Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: Privacy is de laatste tijd een groot issue, zo ook voor mij. Ik ben dan ook erg benieuwd over wat overheidsinstanties en private bedrijven over ons weten. Mijn vraag aan u is, is het mogelijk om deze informatie op te vragen en zijn deze instanties en bedrijven juridisch verplicht deze informatie te verstrekken? Zo ja, hoe vraag ik deze informatie dan op?

Antwoord: Alle organisaties die persoonsgegevens verzamelen of gebruiken, hebben een informatieplicht (art. 35 Wet bescherming persoonsgegevens). Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen, en wel vooraf. Dit hoeft niet wanneer het vanzelfsprekend is wat men van je weet (bijvoorbeeld bij het invullen van een registratieformulier voor een seminar) of wanneer het zeer tijdrovend is om contactgegevens van de betrokkene te achterhalen.

Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien, en om te vragen hoe en waarvoor deze worden gebruikt. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden wanneer deze gegevens feitelijk onjuist, onvolledig of niet ter zake doend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan bijvoorbeeld geen verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Een bezoeker van een open dag op school kan wel eisen dat zijn postadres uit de verzendlijst van de schoolfolder wordt gehaald.

Dit geldt niet alleen voor tekstuele data, maar ook voor bijvoorbeeld audio-opnames en videobeelden. Je hebt dus het recht om kopieën te krijgen van gesprekken en surveillancebeelden die men van je maakt, als men die opbergt in een bestand dat op een of andere manier doorzoekbaar is. Bel je met een callcenter, dan is dat eigenlijk altijd wel het geval.

De beheerder van het bestand mag een verzoek alleen weigeren als het disproportioneel grote lasten op zou leveren. Hij mag bovendien geen hoge administratiekosten rekenen – de wet noemt expliciet een bedrag van 5 euro als maximumvergoeding voor het afhandelen van een dergelijk verzoek. Dat er mogelijk een hoop moet worden gekopieerd of uitgetypt, maakt het verzoek nog niet meteen disproportioneel, zo besliste de Hoge Raad in de Dexia-zaak.

Dexia werd verplicht alle opgenomen telefoongesprekken uit te typen en aan haar klanten te verstrekken – op haar eigen kosten.

Een brief voor zo'n inzageverzoek is niet zo heel moeilijk, maar je moet wel weten wat je moet vragen en aan wie je dat moet richten. De Privacy Inzage Machine (PIM) van Bits of Freedom is een heel handig hulpmiddel hiervoor. Maar het grote obstakel is en blijft de reactie krijgen. Veel bedrijven negeren helaas verzoeken compleet of reageren met alleen de meest basale informatie. Dit is frustrerend, want je moet dan naar de rechter om afgifte af te dwingen. Op je eigen kosten. En wie hecht nu zó veel waarde aan zijn persoonsgegevens?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.