Het inzagerecht: Wie weet wat over mij?
Iedereen heeft het recht om te weten welke persoonlijke gegevens organisaties van hem of haar hebben. Dat is geregeld via het inzagerecht in de Wet Bescherming Persoonsgegevens. Recent stond dit recht extra in de belangstelling vanwege het beleid van sociale netwerken rond persoonsgegevens.
Hoe werkt het inzagerecht
Het inzagerecht is een belangrijk, maar voor de meeste mensen onbekend recht dat is neergelegd in art. 35 van de Wet Bescherming Persoonsgegevens (Wbp) en in Europese regelgeving. Het betekent dat iedereen zich tot een persoon of organisatie mag wenden met het verzoek om hem te berichten of, en zo ja welke, persoonsgegevens over hem worden verwerkt. Degene die zo’n verzoek krijgt, moet binnen 4 weken een schriftelijk overzicht verstrekken met:
- een volledig overzicht in begrijpelijke vorm;
- een omschrijving van het doel of de doeleinden van de verwerking;
- de categorieën van gegevens waarop de verwerking betrekking heeft;
- de ontvangers of categorieën van ontvangers;
- de beschikbare informatie over de herkomst van de gegevens.
De bedoeling van het inzagerecht is dat de betrokkene in staat gesteld wordt om erachter te komen of de gegevens die over hem verwerkt worden wel juist en rechtmatig zijn. De Wbp geeft de betrokkene namelijk ook het recht om te eisen dat zijn gegevens worden verwijderd of gecorrigeerd. Die rechten kan iemand immers pas uitoefenen als er een mogelijkheid bestaat om erachter te komen welke gegevens er verwerkt worden.
Volgens de Hoge Raad moeten in principe kopieën of afschriften worden verstrekt van de gegevensdrager waarop de persoonsgegevens zijn vastgelegd. Een samenvatting van de persoonsgegevens is niet voldoende, omdat dan een belangrijk deel van de informatiewaarde verloren kan gaan. Een inzageverzoek mag niet worden afgewezen op grond van het feit dat het veel geld of moeite zou kosten om een overzicht te maken en aan de betrokkene te verstrekken.
Inzagerecht en sociale netwerken
Onlangs stond het inzagerecht nog een aantal keer in de belangstelling.
Zo heeft Hyves het voor haar gebruikers erg makkelijk gemaakt om inzage in hun persoonsgegevens te verkrijgen. Nadat gebruikers zijn ingelogd kunnen ze via de pagina ‘Wat wij weten’ zien welke gegevens door Hyves worden opgeslagen en waarvoor deze gegevens worden gebruikt. Voor andere organisaties heeft digitale burgerrechtenorganisatie Bits of Freedom een slim initiatief gelanceerd. Met behulp van de Privacy Inzage Machine (PIM) is het gemakkelijk en gedeeltelijk geautomatiseerd mogelijk inzageverzoeken te genereren voor een groot aantal organisaties die potentieel gegevens van personen verwerken.
Ook Facebook kreeg onlangs te maken met het inzagerecht. Een Oostenrijkse rechtenstudent, Max Schrems, deed een inzageverzoek bij Facebook. Hij ontving een CD-rom met meer dan 1200 pagina’s aan informatie die het sociale netwerk de afgelopen drie jaar over hem had opgeslagen. Daarbij gaf Facebook wel aan dat niet alle persoonsgegevens in het overzicht opgenomen waren. Ze stellen zich op het standpunt dat een deel van de persoonsgegevens die zij verwerken zodanig is dat het verstrekken van inzage daarin een schending van hun ‘trade secrets’ en intellectuele eigendomsrechten zou zijn. Een dergelijke uitzondering kent de Europese Richtlijn over de bescherming van persoonsgegevens niet, evenmin als de Nederlandse Wbp. De Ierse wet bevat die uitzondering wel, en aangezien de Europese vestiging van Facebook in Ierland gevestigd is, is die wet van toepassing.
Klachten voor Facebook na inzage
Overigens waren de 1200 pagina’s aan informatie voor Max Schrems genoeg om 22 klachten over het privacybeleid van Facebook te formuleren. Deze lijst stuurde hij naar de Ierse Commissaris voor Privacybescherming. De klachten zien onder meer op het feit dat bepaalde vormen van communicatie door Facebook bewaard blijven ook nadat ze door de gebruiker zijn gewist, dat Facebook “schaduw-profielen” maakt van gebruikers en niet-gebruikers en dat Facebook persoonlijke gegevens verwerft via synchronisatie met mobiele telefoons en andere applicaties. Bovendien wordt bezwaar gemaakt tegen het feit dat Facebook haar gebruikers slechts een “opt-out” mogelijkheid biedt, terwijl Europese regelgeving voorschrijft dat gebruikers vooraf moeten instemmen met de verwerking van privacy-gevoelige informatie (opt-in).
