Stel je voor: een donateur vraagt de organisatie waaraan hij doneert, naar de persoonsgegevens die over hem worden bijgehouden. Het antwoord? Een standaard verwijzing naar de privacyverklaring. Dat lijkt misschien een uitzondering, maar het gebeurt bij allerlei organisaties in Europa. Het recht op inzage is een kernrecht binnen de AVG, maar het uitvoeren een inzageverzoek (ook wel ‘subject access request’) wordt vaak lastig gevonden. Waarom is naleving zo ingewikkeld? En hoe kan het beter?
Uit een recent onderzoek van de European Data Protection Board (EDPB) blijkt dat er binnen Europa aanzienlijke verschillen bestaan in de praktische uitvoering van het recht van inzage. Dit recht is vastgelegd in artikel 15 van de Algemene Verordening Gegevensbescherming (AVG) en geeft burgers de mogelijkheid om inzicht te krijgen in de verwerking van hun persoonsgegevens. Verordeningen hebben het doel om zaken EU-breed op een gelijke manier te regelen. Dat het recht op inzage in de praktijk op uiteenlopende manieren geïmplementeerd wordt, schuurt dus met het doel van de AVG. Vicevoorzitter Zdravko Vukíc van het EDPB omschreef het recht op inzage als “[…] de kern van gegevensbescherming en […] een van de meest uitgeoefende rechten van betrokkenen.” Dat juist dit recht inconsistent wordt nageleefd is dan ook zorgwekkend voor het functioneren van de AVG.
Het recht op inzage: hoe transparant is Europa?
Het onderzoek van de EDPB laat zien dat veel organisaties moeite hebben met de verwerking van inzageverzoeken en wijst een aantal factoren aan die dit veroorzaken:
Gebrek aan uniforme procedures
Organisaties hebben vaak geen standaardproces voor de afhandeling van inzageverzoeken. Dit leidt tot vertragingen, incomplete antwoorden en (onbedoelde) schendingen van de AVG. Een kwart van de respondenten stuurt bijvoorbeeld geen ontvangstbevestiging bij een nieuw inzageverzoek waardoor er onduidelijkheid ontstaat over de startdatum van de wettelijke termijn en deadlines. Daarnaast ontbreekt eenduidige regelgeving over werkwijzen en bewaartermijnen voor persoonsgegevens. Bewaarperiodes variëren van enkele maanden tot tientallen jaren, afhankelijk van sector, nationale wetgeving en interne richtlijnen. Dit gebrek aan uniformiteit maakt het lastig om de AVG op consistente wijze na te leven.
Gebrek aan kennis en capaciteit
Grote organisaties met gespecialiseerde privacyteams lopen voor op kleinere organisaties, die moeite hebben om de complexe AVG-eisen te implementeren. Sommige organisaties compenseren hiervoor door inzageverzoeken af te wijzen en door te verwijzen naar hun algemene privacyverklaring. Dit voldoet echter niet aan de eisen van de AVG, omdat het gegevenssubject (de persoon die gegevens verstrekt) specifieke en begrijpelijke informatie moet krijgen over de verwerking van zijn of haar persoonsgegevens.
Verschillen op basis van organisatiesector
Sterk gereguleerde sectoren, zoals de gezondheidszorg, overheid en financiële dienstverlening, presteren over het algemeen beter. Ze hebben wel te maken met sectorspecifieke uitdagingen in het naleven van inzagerecht, zoals complexe organisatiestructuren en een grote variatie in gegevenscategorieën, maar er is duidelijke regelgeving en extra aandacht voor gegevensbescherming. In deze sectoren worden veel persoonsgegevens verwerkt en vragen mensen vaker om inzage. Het kennisniveau is daardoor hoog.
Het ontbreken van centrale registratiesystemen
Organisaties hebben vaak geen centraal afhandelpunt voor inzageverzoeken, wat leidt tot een tijdrovend en inefficiënt proces. Verzoeken komen in deze situatie bij wisselende afdelingen terecht die lang niet altijd genoeg capaciteit of kennis hebben om ze af te handelen.
