De week van vriendelijke fraude, owo uwu en cyborgseks

Je privacyrechten in de praktijk: onterechte drempels

Who profits from period trackers?
DOSSIER: Jouw data

Sinds de lancering van My Data Done Right komen veel vragen binnen van mensen die bij het uitoefenen van hun privacyrechten tegen een muur van eisen aanlopen. We beantwoorden een aantal veel gestelde vragen om duidelijkheid te scheppen.

Vorige week ging het over de eis om een kopie van je IDEerste deel in de serie te verstrekken. Deze week: eisen aan de wijze waarop en hoe vaak je een verzoek kan indienen.

Tweesporenbeleid BKR

Een concreet en beruchtHet BKR handelt volgens juristen in strijd met de wet voorbeeld van het onnodig opwerpen van drempels is het tweesporenbeleid van het Nederlandse Bureau Krediet Registratie (BKR). Wil je inzage in je kredietregistratie, dan moet je een formulier van hun website downloaden, printen en per reguliere post versturen. Ook mag je volgens het BKR slechts één keer per jaar zo’n verzoek indienen. Vervolgens krijg je, als het goed is, 28 dagen later per post een reactie. Maar ben je bereid te betalen? Dan krijg je direct online inzage. Dit is een schoolvoorbeeld van hoe het niet moet en mag. Gelukkig doet de toezichthouder nu onderzoek naar het BKR.

Geen financiële drempels

De Europese privacyregels zijn glashelderDit staat in artikel 12 van de Algemene verordening gegevensbescherming (AVG). Doe je een beroep op één van je privacyrechten, dan moet de organisatie hier gehoor aan geven zonder kosten bij je in rekening te brengen. Alleen in twee specifieke uitzonderingssituaties kan een organisatie een vergoeding vragen om hun kosten te dekken:

  • Als je een verzoek indient dat overduidelijk ongegrond of buitensporig is. De organisatie moet kunnen aantonen dat van deze uitzonderingssituatie sprake is.
  • Als je verzoekt om extra kopieën van je gegevens.

Geen maximum aantal verzoeken

De eis dat je maar één keer per jaar je recht op inzage zou mogen uitoefenen, zoals het BKR op haar website stelt, is niet in lijn met de Europese privacyregels. Je mag je rechten gewoon regelmatigZie overweging 63 van de AVG uitoefenen. Alleen als je buitensporig veel verzoeken achter elkaar indient , kan een organisatie weigeren of een vergoeding vragen.

Wanneer het herhaaldelijk indienen van een verzoek precies ‘buitensporig’ wordt, staat niet in de wet. Dat zal, zoals wel vaker bij juridische normen, per geval verschillen. De organisatie die om deze reden verzoeken weigert, moet wél aantonen dat er sprake is van buitensporigheid. Maar met enig gezond verstand valt hier wel uit te komen. Van buitensporigheid is in ieder geval geen sprake als iemand meer dan één keer per jaar een inzageverzoek indient bij het BKR. Die eis kan volgens ons zo de prullenbak in.

“Worden je gegevens online verzameld? Dan moet je op z’n minst ook je privacyrechten eenvoudig online kunnen uitoefenen.”

Alleen per post indienen?

Het BKR is één van de vele organisaties die eisen dat je verzoeken per reguliere post indient. Ook zijn er organisaties die zeggen dat je verzoeken alleen via hun eigen procedure – bijvoorbeeld een online formulier – kan indienen. Mogen organisaties dicteren hoe je een verzoek om je privacyrechten uit te oefenen, indient?

De Europese privacyregels geven hier deels antwoord op. In de inleidende tekst van de Algemene verordening gegevensbescherming (AVG) staat dat je het recht op inzage eenvoudig moet kunnen uitoefenen. Ook staat er dat organisaties over regelingen moeten beschikken om je rechten gemakkelijker uit te kunnen oefenen. Bovendien staatOverweging 59 van de AVG er dat organisaties het mogelijk moeten maken om verzoeken “(…) elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt.” Worden je gegevens online verzameld? Dan moet je op z’n minst ook je privacyrechten eenvoudig online kunnen uitoefenen.

