Een gastbijdrage van Jaap-Henk Hoepman, verbonden aan de Radboud Universiteit Nijmegen en TNO. Het stuk is op persoonlijke titel geschreven en ook te lezen op zijn site.
Volgens de Wet bescherming persoonsgegevens (Wbp) heeft iedere burger het recht om inzage te krijgen in de persoonsgegevens die een organisatie over haar verwerkt. Tevens moet deze organisatie informatie geven over het doel van de verwerking, de herkomst van de persoonsgegevens, en een overzicht van organisaties waaraan deze gegevens eventueel zijn verstrekt. In het kader van het Privacy Seminar dat ik ieder voorjaar geef aan de Radboud Universiteit Nijmegen, heb ik mijn studenten gevraagd om bij een aantal organisaties gebruik te maken van dit recht. Zelf heb ik dat ook gedaan. Doel was om te kijken hoe organisaties met dergelijke inzageverzoeken omgaan. De conclusie is ontluisterend: dat doen ze beroerd. Het recht op inzage is in de praktijk een wassen neus.
We hebben de klantenservice van telecommunicatiebedrijven, verzekeringsmaatschappijen, webwinkels, supermarkten e.d. aangeschreven. De meerderheid (70% in deze beperkte steekproef) van de bedrijven en organisaties reageert simpelweg niet. Van de bedrijven en organisaties die wel reageren, kunnen we stellen dat de reactie zelden voldoet.
OV chipkaart maakt het in eerste instantie het bontst. De klantenservice stuurt als antwoord een email, zonder enige informatie. Wel staat aan het eind van deze korte email: “Verder worden uw persoonsgegevens nooit vrijgegeven aan andere organisaties. U hoeft zich dus hierover geen zorgen te maken.” Dit is één van de eerste reacties die wij krijgen, en omdat we deze reactie zo bizar vinden, sturen we hem door naar Bits of Freedom. Via via bereikt deze reactie Gerben Nelemans, de directeur van TransLink Systems (TLS). Hij grijpt in, en na een week ontvangen we een A4 envelop met werkelijk alle gegevens (inclusief alle check-ins en check-outs) die bij de gevraagde OV chipkaart horen. We hebben niet getest of een nieuw verzoek meteen, zonder tussenkomst van de directeur, net zo’n gedetailleerd antwoord oplevert…
T-Mobile stuurt geen brief maar belt. En belt later nog een keer, met de mededeling dat het al een halve dag gekost heeft om de informatie te verzamelen en dat ze de informatie eigenlijk niet willen geven. Ziggo belt in eerste instantie ook. De brief die Ziggo na enig aandringen stuurt bevat geen informatie over welke gegevens zij opslaan, maar enkel de verzekering dat zij nooit persoonsgegevens aan derden doorgeven. Dit lijkt overigens sterk op de reactie van OV chipkaart.
Albert Heijn lijkt de verzoeken om gegevens die geregistreerd staan op een bonuskaart verkeerd te begrijpen. We ontvangen een uitdraai van iets wat lijkt op een screenshot van een persooneelsadministratiesysteem. Daar staan wij niet in, inderdaad…
Het Bureau Kredietregistratie (BKR) reageert per kerende post. Maar het antwoord is een standaardbrief met een brochure waarin in een omslachtige procedure wordt beschreven die doorlopen moet worden om inzage te krijgen in de persoonsgegevens. Daarvoor moet je óf zelf bij het BKR in Tiel langs gaan, óf naar een filiaal van jouw bank toe gaan. Daar kun je dan een formulier invullen en door de bank laten opsturen naar het BKR. In beide gevallen moet je je legitimeren. Dit proces zorgt er weliswaar voor dat onbevoegden geen informatie over anderen kunnen opvragen, maar het is wel omslachtig.
De enige twee organisaties die het goed doen zijn de Gemeentelijke Basis Administratie (GBA) en Bol.com. Het antwoord van de GBA komt laat (na drie weken), maar bevat een uittreksel van alle gegevens die de GBA over de persoon in kwestie opgeslagen heeft, plus een overzicht van de gegevens die aan andere partijen zijn doorgegeven. Ook Bol.com reageert snel met een keurige brief met daarin alle gevraagde gegevens.