Onduidelijkheid over uitzonderingen op het inzagerecht
Sommige verwerkers maken onjuist gebruik van de uitzonderingsgronden op het recht van inzage (artikel 13, 14 en 17 van de AVG). Hoewel er geldige redenen zijn om een verzoek op inzage te weigeren, worden deze ook onterecht toegepast. Daarnaast zijn er voorbeelden waarbij verwerkers zich op uitzonderingsregels uit nationale wetgeving beroepen die geen toepassing hebben op de AVG. Op deze manier worden Europese burgers tegengewerkt in het uitoefenen van hun recht op inzage.
Hoe transparant is Nederland?
De Autoriteit Persoonsgegevens (AP) voerde het onderzoek uit in Nederland en contacteerde 5570 functionarissen gegevensbescherming (FG’s) met een enquêteverzoek (40% van het totaal). Het responspercentage bleef met 4,5% echter erg laag ten opzichte van andere lidstaten, ondanks de mogelijkheid om anoniem te reageren. Contacten gaven onder meer aan dat de vragenlijst te complex was of de organisatieomvang te klein. Dit suggereert dat capaciteit en kennis te wensen overlaten. Daarnaast bleken de FG-gegevens ook niet altijd up-to-date te zijn. Gegevensbescherming verdwijnt in de dagelijkse bedrijfsvoering regelmatig naar de achtergrond en een derde van de respondenten neemt dit onderwerp bijvoorbeeld ook niet mee bij het digitaliseren van processen.
De wijze waarop verwerkingsverantwoordelijken het recht op toegang ten uitvoer leggen, vormt de kern van de gegevensbescherming en is een van de meest uitgeoefende rechten van betrokkenen (EDPB-Vicevoorzitter Zdravko Vukíc)
Het valt op dat inzageverzoeken bij 20% van de Nederlandse respondenten door de FG worden afgehandeld, terwijl deze als onafhankelijke interne toezichthouder is bedoeld. Daarnaast meldt de AP dat er bij ongeveer 30% van de respondenten geen vaste procedure bestaat voor inzageverzoeken en dat eenzelfde aandeel niet regelmatig controleert op nieuwe verzoeken. De praktijkverschillen in inzagerecht worden bovendien verder versterkt door de variërende bewaartermijnen in Nederland (tussen de 6 maanden en de 20 jaar). Er is geen nationale wetgeving of richtlijn die bepaalt hoe lang gegevens moeten worden bewaard. Tegelijkertijd laten gereguleerde sectoren, zoals de gezondheidszorg en de overheid, duidelijk zien hoe naleving kan worden verbeterd door wettelijke kaders.
Oproep tot een Europese aanpak
Twee derde van de gegevensbeschermingsautoriteiten geeft aan dat de naleving van het recht op toegang “gemiddeld” tot “hoog” is, maar er is duidelijk ruimte voor verbetering. De EDPB roept op tot heldere richtlijnen met betrekking tot werkwijzen en bewaartermijnen, het vergroten van kennis met trainingen en online handleidingen en betere digitale ondersteuning (bijvoorbeeld in de vorm van software voor inzageprocessen). Op die manier kan de EU ervoor zorgen dat het recht van inzage op een consistente en effectieve manier wordt nageleefd en dat er wordt voldaan aan de groeiende verwachtingen van burgers op het vlak van gegevensbescherming.
Nationaal worden online trainingen, antwoordpagina’s voor sectorspecifieke vragen en netwerken gesuggereerd om het kennisniveau te verhogen. Europees gezien zou het publiceren van Frequently Asked Questions en het verspreiden van flowcharts met betrekking richtsnoeren kunnen helpen om informatie toegankelijker te maken. Deze aanbevelingen dienen ook ter promotie van het richtsnoer 01/2022 over het recht op inzage, die in 2022 door het EDPB is uitgebracht.
