Het afgelopen half jaar hebben bijna 10.000 mensen een privacyklacht ingediend bij de Autoriteit Persoonsgegevens (AP). Mensen trekken vooral aan de bel over een schending van hun privacyrechten, als meer gegevens worden uitgevraagd dan noodzakelijk en over het ongewenst doorgeven van hun persoonsgegevens aan derden. Zakelijke dienstverleners, de IT-sector en de overheid komen er het slechtst vanaf. Op de voet gevolgd door de financiële instellingen en zorginstellingen. Aleid Wolfsen, voorzitter van de AP: “Ik vind het bemoedigend dat veel mensen actief opkomen voor hun privacyrechten door bij de AP een klacht in te dienen. Goed dat mensen het er niet bij laten zitten. Daarmee geven ze een serieus signaal aan een organisatie zodat andere mensen niet in dezelfde situatie terecht komen. Tegelijkertijd is dit een reden tot zorg. Er moet nog veel gebeuren bij organisaties.”
Met de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) zijn de privacyrechten van mensen versterkt: iedereen kan sinds 25 mei een privacyklacht indienen bij de Autoriteit Persoonsgegevens (AP). Dat kan als iemand vermoedt dat zijn/haar persoonsgegevens zijn verwerkt op een manier die in strijd is met de privacywet. De eerste halfjaarlijkse rapportage geeft inzicht in de klachten die de AP heeft ontvangen sinds 25 mei en de manier waarop de klachten zijn behandeld.
Onderwerp van klachten
De meeste klachten (32%) gaan over een schending van een privacyrecht, zoals het recht op inzage en het recht op verwijdering. Mensen krijgen bijvoorbeeld geen inzage in hun gegevens als ze daarom vragen of ondervinden drempels als zij persoonsgegevens verwijderd willen hebben. Veel organisaties vragen bijvoorbeeld om een kopie van een identiteitsbewijs, voordat zij gegevens willen verwijderen. Omdat dit in veel gevallen niet mag heeft de AP via de website de voorlichting hierover uitgebreid.
Mensen klagen ook vaak (15%) bij de AP wanneer meer gegevens worden uitgevraagd dan noodzakelijk, bijvoorbeeld het BSN bij het aanmaken van een account bij een brillenwinkel of bij aanmelding bij een rijschool. Daarnaast gaan veel klachten (12%) over organisaties die persoonsgegevens doorgeven aan derden terwijl mensen dit niet weten of willen.
Sectoren
Zakelijke dienstverleners (41%), de IT-sector (12%) en de overheid (10%) zijn de sectoren waarover de AP de meeste klachten ontvangt . Op de voet gevolgd door de financiële instellingen (9%) en zorginstellingen (9%). Bij zakelijke dienstverleners, zoals detailhandel en nutsbedrijven, en de IT-sector gaan de klachten vooral over privacyrechten van mensen, zoals het recht op inzage en het recht op verwijdering. Bij gemeenten en ZBO’s, zoals de SVB en het UWV, komt de manier van gegevensverwerking het meest aan de orde.
Wijze van behandeling
De AP heeft verschillende mogelijkheden om een klacht te behandelen en bekijkt per klacht wat de meest effectieve manier is om de overtreding te beëindigen. De AP heeft zich in dit eerste half jaar primair gericht op het beëindigen van de mogelijke overtreding door voorlichting aan organisaties en het sturen op herstelmaatregelen. In meer dan een derde van de gevallen heeft de AP opgetreden tegen een overtreding door een brief te versturen met normuitleg, te bemiddelen of een normoverdragend gesprek te voeren. Er zijn inmiddels 11 onderzoeken gestart. Die zijn gebaseerd op een veelvoud aan klachten.
In veel andere gevallen (33%) hebben medewerkers van de AP mensen op weg geholpen om zelf een klacht in te dienen bij de organisatie waarover de klacht gaat. De AP gaat er vanuit dat mensen eerst zelf contact opnemen met de organisatie over hun klacht. Veel mensen hebben dit nog niet gedaan op het moment dat zij zich bij de AP melden.
Iedereen heeft privacyrechten
Niet iedereen is zich ervan bewust, maar iedereen heeft privacyrechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Die rechten zijn onder de AVG uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt). Privacyrechten kun je zelf uitoefenen, door een organisatie op deze rechten te wijzen. Sinds 25 mei zijn die rechten versterkt: iedereen kan sindsdien ook een privacyklacht indienen bij de AP.