Al met al een teleurstellend resultaat. Bedrijven zijn wettelijk verplicht binnen een redelijke termijn een verzoek tot inzage volledig te beantwoorden. Uit de onbeholpen reacties van de bedrijven die wel antwoorden blijkt dat van dit recht maar weinig gebruik gemaakt. En als er maar weinig gebruikt van gemaakt wordt, zijn er ook maar weinig klachten en wordt de wet dus niet gehandhaafd. Dat kan beter. Vraag zelf bij een aantal bedrijven uw persoonsgegevens op. En doe uw beklag als geen of onvoldoende antwoord krijgt.
Volgend jaar doen we deze test nog een keer. Laten we er samen voor zorgen dat de bedrijven en organisaties in Nederland dan beter scoren.
Reacties (14)
Voor de volledigheid had een lijstje van niet reagerende instanties er nog best bij gemogen. Afgezien daarvan, goed stukje burgerjournalistiek!
Moest er nog ergens worden betaald voor de gegevens?
Mooi onderzoek, maar:
“In beide gevallen moet je je legitimeren. Dit proces zorgt er weliswaar voor dat onbevoegden geen informatie over anderen kunnen opvragen, maar het is wel omslachtig.”
De andere organisaties controleren dus niet wie het verzoek indient, of zat er een kopie van een legitimatiebewijs bij de brief? En betekent dat dan eigenlijk niet dat je van willekeurige mensen kunt opvragen wat een bedrijf/instantie van ze weet? Lijkt me niet ideaal, qua privacy.
Kerux, de meeste bedrijven en instellingen gaan er vanuit dat als ze de gevraagde informatie in een envelop steken en naar het door jou opgegeven adres sturen, het wel in orde zal zijn. Op die manier ontvang je tenslotte ook je pincode van de bank en het wachtwoord van je Digid.
@4: Ga ervan uit dat als een instantie gegevens van je heeft opgeslagen daar minimaal je adres bij zit. Dat lijkt me altijd nog een aanmerkelijk veiliger dan een kopie van je legitimatiebewijs (want dat heeft je werkgever bv. ook).
Ok, adres zal meestal wel goed gaan, maar ik kan me voorstellen dat er instanties zijn die niet per se een adres hebben maar wel andere gegevens (moet je je adres opgeven voor bv een bonuskaart? volgens mij niet per se). Kopie van legitimatie is inderdaad ook niet erg veilig; adres is redelijk, maar helemaal waterdicht lijkt het me niet aangezien er ook instanties per email en telefoon reageren (makkelijker om in de aanvraag een ander emailadres/telefoonnummer op te geven), maar dat zouden ze dan ook niet moeten doen.
@7: Voor email geldt wat mij betreft hetzelfde als voor adres. Het zullen vooral bedrijven zijn waar je je email hebt moeten opgeven (dat is tegenwoordig toch wel het meest gevraagde persoonsgegeven na je naam) en waar dan gemaild wordt naar het adres in hun bestand (hoe zouden ze anders kunnen mailen in antwoord op een geschreven brief? Dito voor telefoon trouwens).
De enige echt veilige methode die ik zou kunnen verzinnen is dat je zelf met legitimatie langsgaat bij de instantie. Dat lijkt me alleen meteen behoorlijk onwerkbaar (er zijn tig bedrijven die mijn gegevens via internet hebben gekregen, juist omdat hun fysieke adres veel te ver weg was om zaken met ze te doen). Dus dan prefereer ik dat ze dezelfde contactmethode gebruiken die ik gewoonlijk met ze heb (meestal email of post) en daarbij gebruik maken van het (email)adres dat ze in de database hebben zitten. Eventueel zou additioneel gebruikersnaam/wachtwoord (indien ik die heb bij het betreffende bedrijf) van me gevraagd kunnen worden.
Veel webwinkels werken daar in feite al mee. Als je inlogt, kun je je eigen gegevens inzien (en wijzigen), alsmede je aankoopgeschiedenis (als het bedrijf die bijhoudt). Het enige dat ontbreekt is informatie gegeven aan derden.
Waarom zo moeilijk? Gewoon lekken is volgens mij veel makkelijker. Googlen, en klaar!
@8: het maakt nogal verschil uit of het gaat om je boodschappenmand bij albert.nl of om je bankgegevens of BKR-registratie.
