De Autoriteit Persoonsgegevens (AP) neemt schendingen van de privacywetgeving zeer serieus en is strak aan het handhaven. De Nederlandse miljonairsbank Theodoor Gilissen Bankiers, inmiddels bekend als InsingerGilissen, heeft onlangs na een lange procedure een dwangsom opgelegd gekregen van € 48.000,- vanwege schending van het inzagerecht onder de Wet bescherming persoonsgegevens, de voorloper van de Algemene Verordening Gegevensbescherming (AVG).
Een klant, die effectendiensten afnam van TGB, had aan de bank gevraagd om inzage in zijn persoonsgegevens. Het ging om de volgende informatie:
- een overzicht van zijn persoonsgegevens die door TGB werden verwerkt;
- een afschrift van chatberichten tussen de klant en zijn accountmanager;
- een afschrift van een interne instructie over de te maken afspraken met de klant.
Toen het inzageverzoek van de klant werd afgewezen is deze met een advocaat direct naar de AP gestapt.
TGB voerde tegen de klant aan dat deze misbruik maakte van het inzagerecht omdat het de klant alleen maar zou gaan om bewijsvergaring voor een lopende rechtszaak tegen de bank. Een verzoek om inzage was al eerder afgewezen door de rechter in deze lopende zaak tussen de bank en de klant. Ook stelde TGB dat zij onder de privacywetgeving niet verplicht is om afschriften van stukken, interne analyses en de vastlegging van beraadslaging te delen met klanten die een inzageverzoek doen. Afschriften van de chatberichten en de interne instructie zouden zij dus niet hoeven te delen met de klant.
De AP bevestigt dat het motief van de verzoeker bij de uitoefening van het recht belangrijk is en dat er geen misbruik gemaakt mag worden van het recht op inzage. Echter maakt het bij een inzageverzoek niet uit of de betrokkene (degene over wie de gegevens gaan) de informatie later voor andere doelen gebruikt.
Daarnaast volstaat volgens de AP in principe een begrijpelijk overzicht van de verwerkte persoonsgegevens. Indien met een overzicht niet kan worden voldaan aan de doelstelling van het recht op inzage, moeten er volgens de AP ook afschriften worden verstrekt. Aan de vraag of er hier sprake is van een dergelijk geval komt de AP niet toe, gezien TGB nog helemaal geen gegevens had verstrekt aan de klant. Uiteindelijk geeft de AP twee maanden de tijd om alsnog inzage te verschaffen onder last van een dwangsom van € 12.000,- per week.
TGB legt inderdaad op tijd een overzicht van de persoonsgegevens over, maar de klant betwist de volledigheid van dit overzicht. De AP komt na onderzoek op locatie bij TGB tot dezelfde conclusie. Er mist zonder duidelijke reden informatie uit twee documenten. TGB overlegt vervolgens de informatie uit de documenten alsnog, maar het kwaad is op dat moment al geschied: inmiddels heeft TGB de uiterlijke termijn overschreden en worden de dwangsommen, die onderhand zijn opgelopen tot € 48.000,-, verbeurd.
Een inzageverzoek aan uw organisatie
Wat als iemand de persoonsgegevens wil inzien die uw organisatie van hem verwerkt? Waar moet u op letten en waar moet het overzicht aan voldoen?
Als organisatie moet u ten eerste duidelijk laten weten hoe men een inzageverzoek kan doen. Een goede plek hiervoor is de privacyverklaring.
Een verzoek mag alleen worden afgewezen als het duidelijk ongegrond of buitensporig is. Dit is niet snel het geval: alleen als iemand bijvoorbeeld vraagt om inzage in persoonsgegevens van een ander, als de veiligheid van personen in het geding is of wanneer dagelijks grote dossiers worden opgevraagd, kan het verzoek worden afgewezen. U bent overigens ook verplicht om binnen een maand te reageren op een inzageverzoek, slechts bij ingewikkelde verzoeken of bij verzoeken die erg veel gegevens betreffen mag u twee maanden langer de tijd nemen. U moet dan wel binnen een maand aangeven dat u langer de tijd nodig heeft, en waarom.
De betrokkene heeft het recht om een begrijpelijk overzicht van u te ontvangen van alle gegevens of categorieën gegevens die u over hem verwerkt. Ook kan u de betrokkene een kopie van de gegevens verstrekken. Het gaat erom dat de betrokkene in staat is de gegevens te controleren en erachter kan komen welke gegevens over hem verzameld worden. In het overzicht moet onder andere staan:
- het doel waarvoor de organisatie de gegevens gebruikt;
- welke soorten gegevens de organisatie voor dit doel gebruikt;
- welke organisaties of soorten organisaties de gegevens ontvangen;
- hoe de organisatie aan de gegevens is gekomen;
- welke rechten de betrokkene verder heeft zoals het verzoeken om correctie of verwijdering van de gegevens, en het indienen van een klacht bij de AP.
Een inzageverzoek betreft alleen gegevens van de betrokkene, niet van anderen. Ook interne werknotities hoeven niet in het overzicht, behalve als deze zijn opgenomen in dossiers.
Het overzicht moet in principe gratis verstrekt worden. Alleen voor extra kopieën mag een vergoeding gevraagd worden van de betrokkene. Die vergoeding mag niet zo hoog zijn dat het mensen ervan zou weerhouden hun recht op inzage uit te oefenen.
Deze blog is geschreven door stagiaire Eline Hangelbroek, in samenwerking met Fay Kartner.
Hulp nodig bij het kunnen voldoen aan inzageverzoeken of heeft u advies nodig bij een ander privacyvraagstuk?
Onze privacy juristen helpen u graag op weg. Neem contact met ons op, of lees hier meer over ons privacy advies. Bekijk ook de privacytrainingen van de ICTRecht Academy.
