Meer dan de helft van de organisaties die persoonsgegevens verwerken gaan vandaag nog niet in op verzoeken tot inzicht in die data. Dat is nochtans één van de belangrijkste vereisten van de GDPR en maakt ook al deel uit van de huidige privacywetgeving.
Onder begeleiding van mict-onderzoekers Glen Joris en dr. Peter Mechant contacteerden zes studenten Communicatiewetenschappen van de UGent enkele maanden geleden 220 bedrijven, verenigingen en organisaties uit hun directe levenssfeer met de vraag om inzage te krijgen in de verwerking van hun persoonsgegevens. Met dat onderzoek wilden ze in kaart brengen hoe organisaties het inzagerecht uitoefenen.
Dode letter
Het recht op data-inzage is één van de speerpunten van de Europese privacywetgeving (GDPR) die later deze maand van kracht gaat, en staat ook reeds in de huidige Belgische privacywet van 1992 (Art. 10. § 1.). Het onderzoek van de UGent toont evenwel aan dat de naleving ervan vandaag in belangrijke mate dode letter blijft.
Hoewel 170 van de 220 gecontacteerde organisaties (77,2%) het recht op data-inzage in hun privacybeleid vermelden, gingen slechts 106 organisaties (48,2%) in op het verzoek tot inzage. 99 organisaties deden dat binnen de wettelijke termijn van 45 werkdagen. Gemiddeld waren er 18 dagen nodig om de aanvraag te verwerken.
Niet alle organisaties die ingingen op het verzoek tot data-inzage, waren daarin even prompt. In sommige gevallen dienden tot 14 mails verstuurd te worden of moest tot 10 euro worden betaald, voordat de data werden doorgestuurd.
Identificatie
De onderzoekers gebruikten een modelbrief waarin één belangrijk criterium, namelijk identificatie, bewust werd weggelaten. Identificatie van de aanvrager is wettelijk verplicht om onrechtmatige inzage te vermijden. Slechts 39 van de 106 organisaties (35,8%) die inzage gaven, deden daarbij een bepaalde vorm van identiteitscontrole.
24 organisaties vroegen simpelweg om de aanvraag opnieuw te doen vanuit het e-mailadres dat bij hen bekend was. Slechts enkelen werkten met een tweestapsauthenticatie waarbij een code werd verstuurd naar het e-mailadres of gsm-nummer van de student. Zelfs de organisaties die wel inzagerecht verlenen, zijn dus grotendeels niet in overeenstemming met de privacywetgeving.
Ontoegankelijk
Contact opnemen met de organisaties om inzicht in de data aan te vragen, bleek niet vanzelfsprekend. Vier op tien organisaties (37,6 procent) vermelden bij het data-inzagerecht in hun privacybeleid geen specifieke contactpersoon.
Wanneer studenten hun data als bijlage ontvingen, ervaarden ze bovendien heel wat problemen met het openen en correct interpreteren van de databestanden. Naast de grote verscheidenheid aan bestandsformaten (.csv, .json, .pdf,…) waren verschillende bestanden moeilijk interpreteerbaar of zelfs volledig onleesbaar voor de gemiddelde computergebruiker.
Werk aan de winkel
Heel wat organisaties hebben dus nog werk aan de winkel om zich tegen 25 mei in overeenstemming te brengen met de GDPR. Dat is enigszins opvallend omdat het recht op data-inzage eigenlijk al sinds 1992 in de Belgische privacywet ingeschreven staat. Het risico op repercussies was evenwel bijzonder klein, waardoor de wetgeving vaak stiefmoederlijk werd behandeld.
Dat verandert met de GDPR. Boetes voor inbreuken tegen de nieuwe wet kunnen oplopen tot 4 procent van de jaarlijkse omzet voor grove misstappen. Al moet je ook niet meteen ongerust zijn dat de Privacycommissie op 25 mei meteen aan je deur komt aankloppen met een fikse boete. Vastgestelde inbreuken zullen met de nodige redelijkheid worden behandeld. Bovendien zijn heel wat privacytoezichthouders zelf nog niet klaar voor hun nieuwe taken onder de GDPR.