Je hebt recht om te weten welke persoonlijke gegevens organisaties over jou hebben. Het zogenaamde inzagerecht is een belangrijk, maar voor de meeste mensen onbekend recht dat is neergelegd in art. 35 van de Wet Bescherming Persoonsgegevens (Wbp) en in Europese regelgeving. Het inzagerecht betekent dat iedereen zich tot een persoon of organisatie mag wenden met het verzoek om hem te berichten of, en zo ja welke, persoonsgegevens over hem worden verwerkt. Degene die zo’n verzoek krijgt, moet binnen 4 weken een schriftelijk overzicht verstrekken met:

• een volledig overzicht in begrijpelijke vorm;
• een omschrijving van het doel of de doeleinden van de verwerking;
• de categorieën van gegevens waarop de verwerking betrekking heeft;
• de ontvangers of categorieën van ontvangers;
• de beschikbare informatie over de herkomst van de gegevens.

De bedoeling van het inzagerecht is dat de betrokkene in staat gesteld wordt om erachter te komen of de gegevens die over hem verwerkt worden wel juist en rechtmatig zijn. De Wbp geeft de betrokkene namelijk ook het recht om te eisen dat zijn gegevens worden verwijderd of gecorrigeerd. Die rechten kan je immers pas uitoefenen als je een mogelijkheid hebt om erachter te komen welke gegevens er van je verwerkt worden.

Volgens de Hoge Raad moeten in principe kopieën of afschriften worden verstrekt van de gegevensdrager waarop de persoonsgegevens zijn vastgelegd. Een samenvatting van de persoonsgegevens is niet voldoende, omdat dan een belangrijk deel van de informatiewaarde verloren kan gaan. Een inzageverzoek mag niet worden afgewezen op grond van het feit dat het veel geld of moeite zou kosten om een overzicht te maken en aan de betrokkene te verstrekken.

Onlangs stond het inzagerecht nog een aantal keer in de belangstelling.

Zo heeft Hyves het voor haar gebruikers erg makkelijk gemaakt om inzage in hun persoonsgegevens te verkrijgen. Nadat gebruikers zijn ingelogd kunnen ze via de pagina ‘Wat wij weten’ zien welke gegevens door Hyves worden opgeslagen en waarvoor deze gegevens worden gebruikt. Voor andere organisaties heeft digitale burgerrechtenorganisatie Bits of Freedom een slim initiatief gelanceerd. Met behulp van de Privacy Inzage Machine (PIM) kan je gemakkelijk en gedeeltelijk geautomatiseerd inzageverzoeken genereren voor een groot aantal organisaties die potentieel gegevens over je verwerken.

Ook Facebook kreeg onlangs te maken met het inzagerecht. Een Oostenrijkse rechtenstudent, Max Schrems, deed een inzageverzoek bij Facebook. Hij ontving een CD-rom met meer dan 1200 pagina’s aan informatie die het sociale netwerk de afgelopen drie jaar over hem had opgeslagen. Daarbij gaf Facebook wel aan dat niet alle persoonsgegevens in het overzicht opgenomen waren. Ze stellen zich op het standpunt dat een deel van de persoonsgegevens die zij verwerken zodanig is dat het verstrekken van inzage daarin een schending van hun ‘trade secrets’ en intellectuele eigendomsrechten zou zijn. Een dergelijke uitzondering kent de Europese Richtlijn over de bescherming van persoonsgegevens niet, evenmin als de Nederlandse Wbp. De Ierse wet bevat die uitzondering wel, en aangezien de Europese vestiging van Facebook in Ierland gevestigd is, is die wet van toepassing.

Overigens waren de 1200 pagina’s aan informatie voor Max Schrems genoeg om 22 klachten over het privacybeleid van Facebook te formuleren. Deze lijst stuurde hij naar de Ierse Commissaris voor Privacybescherming. De klachten zien onder meer op het feit dat bepaalde vormen van communicatie door Facebook bewaard blijven ook nadat ze door de gebruiker zijn gewist, dat Facebook “schaduw-profielen” maakt van gebruikers en niet-gebruikers en dat Facebook persoonlijke gegevens verwerft via synchronisatie met mobiele telefoons en andere applicaties. Bovendien wordt bezwaar gemaakt tegen het feit dat Facebook haar gebruikers slechts een “opt-out” mogelijkheid biedt, terwijl Europese regelgeving voorschrijft dat gebruikers vooraf moeten instemmen met de verwerking van privacy-gevoelige informatie (opt-in).

Op het moment van schrijven bereidt de Ierse Commissaris voor Privacybescherming een uitgebreid onderzoek voor. Dit illustreert dat het inzagerecht een belangrijke rol kan spelen bij de handhaving van regelgeving omtrent persoonsgegevens. Zonder het inzagerecht zou het een stuk moeilijker zijn om er achter te komen welke persoonsgegevens bedrijven hebben en wat ze met die gegevens doen. Het inzagerecht kan dus sterk bijdragen aan transparantie en het toezicht met betrekking tot de verwerking van persoonsgegevens.

