Praktijkgebieden: Privacy
Afgelopen zaterdag publiceerde De Volkskrant de resultaten van een eigen onderzoek naar de naleving van de AVG. Het onderzoek betrof in het bijzonder het inzagerecht: het recht van elke natuurlijke persoon om bedrijven te vragen welke gegevens zij over hem of haar verwerken. De journalisten hadden een tiental bedrijven gevraagd om inzage in de gegevens die over hen werden verwerkt. Slechts drie van de tien aangeschreven bedrijven voldeden volledig, en binnen de daarvoor geldende termijnen, aan de wettelijke verplichtingen.
Toevallig heb ik zelf rond de invoering van de AVG een vergelijkbare test gedaan. In antwoord op een aantal van de vele mails die bedrijven eind mei stuurden (waarover wij eerder kritisch berichtten), heb ik zes bedrijven gevraagd welke gegevens zij over mij verwerkten. Het betrof onder meer een groot internationaal sportmerk, een van de grootste Nederlandse webwinkels en een ticketbedrijf. Slechts van twee bedrijven kreeg ik een reactie: het ticketbedrijf antwoordde mij dat ze naar aanleiding van mijn verzoek alle gegevens over mij verwijderd had; een recruitmentbureau stuurde mij inderdaad het gevraagde overzicht van persoonsgegevens. Helaas heb ik dat overzicht nooit kunnen openen, omdat het met een wachtwoord beveiligd was en mij een onjuist wachtwoord was gestuurd.
Met de mogelijkheden om het inzagerecht uit te oefenen is het dus droevig gesteld, terwijl (ook) deze verplichting niet nieuw is: ook de Wet bescherming persoonsgegevens gaf betrokkenen al een dergelijk recht. Hoe moet u dan wél omgaan met inzageverzoeken?
Artikel 15 van de AVG bepaalt dat iedere persoon het recht heeft om aan de verantwoordelijke te vragen of zij persoonsgegevens over hem verwerkt. Als dat het geval is, moet de verantwoordelijke een kopie van die gegevens verstrekken. Daarnaast moet de verantwoordelijke informatie verstrekken over onder meer de doeleinden van de verwerking, de ontvangers van de gegevens en de rechten van de betrokkene – kortom, alle informatie die in uw privacyverklaring staat.
Het inzagerecht geldt voor álle persoonsgegevens die over de betrokkene worden verwerkt. De kopie van de gegevens zal dus in veel gevallen niet beperkt kunnen worden tot de gegevens die de betrokkene zelf verstrekt heeft; ook gegevens die u over de betrokkene heeft verzameld of aangemaakt, zullen moeten worden verstrekt. Facebook moet dus ook alle informatie die uit andere bronnen (zoals via adverteerders) verzameld is opgeven, en een recruitmentbedrijf zal bijvoorbeeld ook verslagen van gesprekken over de kandidaat moeten verstrekken. Er is wel een grens: de verstrekking mag geen afbreuk doen aan de rechten en vrijheden van derden. Als de gegevens bijvoorbeeld óók betrekking hebben op andere natuurlijke personen, zoals bij de genoemde gespreksverslagen vaak het geval zal zijn, zouden de namen van gesprekspartners onleesbaar kunnen worden gemaakt. Ook mag verstrekking bijvoorbeeld niet leiden tot inbreuk op auteursrechten.
Inzageverzoeken moeten, evenals alle andere verzoeken van betrokkenen (zoals verzoeken om verwijdering en rectificatie), binnen een maand na ontvangst worden beantwoord. Die termijn mag met maximaal twee maanden worden verlengd indien het verzoek complex is of er veel verzoeken worden ingediend, maar die verlenging moet dan wel binnen een maand na ontvangst worden aangekondigd.
Als een betrokkene overdreven veel verzoeken indient of de verzoeken om een andere reden kennelijk ongegrond of buitensporig zijn, kan de verantwoordelijke een redelijke vergoeding rekenen ter dekking van de administratieve kosten. Ook kan op die gronden inzage geweigerd worden. Wel zal de verantwoordelijke moeten aantonen waarom het verzoek kennelijk ongegrond of buitensporig is. In theorie kan inzage ook om andere reden worden geweigerd, zolang opgave wordt gedaan van de redenen daarvoor, maar in de praktijk zal het dan lastig zijn te onderbouwen waarom geen inzage wordt gegeven.
