Grote bedrijven voldoen niet aan meldplicht persoonsgegevens
| Sieuwert van Otterloo |
Contracten
Security
Veel grote bedrijven voldoen niet aan de wettelijke verplichting om de verwerking van persoonsgegevens te melden. Dit blijkt uit een door SoftwareZaken uitgevoerd onderzoek. In het onderzoek zijn alle meldingen van de 25 bedrijven in de AEX-index geanalyseerd en bij meer dan driekwart van de bedrijven zijn er problemen: onjuiste bedrijfsgegevens, incomplete, vage en ook overbodige meldingen. De conclusie is dat bedrijven te weinig aandacht besteden aan het goed informeren van gebruikers over privacy, en het CBP blijkbaar niet de middelen heeft om de meldingen goed te kunnen controleren.
Privacy is een zeer belangrijk aspect bij online zakendoen, en grote bedrijven zijn daarom wettelijk verplicht om zorgvuldig om te gaan met persoonsgegevens. Zij moeten onder andere alle verwerkingen die zij doen melden bij een register. Via de website van het CBP (https://cbpweb.nl) kan iedereen vervolgens opzoeken wat grote bedrijven met hun gegevens voldoen. Afgelopen maand hebben wij onderzoek gedaan hoe dit register werkt in de praktijk.
In technische zin werkt het register eenvoudig: het is voor iedereen eenvoudig om het register te vinden, te zoeken op bedrijfsnaam en om vervolgens de meldingen te lezen. Inhoudelijk blijkt er echter veel mis met de meldingen die bedrijven hebben gedaan, waardoor consumenten nog steeds niet weten waar ze aan toe zijn. De volgende problemen zijn gevonden:
- Voor 3 van de 25 bedrijven zijn er helemaal geen meldingen
- Organisatienamen en plaatsen staan niet goed in register
- Er ontbreken veel meldingen
- Meldingen zijn vaag en incompleet
- Er worden overbodige meldingen gedaan
- Het is niet te zien of meldingen nog actueel zijn
- Het register is niet doorzoekbaar op thema of datum
Voorbeelden van vage meldingen zijn bijvoorbeeld meldingen waarin bedrijven alleen in vage termen melden wat voor gegevens zij opslaan (“achtergrondgegevens”, “interesses”) of dat het doel niet duidelijk afgebakend is (“management-info” , “algehele strategie”). Ook over wie het gaat is vaak onduidelijk, als met het heeft over ex- en potentiële klanten. Dit soort vage en brede gegevensverzameling is precies wat er wettelijk verboden is, en de reden dat verwerking moet worden aangemeld. Ook zorgelijk is dat veel bedrijven alleen melden dat er andere bedrijven (“verwerkers”) zijn die toegang hebben, maar niet wie dat zijn. Zo weten we nog niet of en hoe gegevens worden verspreid.
De bedrijven met de meeste dubbele meldingen zijn ING, Philips, Shell en Akzo Nobel. Sommige BV’s van deze bedrijven zijn vijf keer vermeld, met telkens een andere spelfout.
Voor de bedrijven Altice, Boskalis, en OCI zijn helemaal geen meldingen gevonden. Dit is een spijtige zaak: hoogstwaarschijnlijk slaan deze bedrijven wel gegevens op, maar hebben ze dat niet op een juiste, voor consumenten vindbare manier gemeld.
Het volledige rapport van het onderzoek is hier te downloaden: “Onderzoek meldplicht persoonsgegevens“.
In dit onderzoek is alleen gekeken naar grote bedrijven, maar voor kleine bedrijven is het waarschijnlijk niet beter: Het probleem is dat er weinig mensen zijn met zowel technische als juridische kennis: de IT-ers kennen de meldplicht niet, en de juristen weten niet goed welke gegevens worden verzameld. Het advies is om de juridische afdeling, de marketing afdeling en de IT-afdeling meer samen te laten werken aan privacy en beveiliging. De afdelingen moeten veel meer kennis delen en meldingen gezamenlijk doen. Het aanstellen van een speciale functionaris gegevensbescherming, vanaf volgend jaar verplicht voor grote bedrijven, kan hierbij helpen.
Afbeelding: hard-disk-crash, afkomstig uit wikimedia-commons
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van ISO 27001, NEN 7510, software-kwaliteit, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.