[Dutch] Opvragen van persoonsgegevens

Met behulp van de Privacy Inzage Machine (PIM) heb ik bij een aantal organisaties aangeschreven. Met de PIM genereer je makkelijk een brief om bedrijven te kunnen vragen wat ze precies over je weten. In principe hebben bedrijven en instanties daar vier weken voor, maar in de praktijk wil dat nog wel eens mislopen. Eind januari heb ik (bijna) willekeurig drie instanties aangeschreven: Holland Casino, Albert Heijn en de Gemeente Utrecht. Hieronder mijn ervaringen.

Holland Casino

Holland Casino was de eerste die het bijna goed deed. Op 6 februari hebben ze een brief terug gestuurd met een antwoord daarin. Alleen, die hebben ze verstuurd naar het verkeerde adres: ik ben intussen verhuisd en mijn nieuwe adres stond ook duidelijk bovenaan de brief. Daar hadden ze dus even niet op gelet. Na een korte mailwisseling met de klantenservice kreeg ik een dag later het verzoek digitaal toegestuurd. Het antwoord zelf is redelijk duidelijk, ze lichten toe dat ze gegevens 5 jaar lang bewaren en geven een keurig overzicht wat ze met die gegevens doen. Sommige items zijn heel evident:

Het voldoen aan haar wettelijke verplichtingen waaronder de Wet ter voorkoming van witwassen en financiering van terrorisme (`Wwft’).

Maar andere items zijn wel heel erg vaag dat ze daar zo’n beetje alles onder kunnen scharen (zeker nu het niet zo goed gaat met Holland Casino):

Het ondersteunen van activiteiten gericht op de continuïteit van Holland Casino.

Ze hebben hun kopie van mijn (inmiddels verlopen) paspoort bijgevoegd. Daarop is mijn BSN nummer duidelijk te zien. Dat recht hebben ze door hun verplichting jegens de WWFT (zie boven).

Albert Heijn

Bij Albert Heijn duurde het allemaal wat langer en moest ik ook harder aandringen. Op 3 maart heb ik ze via Twitter herinnerd en blijkt dat mijn originele verzoek is kwijtgeraakt. Op 12 maart stuur ik ze langs digitale weg een nieuw verzoek om inzage in mijn verwerkte persoonsgegevens. Dan blijft het even stil en reageert men op 20 maart:

Een verzoek kan alleen ingewilligd worden als u als kaarthouder een kopie van rijbewijs, identiteitskaart of paspoort en uw adres gegevens opstuurt. Verzoeken van personen, anders dan de kaarthouder, worden niet ingewilligd. We zijn namelijk wettelijk verplicht u te identificeren aan de hand van de kopie die u meestuurt. Na ontvangst van de kopie van het identiteitsbewijs zal Albert Heijn de op uw naam geregistreerde gegevens uit de AH Bonuskaart database binnen vier weken verstrekken. 

Dat is een duidelijke beperking van mijn originele verzoek, want ik verzocht om alle verwerkingen van mijn persoonsgegevens. Nadat ik dat heb toegelicht geven ze het volgende aan op 24 maart:

Wij willen u informeren dat al de persoonsgegevens buiten de AH Bonuskaart eind januari volledig uit ons systeem zijn verwijderd. Dit door de introductie van de nieuwe Bonuskaart zijn alleen de persoonsgegevens bij ons bekend die geregistreed zijn door het activeren van de nieuwe Bonuskaart.

Zelfs zodanig dat mijn mail met ingescand rijbewijs (met afgeschermde pasfoto) van 12 maart meteen kwijt zijn. Die stuur ik ze dan wel weer opnieuw toe en gaan ze uiteindelijk echt aan het werk. Op 3 april krijg ik uiteindelijk het verlossende antwoord: ik sta niet met naam of email geregistreerd in de Albert Heijn database of in het klantenpanel. Alleen, ik heb wel een mailtje gekregen of ik een enquete over een winkel wil invullen op Surveymonkey. Op 16 april bevestigd men nogmaals dat ik echt niet in hun database voorkom, ook niet met een Gmail adres waar ik de enquete op had ontvangen. Maar op 18 april krijg ik weer een herinnering aan de enquete. Op mijn verzoek gaat men het tot op de bodem uitzoeken, en komt uiteindelijk met het antwoord dat mijn mailadres in een filiaal was verwerkt, dat het nu echt verwijderd is. Dat mailadres heb ik ooit ingevuld op een formulier (waarschijnlijk over een aanbieding die niet op voorraad was).

