Rechtspositie betrokkene

Dat de aandacht voor de rechtspositie van de betrokkene ontbreekt en deze aan zijn/haar lot wordt overgelaten is volstrekt onacceptabel. Dat dat het geval is, blijkt uit de volgende constateringen.

  • desinformatie; 
  • ontbreken ethisch kompas bij verwerkingsverantwoordelijken; 
  • stelselmatig bagatelliseren van de gevolgen van een incident met persoonsgegevens door verwerkingsverantwoordelijken;
  • het toezicht door de Autoriteit Persoonsgegevens schiet ernstig tekort

Desinformatie
Het verwerken van persoonsgegevens is bij wet verboden, tenzij de rechtmatigheid kan worden aangetoond. In verband met het verkrijgen van toestemming van een betrokkene moet deze uitvoerig worden geïnformeerd. In Artikel 13 van de AVG en de Overwegingen (60), (61) en (62) staat beschreven wat een betrokkene daarvan mag verwachten. In ieder geval moet dat uitvoerig, transparant en begrijpelijk zijn. Bovendien is de toestemming doelgebonden. Als de verwerkingsverantwoordelijke van plan is de persoonsgegevens te verwerken met een ander doel, dan de betrokkene vóóraf worden geïnformeerd opdat betrokkene zijn/haar toestemming kan heroverwegen.

Een zoektocht naar De ervaring leert, dat de kwaliteit van de informatieverstrekking aan betrokkenen doorgaans ernstig te kort schiet. Betrokkenen worden afgescheept met een niets zeggende privacyverklaring waarin (Artikel 24 van de AVG)letterlijk wordt aangehaald. Daarin staat dan dat de organisatie “passende technische en organisatorische maatregelen heeft getroffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd.”

Uit steekproeven blijkt, dat antwoorden uitblijven als een betrokkene vraagt wat daarmee wordt bedoeld. Of dat wordt gemeld dat dat inhoudt “dat het allemaal prima in orde is en u zich dus geen zorgen hoeft te maken”.Als iemand toestemming geeft zonder precies te weten waar hij of zij “JA” tegen zegt, moet je je afvragen welke waarde die gegeven toestemming heeft. In ieder geval getuigt het niet van respect voor iemand die op zoek is naar zekerheid en op het punt staat een organisatie (wel degelijk anders dan een persoon!) in vertrouwen te nemen. 

Ontbreken ethisch kompas
Een adequaat privacybeleid gaat gepaard met investeringen. Investeringen waar niet direct aantoonbare inkomsten tegenover staan. Organisaties die die  investeringen niet als investeringen beschouwen, maar als vanzelfsprekende uitgaven voor kwaliteit, zorgvuldigheid en respect voor betrokkenen, varen op een ethisch kompas. De omvang van het aantal privacyschendingen toont aan dat veel organisaties andere keuzes maken en niet de maatregelen nemen die de wet voorschrijft om risico’s te beperken, dan wel er bewust voor kiezen om de privacyregels aan hun laars te lappen. En daarmee dus ook de belangen van betrokkenen ondergeschikt te maken aan andere belangen.

Bagatelliseren gevolgen privacyincident
Datalekken worden niet altijd ontdekt. Maar als dat gebeurt, zoekt de organisatie die heeft gelekt (de verwerkingsverantwoordelijke) naar uitwegen om te voorkomen dat er te veel negatieve publiciteit ontstaat. Vaak wordt dan in eerste instantie de verantwoordelijkheid bij een ander gelegd of, als dat niet lukt, een boodschap afgeven dat na constatering heel snel maatregelen zijn genomen waardoor de gevolgen beperkt zijn gebleven. De slachtoffers ontvangen dan een bericht waarin staat dat de kans op misbruik van hun persoonsgegevens heel klein is. Ook profilering en daarop gebaseerde geautomatiseerde besluitvorming komt niet altijd aan het licht. Maar als dat wordt ontdekt, worden ook dan door de verwerkingsverantwoordelijke organisatie alle zeilen bijgezet om negatieve publiciteit te voorkomen door de ernst van de feiten af te zwakken. Slachtoffers wordt beloofd dat alles snel zal worden gecorrigeerd en de schade snel wordt hersteld. Een belofte die vervolgens niet wordt waargemaakt en soms ook zelfs niet eens kan worden waargemaakt. 

Bagatelliseren van de ernst van privacyschending en gevolgen voor slachtoffers, lijkt te zijn verheven tot een norm. 

Toezicht schiet ernstig tekort
Ieder jaar maakt de Autoriteit Persoonsgegevens, de toezichthouder of “privacywaakhond” bekend dat het toezicht door een gebrek aan financiële middelen ernstig tekort schiet. In februari 2020 laat de AP weten dat betrokkenen, die een privacy-overtreding melden, er rekening mee moeten houden dat die melding “pas na zes maanden in behandeling kon worden genomenIn 2021 wordt zelfs vermeld dat iemand die een overtreding meldt te horen krijgt dat er helaas nog 10.000 wachtenden voor hen zijn. En dat bij een schending van grondrechten!

Bijzonder wordt in het bericht gesproken over gedupeerde bedrijven en ondernemers.

Bij een privacy-overtreding is sprake van schending van grondrechten niet over gedupeerde ondernemingen.

Lees meer over de Casus TestCoronaNu en het Falen van het Toezicht

In een aantal pagina’s van deze site wordt verwezen naar wetsartikelen. Eurolex houdt (nog) niet  goed rekening met de leesbaarheid van de AVG op een smartphone. Om die reden wordt bij verwijzingen naar wetsartikelen dankbaar gebruik gemaakt van het “hobbyproject” avgb.nl van Bart Schellekens.