gemaakt wordt, zijn er ook maar weinig klachten en wordt de wet dus niet gehandhaafd. Dat kan beter. Vraag zelf bij een aantal bedrijven uw persoonsgegevens op. En doe uw beklag als u geen of onvoldoende antwoord krijgt.

Volgend jaar doen we deze test nog een keer. Laten we er samen voor zorgen dat de bedrijven en organisaties in Nederland dan beter scoren.

In case you spot any errors on this page, please notify me!
Or, leave a comment.
Sargasso
, 2011-07-18 15:29:27
(reply)

[…] Universiteit Nijmegen en TNO. Het stuk is op persoonlijke titel geschreven en ook te lezen op zijn site. Volgens de Wet bescherming persoonsgegevens (Wbp) heeft iedere burger het recht om inzage te […]

Recht op inzage is een wassen neus | Rejo Zenger
, 2011-07-20 10:55:04
(reply)

[…] in op een verzoek tot inzage in de persoonsgegevens. Ondanks wettelijke verplichting.In de opinie Het recht op inzage is een wassen neus schrijft Jaap-Henk Hoepman:Volgens de Wet bescherming persoonsgegevens (Wbp) heeft iedere burger […]

Tom Barten
, 2011-08-01 21:04:21
(reply)

ik vind het een uitermate interessant onderzoekje! best apart om te zien dat wij burgers hier nauwelijks gebruik van maken! hoeveel studenten hebben hier aan mee gedaan? en hoeveel bedrijven?

Jaap-Henk
, 2011-08-02 07:34:14
(reply)

We hebben 17 bedrijven organisaties benaderd. In de groep zaten 19 studenten. Daarvan hebben een stuk of 10 meegedaan aan dit onderzoek - de rest was buitenlands. Voor hen was het lastig om mee te doen omdat de inzageverzoeken in het Nederlands geschreven werden. De meeste studenten hebben 2 a drie organisaties aangeschreven, met nogal wat overlap.

Het recht op inzage is een wassen neus. Wat nu? « Jaap-Henk Hoepman – on security, privacy and…
, 2011-08-25 10:57:52
(reply)

[…] reageren onvoldoende of helemaal niet op inzageverzoeken. Daartoe zijn ze wel wettelijk verplicht. Waarom reageren ze dan zo onbeholpen? […]

Het recht op inzage is een wassen neus. Wat nu? « oracle fusion identity
, 2012-02-23 04:55:51
(reply)

[…] reageren onvoldoende of helemaal niet op inzageverzoeken. Daartoe zijn ze wel wettelijk verplicht. Waarom reageren ze dan zo onbeholpen? […]

numnutsmark
, 2012-07-23 09:07:15
(reply)

Hi!

Is het mogelijk om een standaard brief te krijgen? Eentje met referenties naar de betreffende wets artikelen bijvoorbeeld?

Dat maakt het misschien wat officieler voor de bedrijven die ik dan aanschrijf.

Thanks

Jaap-Henk
, 2012-07-23 10:39:31
(reply)

Ga naar de van Bits of Freedom. Die genereert zo’n standaardbrief voor je.

Big Data levert klantenbinding op
, 2013-02-04 16:33:21
(reply)

[…] Lees ook dit artikel over het recht over inzage uit datzelfde jaar. Helaas is het voor organisaties nog niet gebruikelijk om klantdata te delen. Zelfs grote namen als Facebook geven niet zomaar (en zeer moeizaam) data aan hun klanten. Niet […]