Gemeente Utrecht

De Gemeente Utrecht reageert in eerste instantie al traag (pas op 12 maart!), en het antwoord zelf is nog minder hoopgevend. Ze weten niet zo goed raad met mijn verzoek op basis van artikel 35 WBP en vragen zich af of ik niet toevallig de wet Basisregistratie Personen of het Besluit Burgerlijke Stand bedoel. Dat heb ik een aantal jaar terug al eens gedaan, maar ik wilde nu juist de WBP gebruiken omdat ik daar benieuwd naar was. Op 17 maart stuur ik een aanvulling van mijn verzoek dat ik toch echt de WBP bedoel. Omdat ik de gemeente ontzettend veel verschillende databases heeft en ik het ook een beetje binnen de perken wil houden, richt ik mijn vraag op de GGD. Helaas gaat het dan weer mis met het doorsturen van mijn verzoek en krijg ik pas begin april een brief dat men ermee aan de slag gaat. Een uitdraai maken van mijn gegevens moet door allerlei verschillende personen gebeuren, dus dat duurt even. Op 25 april kan ik dan eindelijk een brief ophalen (na identificatie!) waarin staat dat ik in vier verschillende databases van de GGD niet vermeld sta. Maar dan blijft er nog een database over waar ik heel erg in geïnteresseerd ben: Jeugdzorg. Hoewel daar ontzettend veel gevoelige gegevens over mij instaan, blijkt het niet mogelijk om daarop te zoeken! Om dit op te kunnen zoeken hebben ze de BSN nummers van mijn kinderen nodig. Mijn originele verzoek over mijn gegevens in de Jeugdzorg database is men nu nog steeds mee bezig. Een logisch vervolg voor de vraag naar de gegevens van mijn kinderen blijkt nog moeilijker: dan moet ik namelijk bewijzen dat ik ouderlijk gezag heb. De vraag hoe ik dat moet bewijzen staat nog open.

Conclusie

Bedrijven hebben duidelijk geen enkele ervaring met een klant of burger die zijn gegevens op komt vragen. In alle drie de gevallen zijn de procedures mis gelopen. Mijn verzoeken zijn duidelijk over verschillende bureaus gegaan en soms kwijt geraakt. Dat zorgt er voor dat de originele termijn van vier weken in geen van de gevallen gehaald is. Holland Casino gebruikte het verkeerde adres, Albert Heijn gelooft dat ze maar een database met alle gegevens hebben, terwijl dat duidelijk niet zo is. De gemeente Utrecht is na het vele geschuif over verschillende bureaus nu wel voortgang aan het maken. De eerste resultaten van de GGD kreeg ik binnen drie weken na mijn eerste contact. Gelukkig is er wel goed contact, dus ik heb hoop op een snelle uitkomst. De termijn van vier weken is eigenlijk ook een loze kreet, want je kunt er bijzonder weinig mee. Die term staat in de wet genoemd, maar er staat geen enkele sanctie op het overtreden van die termijn. Je kunt ze een herinnering sturen, je kunt dan eventueel naar een geschillencommissie of naar het College Bescherming Persoonsgegevens (die het al druk genoeg hebben), of zelfs uiteindelijk naar de rechter. Hoewel het hier allemaal niet heel best gaat, raad ik het iedereen ten zeerste aan om te doen! Ga naar https://pim.bof.nl genereer zo’n brief en stuur hem met een afgeschermde kopie van je paspoort op! Het is altijd interessant om te zien wat een bedrijf over je weet.