Geplaatst op 31 oktober 2011
Bron: www.europe-v-facebook.org

Je hebt recht om te weten welke persoonlijke gegevens organisaties over jou hebben. Het zogenaamde inzagerecht is een belangrijk, maar voor de meeste mensen onbekend recht dat is neergelegd in art. 35 van de Wet Bescherming Persoonsgegevens (Wbp) en in Europese regelgeving. Het inzagerecht betekent dat iedereen zich tot een persoon of organisatie mag wenden met het verzoek om hem te berichten of, en zo ja welke, persoonsgegevens over hem worden verwerkt. Degene die zo’n verzoek krijgt, moet binnen 4 weken een schriftelijk overzicht verstrekken met:

• een volledig overzicht in begrijpelijke vorm;
• een omschrijving van het doel of de doeleinden van de verwerking;
• de categorieën van gegevens waarop de verwerking betrekking heeft;
• de ontvangers of categorieën van ontvangers;
• de beschikbare informatie over de herkomst van de gegevens.

De bedoeling van het inzagerecht is dat de betrokkene in staat gesteld wordt om erachter te komen of de gegevens die over hem verwerkt worden wel juist en rechtmatig zijn. De Wbp geeft de betrokkene namelijk ook het recht om te eisen dat zijn gegevens worden verwijderd of gecorrigeerd. Die rechten kan je immers pas uitoefenen als je een mogelijkheid hebt om erachter te komen welke gegevens er van je verwerkt worden.

Volgens de Hoge Raad moeten in principe kopieën of afschriften worden verstrekt van de gegevensdrager waarop de persoonsgegevens zijn vastgelegd. Een samenvatting van de persoonsgegevens is niet voldoende, omdat dan een belangrijk deel van de informatiewaarde verloren kan gaan. Een inzageverzoek mag niet worden afgewezen op grond van het feit dat het veel geld of moeite zou kosten om een overzicht te maken en aan de betrokkene te verstrekken.

Onlangs stond het inzagerecht nog een aantal keer in de belangstelling.

Zo heeft Hyves het voor haar gebruikers erg makkelijk gemaakt om inzage in hun persoonsgegevens te verkrijgen. Nadat gebruikers zijn ingelogd kunnen ze via de pagina ‘Wat wij weten’ zien welke gegevens door Hyves worden opgeslagen en waarvoor deze gegevens worden gebruikt. Voor andere organisaties heeft digitale burgerrechtenorganisatie Bits of Freedom een slim initiatief gelanceerd. Met behulp van de Privacy Inzage Machine (PIM) kan je gemakkelijk en gedeeltelijk geautomatiseerd inzageverzoeken genereren voor een groot aantal organisaties die potentieel gegevens over je verwerken.

Ook Facebook kreeg onlangs te maken met het inzagerecht. Een Oostenrijkse rechtenstudent, Max Schrems, deed een inzageverzoek bij Facebook. Hij ontving een CD-rom met meer dan 1200 pagina’s aan informatie die het sociale netwerk de afgelopen drie jaar over hem had opgeslagen. Daarbij gaf Facebook wel aan dat niet alle persoonsgegevens in het overzicht opgenomen waren. Ze stellen zich op het standpunt dat een deel van de persoonsgegevens die zij verwerken zodanig is dat het verstrekken van inzage daarin een schending van hun ‘trade secrets’ en intellectuele eigendomsrechten zou zijn. Een dergelijke uitzondering kent de Europese Richtlijn over de bescherming van persoonsgegevens niet, evenmin als de Nederlandse Wbp. De Ierse wet bevat die uitzondering wel, en aangezien de Europese vestiging van Facebook in Ierland gevestigd is, is die wet van toepassing.

Overigens waren de 1200 pagina’s aan informatie voor Max Schrems genoeg om 22 klachten over het privacybeleid van Facebook te formuleren. Deze lijst stuurde hij naar de Ierse Commissaris voor Privacybescherming. De klachten zien onder meer op het feit dat bepaalde vormen van communicatie door Facebook bewaard blijven ook nadat ze door de gebruiker zijn gewist, dat Facebook “schaduw-profielen” maakt van gebruikers en niet-gebruikers en dat Facebook persoonlijke gegevens verwerft via synchronisatie met mobiele telefoons en andere applicaties. Bovendien wordt bezwaar gemaakt tegen het feit dat Facebook haar gebruikers slechts een “opt-out” mogelijkheid biedt, terwijl Europese regelgeving voorschrijft dat gebruikers vooraf moeten instemmen met de verwerking van privacy-gevoelige informatie (opt-in).

Op het moment van schrijven bereidt de Ierse Commissaris voor Privacybescherming een uitgebreid onderzoek voor. Dit illustreert dat het inzagerecht een belangrijke rol kan spelen bij de handhaving van regelgeving omtrent persoonsgegevens. Zonder het inzagerecht zou het een stuk moeilijker zijn om er achter te komen welke persoonsgegevens bedrijven hebben en wat ze met die gegevens doen. Het inzagerecht kan dus sterk bijdragen aan transparantie en het toezicht met betrekking tot de verwerking van persoonsgegevens.

Geplaatst op 31 oktober 2011
Bron: www.europe-v-facebook.org