Op het moment van schrijven bereidt de Ierse Commissaris voor Privacybescherming een uitgebreid onderzoek voor. Dit illustreert dat het inzagerecht een belangrijke rol kan spelen bij de handhaving van regelgeving omtrent persoonsgegevens. Zonder het inzagerecht zou het een stuk moeilijker zijn om er achter te komen welke persoonsgegevens bedrijven hebben en wat ze met die gegevens doen. Het inzagerecht kan dus sterk bijdragen aan transparantie en het toezicht met betrekking tot de verwerking van persoonsgegevens.
)*Auteur Anke Verhoeven is advocaat bij SOLV advocaten. Eén van haar specialismen is privacy.
Gerelateerde opleiding
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
6 Reacties
Gast
Recht hebben op inzage is goed.
Maar hoe kan je dat recht uitvoeren als je niet eens weet waar dat of waar die gegevens aanwezig zijn ? (doet me aan “Hitchhiker’s Guide to the Galaxy” denken)
In het kort: Een leuk idee, maar volledig ondoordacht: de consument moet op een een-of-andere manier in de gaten gekregen hebben (meestal veel te laat) dat een instantie of bedrijf (foutieve) gegevens over ‘m heeft verzameld en al jaren (onterecht) gebruikt voordat hij erop kan reageren. Maar dan is meestal het leed al geleden (denk BKR).
Of wordt de consument geacht gewoon *alle* bedrijven aan te schrijven waar hij het vermoeden van heeft dat ze wel eens een dossier over ‘m verzameld zou kunnen hebben ? Is dat ueberhaupt uitvoerbaar ?
Misschien moet er eens over nagedacht worden om iets als het “bel me niet” register te creeeren, maar in omgekeerde richting : een ieder instelling/bedrijf die gegevens verzameld moet bij een enkel, centraal punt aangeven van wie, en waneer de laatste mutatie daarin was. Op die manier kan de consument in een keer een overzicht krijgen van waar hij eventueel navraag kan doen.
asnel
Je kan dit bij je gemeente opvragen, zij hebben alle bedrijven in Kaart die ooit aanspraak gemaakt hebben op het GBA.
gast
Ehh … Sorry ?
Dus alle bedrijven die daar geen, of indirect (denk via incasso-buros), aanspraak op hebben gemaakt op die gegevens blijven onzichtbaar ? De gegevens zijn wel verzameld, maar je weet nog steeds niet door wie / waarom ?
Grappig, ik heb nog nooit gehoord dat het GBA dat soort van gegevens noteert, danwel deze gegevens vrijelijk aan de desbetreffende burger afgeeft. Je zou denken dat de informatie van de overheid aan de burger aangaande dit onderwerp dat wel mee genomen zou hebben. Niet dus.
Misschien moet ik het maar eens proberen, gewoon om te zien of het werkt …
Maar buiten dat, waarom zou daar een bedrijf dat daar niet voor bedoeld is of betaald wordt die taak op zich nemen ?
Anke Verhoeven
@gast: Ik begrijp je reactie. Je bent inderdaad vaak niet op de hoogte van welke bedrijven gegevens over je hebben en het is ondoenlijk en onwenselijk om dan maar lukraak overal inzageverzoeken te doen.
De Privacy Inzage Machine van Bits of Freedom biedt hier wel enige uitkomst. Aan de hand van enkele simpele stellingen zoals “ik reis wel eens met het openbaar vervoer” krijg je een overzicht van bedrijven en instanties die waarschijnlijk gegevens over je verwerken. Met een druk op de knop genereert PIM dan voor al deze bedrijven een standaardbrief voor een inzage verzoek.
Een inzageverzoek hoeft overigens niet met het GBA te maken te hebben. Bedrijven kunnen immers ook allerlei andere persoonlijke gegevens over je verwerken en kunnen die gegevens ook op allerlei verschillende manieren (al dan niet rechtmatig) verzameld hebben. Ook bij die bedrijven kan je een inzage verzoek doen.
Gast
@Anke
Met dank voor de “De Privacy Inzage Machine van Bits of Freedom” suggestie. Maar buiten dat de consument niet zelf meer naar bedrijven hoeft te zoeken (pre-selectie is al gedaan) verandert er weinig: Hij is nog steeds in het donker aan het schieten — alhoewel er nu recht voor hem een aantal doelen staan die een hogere kans van treffen hebben …
“Een inzageverzoek hoeft overigens niet met het GBA te maken te hebben”
De overheid is in deze nog enigsinds makkelijk: je gaat naar de stadswinkel en/of burgerraadslieden (een centraal punt), en deze vertellen je waar je wat kunt opvragen.
Met bedrijven is dit niet mogelijk. En dat is hetgene waarvan ik denk dat er iets aan gedaan moet worden — het is te makkelijk voor een bedrijf om, bedoeld of niet, “onder de radar” van de consument te blijven
sanne
voor degenen die heel actief inzage gaan vragen: dit geldt ook bij vergelijkbare wetten zoals de Wet politiegegevens (wat legt de politie over je vast en is dat wel juist?), de Wet justitiële en strafvorderlijke gegevens (wat legt justitie vast?) en de wet die van toepassing is in de gezondheidszorg. Succes! 🙂