Dit gebeurt er als je om je gegevens vraagt

Privacy Organisaties moeten inzage geven in wat ze over je hebben verzameld. Maar die wet wordt vaak niet nageleefd, blijkt uit een persoonlijke rondgang.

Organisaties verzuimen vaak hun wettelijke plicht om burgers inzage te geven in de gegevens die over hen zijn verzameld. Illustratie Arjen Born

Een Excelbestand komt per e-mail mijn inbox binnen. Het komt van Inner Circle, een datingapp die ik ooit van mijn telefoon verwijderde zonder ook mijn profiel weg te gooien. Het bestand bestaat uit tien tabbladen die een griezelig persoonlijk portret schilderen. Ik lees onder meer terug wanneer ik precies online was, welke zoekopdrachten ik uitvoerde in het aanbod van mannen, hoe vaak ik op accounts keek en de inhoud van berichten die ik uitwisselde met de potentiële dates.

Klanten mogen van organisaties weten welke gegevens allemaal over hen zijn verzameld. Met een ‘privacyinzageverzoek’ kunnen ze controleren of die gegevens wel kloppen en of organisaties niet te veel informatie verzamelen. Dat staat al sinds 2001 beschreven in de Wet bescherming persoonsgegevens, maar lijkt in de praktijk een vrijblijvend advies. Er is namelijk nog nooit een Nederlandse organisatie die weigerde en beboet werd door de privacytoezicthouder Autoriteit Persoonsgegevens (AP).

Dit verandert, denken privacy-experts, als nieuwe wetgeving van kracht wordt. Eind mei gaan Europese regels gelden die de drempel verlagen voor toezichthouders om boetes uit te delen. De AP krijgt meer mankracht en hoeft dan niet eerst te waarschuwen alvorens ze een boete kunnen opleggen. Daarnaast mogen organisaties geen geld meer vragen voor het beantwoorden van deze officiële verzoeken om gegevens.

Zijn organisaties daar klaar voor?

Nauwelijks, blijkt uit een rondje privacyinzageverzoeken bij organisaties die mogelijk gegevens over mij verzamelen. Vaak komt er geen antwoord, of proberen organisaties mij op creatieve wijze af te schepen.

Een privacyinzageverzoek opstellen is vrij eenvoudig. Bits of Freedom heeft bijvoorbeeld instructies online gezet om mensen op weg te helpen. Ik voorzie de documenten van een kopie van mijn paspoort en stuur ze naar mijn gemeente (Amsterdam) en de bedrijven achter de apps in m’n telefoon.

Lees ook: Veel bedrijven niet klaar voor nieuwe privacywet.

Onbeantwoord

Eerst probeer ik Tile. Dat is een sleutelhanger met een bluetoothverbinding naar mijn telefoon. In een app kan ik zien waar mijn sleutelbos is zodat deze niet kwijtraakt. Waar ik ga, gaat mijn sleutelbos. Het maakt me nieuwsgierig: wat voor gegevens bewaart Tile over mij? Een maand na mijn privacyinzageverzoek komt een e-mail binnen. Zonder mijn gegevens. Tile probeert namelijk van mij af te komen door alleen het algemene privacystatement op te sturen. Na maanden heen en weer mailen, blijft mijn verzoek nog altijd onbeantwoord.

Ik stuur een officieel privacyinzageverzoek. Reactie: ‘Bedankt voor je suggesties.’

Dan een poging bij Happn: nóg een datingapp die ik ooit van mijn telefoon haalde zonder het account te verwijderen. Ik stuur een officieel privacyinzageverzoek en krijg slechts een standaardreactie terug. „Bedankt voor je suggesties en opmerkingen.”

Organisaties verzuimen kortom vaak hun wettelijke plicht om burgers inzage te geven in de gegevens die over hen zijn verzameld. Dat geldt, blijkens deze kleine steekproef, zéker ook voor overheidsorganisaties. Met mijn privacyinzageverzoek bij de gemeente Amsterdam krijg ik nul op het rekest. Een collega, woonachtig in Den Haag, stuurt ook een officieel privacyinzageverzoek. Ook hij wordt, ondanks de wet, genegeerd door de gemeente.

Otto Volgenant, advocaat gespecialiseerd in privacy, kan meepraten. In juni 2015 stuurde hij een privacyinzageverzoek naar de Belastingdienst. Omdat de overheidsorganisatie zijn verzoek weigerde, stapte Volgenant naar de rechter. „Om een dossier in te zien, moeten allerlei systemen naast elkaar worden geopend”, aldus een van de twee advocaten die de Belastingdienst verdedigden tegenover de rechtbank in Amsterdam. „Alleen het onderzoek naar die persoonsgegevens in al die systemen zal waarschijnlijk al twee dagen in beslag nemen en dus onevenredige kosten met zich meebrengen.”

Uit de zaak blijkt dat de Belastingdienst werkt aan een manier om makkelijker overzicht te krijgen van welke gegevens de dienst over wie bewaart. „Dat is een traject dat erg lang duurt.” In januari 2018 kreeg Volgenant eindelijk gelijk van de rechtbank en een paar weken later ploft er een dikke envelop op zijn deurmat, met inderdaad een overzicht van de gegevens die de Belastingdienst over hem bewaart.

Binnen een week reactie

Uit mijn eigen rondgang blijkt dat er ook bedrijven zijn die zich wel netjes aan de wet houden. De Nederlandse Publieke Omroep, eigenaar van de televisiekijkapp NPO Start, laat al na een week van zich horen. De app heeft geen persoonsgegevens verzameld, behalve juist de gegevens die nodig waren voor het verwerken van mijn privacyinzageverzoek. Ook RTL, eigenaar van de app Buienradar, meldt dat er geen persoonsgegevens van mij bij het bedrijf bekend zijn.

Takeaway, het moederbedrijf van Thuisbezorgd, stuurt wel een bestand op. Daaruit blijkt dat wordt geregistreerd hoe laat en vanaf welk IP-adres ik heb besteld. Los van of ik wilde weten dat ik mij liefst dertig keer liet verleiden tot het bestellen van avondeten, kan ik de over mij bewaarde gegevens in ieder geval zien.

De techreuzen doen niet aan privacyinzageverzoeken, maar bieden een alternatief: het downloaden van je gegevens. Facebook biedt dat aan via ‘instellingen’ en Google via de site takeout.google.com. In het enorme bestand staan naast mijn e-mails en de historie van zoekopdrachten ook bijvoorbeeld m’n locatiegeschiedenis (vanwege Google Maps) en hoe ik precies YouTube heb gebruikt. Facebook stuurt een kopie van m’n profiel met aanvullende informatie. Bijvoorbeeld op welke advertenties ik klikte, een overzicht van de evenementen waar ik op ‘aanwezig’ stond, wanneer ik inlogde en vanaf welk apparaat. Het overzicht is overduidelijk incompleet, zo stuurt Facebook alleen de foto’s die ik op ‘zichtbaar’ heb staan terwijl ik ook andere foto’s op mijn account heb opgeslagen.

Het is de vraag wat de techbedrijven verder allemaal buiten beschouwing laten. En of ze daarbij kunnen rekenen op boetes van de Europese privacytoezichthouders vanwege de nieuwe wet.

    • Liza van Lonkhuyzen