Betreffende het voorbeeld van T-mobile en Ziggo is het moeilijk om een oordeel te geven, aangezien ik niet precies weet wat er gevraagd is. Als er alleen gevraagd is of persoonsgegevens verwerkt worden en aan derden worden verstrekt, dan kan het antwoord natuurlijk zijn dat ze niet verwerkt worden en niet verstrekt aan derden. Vaak gaat het toch om geanonimiseerde gegevens.
Dat zoiets een dag moet duren om op te zoeken vind ik wel weer twijfelachtig.
Net zoals dat het twijfelachtig is hoe moeilijk die bedrijven doen over de vraag hoe lang ze precies welke gegevens behorend bij een klant opslaan. NB: ik heb het hier dus niet over die gegevens die voor Min VenJ moeten worden bewaard, maar klantgegevens in het algemeen (bijv. over een dispuut over de factuur). Krijg maar eens een lijstje van welke gegevens van jou bewaard worden en hoe lang? Ik vrees dat ze al jouw gegevens sowieso jarenlang bewaren, simpelweg omdat “deleten” teveel werk is, en over jaren geaggregeerde data gewoonweg te waardevol is.
@10: Hoe krijg jij normaal gesproken dan je maandoverzicht met af/bijschrijvingen (inclusief je adresgegevens, rekeningnummers, etc.) van de bank?
@11: ondanks dat ik geen papieren afschriften krijg (waarom zou ik?), heb je wel een punt.
Toch vind ik dat je relatief makkelijk iemands gegevens kan opvragen. Je stuurt een brief met kopie paspoort en hopla, je adres kan veranderd.
Het zou wel een aardig idee zijn als instanties/bedrijven een overzicht kunnen geven van de interactie van de klant met die instantie/dat bedrijf. Wellicht niet elk emailtje, maar wel inzageverzoeken of gegevenswijzigingen.
IDD @1, van instanties, medici, en cetera; waar het gaat om uiterst belangrijke prive gegevens is het nog velen malen erger gesteld; Duur minimal 2 jaar;en zonder peperdure advocaat;krijg je niet eens antwoordt, op het wettelijke, inzage recht!
bar en boos is te mild uitgedrukt.
Plus, jan en alleman; eindeloos, toegang kunnen verschaffen en in je gegevns fokken; met een mooi verhaaltje;wat, de goedbedoelde, goedwillende telefoonsite, en administratie krachten;maar ook, proffesionals;van diversen instellingen en instanties,zeer hulpvaardig aan wild vreemde zijn,met jouw gegevens; en de wetten niet kennen;laat staan naleven.
Hoe levensgevaarlijk,de gevolgen daarvan zijn;heb ik an den lijve ondervonden; door een aangifte van een zeer gewelddadige levensbedreigende verkrachting;
Welke,aangifte, dader toegang gaf tot mijn personalia.En diens familie; (grijze wolven)eindeloos zich toegang konden verschaffen; middels al die versnipperingen.Niet alleen mijn familie,lastig viel;mij met de dood bedreigde,ik aangifte moest intrekken (ik niet deed)
Maar ook velen instanties en medici; huisrtsen, konden bellen; en, valse gegevens laten noteren en cetera.(zich uitgevend voor ; vader van; etc…en dat maar effe klakkeloos, genoteerd werd; wat ik 20 jaar na dato; pas onder ogen kreeg!
Dit was nog voor; allen digitale wegen.
25 jaar na dato; blijf je puinruimen.Om over ID roof, maar niet te spreken.
De slachtoffers daarvan; al is dat bij ieder officieel bekend; kunnen jaren na dato, nog steeds de gevolgen keer op keer ondervinden.want al is het probleem bekend dan,nog; geen mens een oplossing heeft/verantwoordelijk blijkt..
Its a jungel out there!
En de gevolgen ook als je niets te verbergen hebt; je leven kunnen kosten! En meer dan dat.
Ben er nog ziek van,en niet van de oorspronkelijke zware misdaden;maar de intense ellende DOOR aangifte; geen mens ,noch recherche aan twijfelde; de bewijzen keihard en evident; dan nog geen enkle bescherming, noch info kunnen/willen bieden; vogelvrij….En een immens gesol, tussen allen versnipperingen in;met uiterst vertrouwelijke gegevens; kastjes, muren , eindeloos;..