Hoe werkt een privacyklacht onder de AVG

De AVG maakt het eenvoudiger voor mensen om klachten over hun privacy in te dienen. Dankzij de AVG, die onderhand al ruim een half jaar van kracht is, is er nu een wettelijke basis om de verwerking van je persoonsgegevens in te zien, te beperken, en soms zelf stop te zetten. Het uitoefenen van deze rechten kan je doen door bij bedrijven bijvoorbeeld een verzoek tot inzage of verzoek tot verwijdering te doen. Als hier geen gehoor aan gegeven wordt of je vertrouwt de reactie niet, kan je een klacht indienen. Hoe en waar dat moet bespreken wij in dit artikel.

In de praktijk worden er dagelijks vele klachten ingediend bij de Autoriteit, in het afgelopen half jaar al bijna 10.000.  Een half jaar geleden was groot in het nieuws dat de KvK met haar handelsregister in strijd met de AVG handelde, en recentelijk kwam het BKR nog in de spotlights te staan door betaalde inzageverzoeken sneller af te handelen dan onbetaalde. De Autoriteit heeft de handelswijze van de KvK al afgekeurd, maar heeft er nog niet tegen opgetreden.

Begin bij de organisatie zelf

In dit artikel leggen wij het proces van privacyklachten uit aan de hand van een voorbeeld. De verzonnen privacyklacht die wij als voorbeeld nemen is een verzoek tot inzage in je gegevens van een bedrijf waar je klant bent. Je hebt recht om bij elk bedrijf op te vragen welke gegevens ze hebben. Dit is een van de rechten van betrokkenen onder de AVG. Een verzoek tot inzage zou binnen 3o dagen behandeld moeten worden, of de indiener zou een bericht moeten krijgen dat het bedrijf iets langer de tijd nodig heeft.

Stap 1: de organisatie zelf

Net als bij andere geschillen en problemen is het bij een AVG klacht goed om zo eenvoudig mogelijk te beginnen, bij de organisatie zelf. De eerste stap om te nemen is om contact op te nemen met de servicedesk van het bedrijf of in te loggen op de website van het bedrijf. Je kunt ook contact zoeken via de live-chat functie,  een support ticket openen of een mail naar de support desk sturen.

Stap 2: de Data Protection Officer van de organisatie

Het komt soms voor dat stap 1 niets oplevert of je twijfelt of je wel alle gegevens hebt gezien. Het zoeken naar een privacy statement de volgende stap. Bijna elk bedrijf heeft tegenwoordig een privacystatement (zie als voorbeeld ons privacystatement). Als een bedrijf dit niet heeft en betrokkenen op geen enkele andere manier van informatie voorziet, dan is dat een reden om door te gaan naar stap 3 en een klacht in te dienen.

In het privacy statement staan vaak de contactgegevens van de Functionaris voor de Gegevensbescherming, mits deze aanwezig is. De FG is een interne of externe medewerker die de naleving van de AVG door het bedrijf in de gaten houdt. De FG vervult zijn of haar rol onafhankelijk, en rapporteert direct aan het hoogste management. Grote bedrijven die veel bijzondere persoonsgegevens verwerken moeten een FG aangesteld hebben, en het bedrijf uit onze casus doet toevallig precies dat.

Tijdens deze stap stuur je een bericht met nogmaals het AVG verzoek, nu naar de FG. Bedrijven vermelden vaak alleen een mailadres waarop de FG te bereiken is, vaak in de vorm van FG@bedrijf.nl of DPO@bedrijf.nl. Je schrijft in de mail welk recht je wilt uitoefenen.

Een klacht bij de Autoriteit Persoonsgegevens

Als stap 2 niet slaagt of je ontevreden bent over het antwoord, dan mag je de toezichthouder inschakelen. In Nederland is de partij die toezicht houdt op de naleving van de AVG de Autoriteit Persoonsgegevens. De toezichthouder heeft de bevoegdheid om bedrijven die niet aan de AVG lijken te voldoen te onderzoeken en eventueel zelfs te beboeten, zoals recent met Uber is gebeurd. Let op: voor internationale bedrijven zijn er andere toezichthouders, zie hier het volledige overzicht Europese toezichthouders.

Een klacht indienen bij de Autoriteit Persoonsgegevens is een formeel maar eenvoudig proces. Klachten kunnen alleen ingediend worden als ze over het verwerken van je eigen persoonsgegevens gaan. Ondanks het feit dat de Autoriteit dagelijks honderden klachten binnenkrijgt neemt zij elke klacht in behandeling . Bij het vermoeden dat er echt iets mis is stelt de AP een onderzoek in. Het is ook mogelijk om de toezichthouder slechts een anonieme tip te geven.

Discussie

Ook dit artikel bediscussiëren wij graag in de open Linkedin Groep ‘Information Security NL.  Information Security NL is een (gratis) discussiegroep voor kennisdeling over informatiebeveiliging. Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.

Image credit @dre0316 via Unsplash