De verantwoordelijke kan de betrokkene vragen om zijn identiteit te bevestigen indien daar twijfels over bestaan. Het moet natuurlijk worden voorkomen dat persoonsgegevens zomaar aan een derde worden verstrekt. De betrokkene kan zijn identiteit bijvoorbeeld door middel van een kopie van een legitimatiebewijs bewijzen. In dat geval moet natuurlijk ook van de verwerking van het legitimatiebewijs opgave worden gedaan!
U ziet dat er nogal wat komt kijken bij het naleven van de verplichtingen rond het recht op inzage. Het verdient daarom aanbeveling om de beantwoording van verzoeken van betrokkenen bij een of enkele medewerkers te beleggen. Dat kan de functionaris voor de gegevensbescherming zijn, een jurist of een willekeurige andere medewerker. De gegevens van deze medewerker, of van een functioneel mailadres als privacy@bedrijf.nl, kunt u opnemen in uw privacyverklaring, zodat verzoeken zoveel mogelijk direct bij de juiste medewerker terecht komen. Ook een duidelijk intern beleid (“wat te doen met inzageverzoeken”) helpt natuurlijk om wél op de juiste manier om te gaan met verzoeken van betrokkenen. Wij helpen u graag om dat beleid vorm te geven!
Door het leggen van conservatoir (derden) beslag worden vermogensbestanddelen van een wederpartij per direct bevroren. Er kan geen overdracht meer plaatsvinden en in bepaalde gevallen kunnen vermogensbestanddelen zelfs elders in bewaring worden gegeven. Deze actie kan druk zetten op de wederpartij waardoor een snelle oplossing kan worden bereikt.
Beslaglegging moet wel altijd worden gevolgd door een bodem of arbitrage procedure, tenzij eerder een buitengerechtelijke oplossing wordt bereikt.
Onterecht leggen van beslag moet worden voorkomen; het kan leiden tot een schadevergoedingsactie.
Wij onderzoeken graag of dit rechtsmiddel in uw situatie tot een spoedige oplossing kan leiden.
Snel een uitspraak nodig van de rechter over een bepaalde urgente situatie? In dat geval is een kort geding een oplossing voor uw situatie. De rechter geeft een voorlopig oordeel waaraan partijen zich al dan niet op straffe van een dwangsom dienen te houden.
Wij denken graag mee over de voor uw situatie passende juridische oplossing.
Dit is in het civiele en bestuurlijke recht de procedure die (al dan niet na hoger beroep) leidt tot een definitieve beslechting van het geschil. Anders dan in een kort geding ligt de nadruk hier veel meer op een schriftelijke uitwisseling van processtukken.
Wij onderzoeken graag of dit de aangewezen procedure is voor uw geschil.
Een partij die zich beroept op de rechtsgevolgen van de door haar gestelde feiten of rechten moet deze bewijzen. Voorafgaand aan iedere gewenste procedure moet derhalve de bewijspositie worden bekeken.
Soms is het bewijs nog niet voldoende in handen van de cliënt. In dat geval is nadere actie gewenst. Te denken valt dan bijvoorbeeld aan het instellen van een (voorlopig) getuigenverhoor of het afdwingen van het verkrijgen van inzage in bepaalde documenten die zich bij de wederpartij bevinden (exhibitieplicht).
Wij zoeken graag met u naar de mogelijkheden om uw bewijsprobleem op te lossen.
Soms ontstaat er in een onderneming een intern geschil tussen aandeelhouders of tussen het bestuur en (enkele) aandeelhouders. Dit kan bijvoorbeeld gaan over de te volgen strategie van de onderneming. In dat geval kan aan de Ondernemingskamer, een speciaal daarvoor geëquipeerde afdeling van het Hof Amsterdam -- bij ons kantoor om de hoek -- een onderzoek naar de gang van zaken binnen de onderneming worden gevraagd. Zo'n onderzoek kan worden voorafgegaan door het vragen van voorlopige voorzieningen, zoals het schorsen van een bestuurder voor de duur van de procedure of het tijdelijk ontnemen van het stemrecht van een aandeelhouder.
Wij denken graag mee over de voor uw situatie passende oplossing.