Moet ik echt elk privacy-verzoek honoreren? 5 tips om hiermee om te gaan
Het is wat; heeft u ondertussen alles netjes op orde volgens de privacywet, blijkt dat dit een opmaat was naar een hele volgende fase. Eigenlijk een permanente status quo waarin natuurlijke personen beter dan eerst weten wat hun rechten zijn, en waarin die rechten ook daadwerkelijk worden uitgeoefend. Goed nieuws voor de privacy (maar ook voor de ondernemer)?
‘Een buitensporig verzoek mag worden geweigerd’
Die rechten omvatten (onder andere) de mogelijkheid om kosteloos gegevens te mogen inzien, te laten corrigeren en wissen. Ook mag elke natuurlijke persoon vragen om een ‘pakketje’ van zijn gegevens, zodat hij die data weer ergens anders kan gebruiken. Denk bijvoorbeeld aan een gegevensdownload van Facebookdata, te gebruiken bij concurrent Google+. Dit zijn allemaal vast verankerde rechten, die elke consument bezit.
5 tips
De privacywet zou echter geen volwaardige wet zijn als er ook geen uitzonderingen waren opgenomen. Ook de rechten van consumenten zijn, hoe sterk ook, niet absoluut. De meest relevante uitzonderingsgevallen zet ik hieronder op een rijtje:
- Geen identificatie mogelijk? Dan nul op rekest. Het is natuurlijk cruciaal dat degene die inzage wil in de gevraagde informatie, ook daadwerkelijk de juiste persoon is. Als dat niet kan worden vastgesteld, mag een verzoek worden geweigerd.
- Een buitensporig verzoek mag worden geweigerd. Wat als iemand continu hetzelfde vraagt, of elke week grote dossiers worden opgevraagd? Als het gaat om zulke zeer onredelijke en disproportionele verzoeken, mag ervoor worden gekozen om daar niet op in te gaan.
- Een duidelijk ongegrond verzoek mag worden geweigerd. Het is ook niet nodig om een verzoek te honoreren, waarvan al bij voorbaat vaststaat dat het geen doel treft. Denk bijvoorbeeld aan inzage in informatie van een ander.
- Voor een buitensporig/ongegrond verzoek mag ook geld worden gevraagd. In de voorgaande twee gevallen mag er ook voor worden gekozen om een kostenvergoeding te vragen.
- Het inzagerecht dekt niet ook eigen interne stukken. Consumenten hebben het recht op inzage in hun gegevens, maar krijgen geen ongebreidelde toegang tot de hele administratie daaromheen. Er hoeft geen inzage te worden verleend in interne notities met de persoonlijke gedachten van medewerkers, en ook bedrijfsgevoelige informatie of software/foto’s worden niet simpelweg via dit recht toegankelijk gemaakt. Volledige weigering is echter weer het andere uiterste: er moet dan eerst worden geprobeerd om de interne bedrijfsinformatie bijvoorbeeld onleesbaar te maken.
Let op: deze scenario’s zijn onmiskenbaar uitzonderingen op belangrijke rechten van natuurlijke personen. Aangezien de privacywet nu juist de bescherming daarvan hoog in het vaandel plaatst (meer nog dan de oude Nederlandse wet), zal het succesvol inroepen van die uitzonderingen niet eenvoudig zijn. Over het algemeen zullen verzoeken van natuurlijke personen dan ook moeten worden opgevolgd.
Twijfel of een uitzondering misschien van toepassing is? Wij raden aan contact op te nemen met een specialist. Hiermee voorkomt u eventueel maatregelen (en boetes) vanuit de Autoriteit Persoonsgegevens.
Over Mark Buijnsters
Mark Buijnsters is advocaat bij BRight Advocaten. BRight Advocaten is een gespecialiseerd advocatenkantoor voor advies, bemiddeling en procedures op het gebied van intellectueel eigendomsrecht, ICT, privacy en commerciële contracten met een sterke focus op retail, fashion & innovatie. Meer weten? Kijk op de website www.bright-advocaten.nl.
Deze expertlog wordt je aangeboden door onze kennispartner BRight Advocaten