Nemen we het BKR als voorbeeld, dan werpen ze duidelijk een onnodige barrière op door inzageverzoeken alleen op een geprint formulier per post mogelijk te maken. Ze beschikken immers over de mogelijkheid om je online inzage te geven, alleen zit die mogelijkheid nu verstopt achter een betaalmuurOnline inzage kan alleen tegen betaling.

“Is de procedure onduidelijk, ingewikkeld of krijg je maar deels waar je recht op hebt? Dan zal je altijd ook op andere wijze je verzoeken moeten kunnen indienen.”

Eigen procedures

Kunnen organisaties eisen dat je een online formulier of via een optie in je account gebruikt? Kunnen ze eisen dat je uitsluitend via hun procedure je rechten uitoefent?

Vanuit het perspectief van de organisatie is zo’n eis wel te begrijpen. Die wil het proces zo efficiënt mogelijk inrichten. Ook als gebruiker kan je hier baat bij hebben. Maar zo’n online procedure mag nooit een drempel vormen om je rechten uit te oefenen. Is de procedure onduidelijk, ingewikkeld of krijg je maar deels waar je recht op hebt? Dan moet je altijd ook op andere wijze je verzoeken kunnen indienen.

Deel je ervaring

Wat zijn jullie ervaringen met opgeworpen drempels bij het indienen van verzoeken? Worden er onredelijke eisen gesteld? Wekken organisaties de valse schijn je volledig inzage te geven door te verwijzen naar een pagina met wat basale accountgegevens, terwijl ze veel meer gegevens verzamelen? Laat een reactie achter!

  1. Joppla

    Ik herken me in de opgeworpen barrières bij het verkrijgen van inzake. Ik heb tot nu toe alleen ervaring met de ANWB maar ik krijg de indruk dat zij het of niet snappen of doelbewust het proces van inzage frustreren. Eerste verzoek werd afgewezen omdat een kopie id bijgevoegd moest worden. Bij tweede verzoek zou mijn info op hun site te vinden te zijn waarvoor je een account aan moet maken (terwijl ik helemaal geen lid meer ben van de ANWB). Uiteindelijk een lijstje per post gekregen waar alleen een lijstje van contactmomenten is geregistreerd, terwijl ze toch op zijn minst mijn NAW gegevens zouden moeten hebben. Als ik bel dan moet ik mijn geboortedatum opgeven en mijn postcode om te verifiëren of ik wel ben wie ik ben. Dus ze hebben wel mijn NAW en ook mijn geboortedatum in hun systeem staan. Kortom, klacht ingediend bij de Autoriteit.

  2. SB

    Bij Sanoma kun je alleen je gegevens laten verwijderen als je een kopie van je identiteitsbewijs bij het online formulier (waarbij veel niet noodzakelijke persoonlijke gegevens gevraagd worden) meestuurt. Hierover heb ik bij de APG een klacht ingediend, men heeft geen recht op een kopie identiteitsbewijs.

  3. Koen Versmissen

    Als het gaat over het ID-bewijs als onnodige barrière, dan is ook de laatste zin van overweging 57 relevant: als je online kunt inloggen, dan is dat in principe voldoende identificatie.

    • David Korteweg

      Klopt. Die overweging wordt inderdaad niet genoemd maar is wel relevant. Ook de richtsnoeren van de voormalige Artikel 29 Werkgroep over het recht om je data mee te nemen (dataportabiliteit) haakt daar op in:

      “The data subjects are often already authenticated by the data controller before entering into a contract or collecting his or her consent to the processing. As a consequence, the personal data used to register the individual concerned by the processing can also be used as evidence to authenticate the data subject for portability purposes.

      While in these cases, the data subjects’ prior identification may require a request for proof of their legal identity, such verification may not be relevant to assess the link between the data and the individual concerned, since such a link is not related with the official or legal identity. In essence, the ability for the data controller to request additional information to assess one’s identity cannot lead to excessive demands and to the collection of personal data which are not relevant or necessary to strengthen the link between the individual and the personal data requested.

