Je privacyrechten in de praktijk: onterechte drempels
- 25 januari 2019
- Foto: Pekka Nikrus
Sinds de lancering van My Data Done Right komen veel vragen binnen van mensen die bij het uitoefenen van hun privacyrechten tegen een muur van eisen aanlopen. We beantwoorden een aantal veel gestelde vragen om duidelijkheid te scheppen.
Vorige week ging het over de eis om een kopie van je IDEerste deel in de serie te verstrekken. Deze week: eisen aan de wijze waarop en hoe vaak je een verzoek kan indienen.
Tweesporenbeleid BKR
Een concreet en beruchtHet BKR handelt volgens juristen in strijd met de wet voorbeeld van het onnodig opwerpen van drempels is het tweesporenbeleid van het Nederlandse Bureau Krediet Registratie (BKR). Wil je inzage in je kredietregistratie, dan moet je een formulier van hun website downloaden, printen en per reguliere post versturen. Ook mag je volgens het BKR slechts één keer per jaar zo’n verzoek indienen. Vervolgens krijg je, als het goed is, 28 dagen later per post een reactie. Maar ben je bereid te betalen? Dan krijg je direct online inzage. Dit is een schoolvoorbeeld van hoe het niet moet en mag. Gelukkig doet de toezichthouder nu onderzoek naar het BKR.
Geen financiële drempels
De Europese privacyregels zijn glashelderDit staat in artikel 12 van de Algemene verordening gegevensbescherming (AVG). Doe je een beroep op één van je privacyrechten, dan moet de organisatie hier gehoor aan geven zonder kosten bij je in rekening te brengen. Alleen in twee specifieke uitzonderingssituaties kan een organisatie een vergoeding vragen om hun kosten te dekken:
- Als je een verzoek indient dat overduidelijk ongegrond of buitensporig is. De organisatie moet kunnen aantonen dat van deze uitzonderingssituatie sprake is.
- Als je verzoekt om extra kopieën van je gegevens.
Geen maximum aantal verzoeken
De eis dat je maar één keer per jaar je recht op inzage zou mogen uitoefenen, zoals het BKR op haar website stelt, is niet in lijn met de Europese privacyregels. Je mag je rechten gewoon regelmatigZie overweging 63 van de AVG uitoefenen. Alleen als je buitensporig veel verzoeken achter elkaar indient , kan een organisatie weigeren of een vergoeding vragen.
Wanneer het herhaaldelijk indienen van een verzoek precies ‘buitensporig’ wordt, staat niet in de wet. Dat zal, zoals wel vaker bij juridische normen, per geval verschillen. De organisatie die om deze reden verzoeken weigert, moet wél aantonen dat er sprake is van buitensporigheid. Maar met enig gezond verstand valt hier wel uit te komen. Van buitensporigheid is in ieder geval geen sprake als iemand meer dan één keer per jaar een inzageverzoek indient bij het BKR. Die eis kan volgens ons zo de prullenbak in.
“Worden je gegevens online verzameld? Dan moet je op z’n minst ook je privacyrechten eenvoudig online kunnen uitoefenen.”
Alleen per post indienen?
Het BKR is één van de vele organisaties die eisen dat je verzoeken per reguliere post indient. Ook zijn er organisaties die zeggen dat je verzoeken alleen via hun eigen procedure – bijvoorbeeld een online formulier – kan indienen. Mogen organisaties dicteren hoe je een verzoek om je privacyrechten uit te oefenen, indient?
De Europese privacyregels geven hier deels antwoord op. In de inleidende tekst van de Algemene verordening gegevensbescherming (AVG) staat dat je het recht op inzage eenvoudig moet kunnen uitoefenen. Ook staat er dat organisaties over regelingen moeten beschikken om je rechten gemakkelijker uit te kunnen oefenen. Bovendien staatOverweging 59 van de AVG er dat organisaties het mogelijk moeten maken om verzoeken “(…) elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt.” Worden je gegevens online verzameld? Dan moet je op z’n minst ook je privacyrechten eenvoudig online kunnen uitoefenen.
Nemen we het BKR als voorbeeld, dan werpen ze duidelijk een onnodige barrière op door inzageverzoeken alleen op een geprint formulier per post mogelijk te maken. Ze beschikken immers over de mogelijkheid om je online inzage te geven, alleen zit die mogelijkheid nu verstopt achter een betaalmuurOnline inzage kan alleen tegen betaling.
“Is de procedure onduidelijk, ingewikkeld of krijg je maar deels waar je recht op hebt? Dan zal je altijd ook op andere wijze je verzoeken moeten kunnen indienen.”
Eigen procedures
Kunnen organisaties eisen dat je een online formulier of via een optie in je account gebruikt? Kunnen ze eisen dat je uitsluitend via hun procedure je rechten uitoefent?
Vanuit het perspectief van de organisatie is zo’n eis wel te begrijpen. Die wil het proces zo efficiënt mogelijk inrichten. Ook als gebruiker kan je hier baat bij hebben. Maar zo’n online procedure mag nooit een drempel vormen om je rechten uit te oefenen. Is de procedure onduidelijk, ingewikkeld of krijg je maar deels waar je recht op hebt? Dan moet je altijd ook op andere wijze je verzoeken kunnen indienen.
Deel je ervaring
Wat zijn jullie ervaringen met opgeworpen drempels bij het indienen van verzoeken? Worden er onredelijke eisen gesteld? Wekken organisaties de valse schijn je volledig inzage te geven door te verwijzen naar een pagina met wat basale accountgegevens, terwijl ze veel meer gegevens verzamelen? Laat een reactie achter!