‘Grote bedrijven voldoen niet aan meldplicht persoonsgegevens’

Veel grote bedrijven voldoen niet aan de wettelijke verplichting om de verwerking van persoonsgegevens te melden. Dat stelt SoftwareZaken na eigen onderzoek. Bedrijven besteden te weinig aandacht aan het goed informeren van gebruikers over privacy.

In het onderzoek zijn alle meldingen van de 25 bedrijven in de AEX-index geanalyseerd en bij meer dan driekwart van de bedrijven zijn er problemen: onjuiste bedrijfsgegevens, incomplete, vage en ook overbodige meldingen.

Grote bedrijven zijn wettelijk verplicht om zorgvuldig om te gaan met persoonsgegevens. Zij moeten onder andere alle verwerkingen die zij doen melden bij een register. Softwarezaken heeft onderzoek gedaan hoe dit register werkt in de praktijk.

In technische zin werkt het register eenvoudig: het is voor iedereen eenvoudig om het register te vinden, te zoeken op bedrijfsnaam en om vervolgens de meldingen te lezen. Inhoudelijk blijkt er echter veel mis met de meldingen die bedrijven hebben gedaan, waardoor consumenten nog steeds niet weten waar ze aan toe zijn. Enkele bevindingen:

• Voor 4 van de 25 bedrijven zijn er helemaal geen meldingen
• Organisatienamen en plaatsen staan niet goed in register
• Er ontbreken veel meldingen
• Meldingen zijn vaag en incompleet
• Er worden overbodige meldingen gedaan
• Het is niet te zien of meldingen nog actueel zijn
• Het register is niet doorzoekbaar op thema of datum

Voorbeelden van vage meldingen zijn bijvoorbeeld meldingen waarin bedrijven alleen in vage termen melden wat voor gegevens zij opslaan (‘achtergrondgegevens’, ‘interesses’) of dat het doel niet duidelijk afgebakend is (‘management-info’, ‘algehele strategie’). Ook over wie het gaat is vaak onduidelijk. Ook zorgelijk is dat veel bedrijven alleen melden dat er andere bedrijven zijn die toegang hebben, maar niet wie dat zijn. Zo weten we nog niet of en hoe gegevens worden verspreid.

De bedrijven met de meeste dubbele meldingen zijn volgens het onderzoek ING, Philips, Shell en Akzo Nobel. Voor de bedrijven Altice, Boskalis, NN group en OCI zijn helemaal geen meldingen gevonden.

In dit onderzoek is alleen gekeken naar grote bedrijven, maar voor kleine bedrijven is het waarschijnlijk niet beter.  Het advies is om de juridische afdeling, de marketing afdeling en de IT-afdeling meer samen te laten werken aan privacy en beveiliging. De afdelingen moeten veel meer kennis delen en meldingen gezamenlijk doen. Het aanstellen van een speciale functionaris gegevensbescherming, vanaf volgend jaar verplicht voor grote bedrijven, kan hierbij helpen.

Het volledige rapport van het onderzoek is hier te downloaden: Onderzoek meldplicht persoonsgegevens.