      In many cases, such authentication procedures are already in place. For example, usernames and passwords are often used to allow individuals to access their data in their email accounts,social networking accounts, and accounts used for various other services, some of whichindividuals chose to use without revealing their full name and identity.¨

      Bron: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233

  4. John

    Infofolio (zie website) claimt een van de meest uitgebreide databases te hebben met informatie over woningen. Herbouwwaarde en inboedelwaarde. Deze informatie is dus pand gebonden. Toch vragen zij een uittreksel uit de basis administratie van de gemeente (13,40)om te verifieren of de aanvrager welop het opgegeven adres woont. Maar het risico dat de informatie bij de verkeerde persoon terechtkomt is natuurlijk ongeveer nul. De informatie wordt namelijk naar het betreffende adres gestuurd. Het enige dat hier mis kan gaan is dat de bewoner van het pand de informatie niet heeft opgevraagd. Maar hij/zij krijgt geen informatie over een ander persoon. Wanneer ik mijn gegevens heb ontvangen ga ik een klacht indienen en mijn geld terugvragen. Kan even duren, maar ik houdt jullie op de hoogte.

    • David Korteweg

      Dank voor het delen van je ervaring. Het lijkt me inderdaad een onterechte eis dat je een uittreksel uit de basisadministratie moet verstrekken als ze de informatie over de woning sowieso sturen naar het adres waarover je de gegevens opvraagt. Een andere, veel toegankelijkere optie die ze zouden kunnen gebruiken is verificatie via IRMA: https://privacybydesign.foundation/irma/.

      • Hans de Zwart

        Overigens moet je wel niet teveel aannames maken over een thuissituatie. Wat als je een trappenhuis/brievenbus deelt met een onderbuurman die een bovenmatige interesse heeft in jouw inboedelwaarde?

        • John

          Maar maakt dat verschil met wel/niet een uittreksel uit de basis administratie?

          • David Korteweg

            Het risico dat de informatie in verkeerde handen valt is natuurlijk wel kleiner als de informatie geadresseerd is aan de persoon die het inzageverzoek heeft ingediend en op die locatie woont. Dus een check op adres + naam verzoeker is wel een redelijke eis. Dat kan echter ook eenvoudig via IRMA waarbij je met behulp van bijvoorbeeld iDeal/je bank, geverifieerd je naam en adresgegevens kan delen met de organisatie waar je het verzoek indient.

    • John

      Dit is het vervolg op mijn melding van 11-2 over Infofolio.
      Ik heb een bericht ontvangen met de gegevens die men van mij heeft opgeslagen. Het gaat hier alleen over de in formatie die toch al openbaar is zoals telefoonboek, google, woz loket enz. Helemaal geen verassingen. De informatie waarmee infofolio pronkt op haar website (bijvoorbeeld inboedelwaarde, herbouwwaarde) krijg ik niet te zien. Daarvoor moet ik naar Zeist en ik mag dan op een scherm kijken wat er in de database staat. Ik mag niets fotograferen en krijg ook niets op papier. Infofolio probeert het inzagerecht wel erg te ontmoedigen. Eerst moest ik naar het stadhuis om voor 13,40 een uittreksel te halen (de verstrekte info is openbaar dus waarom die aanvullende identificatie?) en nu wil men dat ik naar Zeist kom (4 uur reistijd, kosten 37,50) om op een scherm te kijken en met niets tastbaars weer te vertrekken. Op deze manier kun je ook nooit iets laten corrigeren. Alle andere vragen vanuit MDDR zijn onbeantwoord gebleven. Ik heb Infofolio gevraagd de gegevens alsnog te verstrekken en anders te motiveren waarom zij vinden dat zij zich aan de wet houden. Het zal wel op een klacht bij AP uitlopen.

      • David Korteweg

        Dank voor de update. Ze maken het je inderdaad niet makkelijk om inzage te krijgen. Succes!

Laat een reactie achter op Hans de Zwart Reactie annuleren

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.