Meerderheid van organisaties geeft nog geen inzage in persoonlijke gegevens die ze bijhouden
UGent-onderzoek bij 220 verwerkers van persoonsgegevens toont aan dat meer dan de helft niet ingaat op een verzoek tot data-inzage. Dat is nochtans verplicht. Van de organisaties die dat wel deden, bleken de bestanden vaak moeilijk interpreteerbaar of werd de identiteit van de aanvrager niet gecontroleerd.
Onder begeleiding van onderzoekers Glen Joris en dr. Peter Mechant (Onderzoeksgroep Media, Innovatie en Communicatie Technologie) contacteerden zes studenten Communicatiewetenschappen van de UGent enkele maanden geleden 220 bedrijven, verenigingen en organisaties uit hun directe levenssfeer met de vraag om inzage te krijgen in de verwerking van hun persoonsgegevens. Ze brachten in kaart hoe organisaties het inzagerecht, dat al vermeld wordt in de nationale privacywetgeving van 1992, uitoefenen.
‘In sommige gevallen dienden tot 14 mails verstuurd te worden of tot 10 euro betaald te worden, alvorens de data werden doorgestuurd’
Analyse toont aan dat van de 220 gecontacteerde verwerkers van persoonsgegevens slechts 106 de data meedelen (48,2%), 99 organisaties doen dat ook binnen de wettelijke termijn van 45 werkdagen. De organisaties deden er gemiddeld ongeveer 18 dagen over om de aanvraag te verwerken.
“In sommige gevallen dienden tot 14 mails verstuurd te worden of tot 10 euro betaald te worden, alvorens de data werden doorgestuurd. Het onderzoek toont aan dat de naleving van de huidige privacywetgeving in belangrijke mate dode letter blijft en dat organisaties met een grote achterstand aan de GDPR-vereisten starten”, stellen de onderzoekers.
Privacy policies beslaan gemiddeld vijf A4-pagina’s
Het onderzoek nam ook de online privacy policies van deze organisaties onder de loep. Gemiddeld bestaan die uit 2734 woorden (een vijftal A4-pagina’s). 50 van 220 verwerkers (22.7 procent) hadden het recht tot inzage in persoonsgegevens daarin niet vermeld. Contact opnemen met de organisaties voor de (aan)vragen voor data-inzage blijkt bovendien niet vanzelfsprekend: vier op de tien organisaties (37,6%) vermelden bij het data-inzagerecht geen specifieke contactpersoon.
De aanvragen gebeurden aan de hand van een modelbrief waarin één criterium, namelijk identificatie, werd weggelaten om na te gaan hoe organisaties hiermee omgaan. Identificatie van de aanvrager is wettelijk verplicht om onrechtmatige inzage te vermijden. Toch voerden slechts 39 van de 106 organisaties een bepaalde vorm van identiteitscontrole uit. 24 organisaties vroegen de aanvraag opnieuw te doen vanuit het mailadres dat bij hen bekend was of op zijn minst er een koppeling mee te leggen. Slechts enkelen werkten met een tweestapsauthenticatie waarbij een code werd verstuurd naar het privé-e mailadres of gsm-nummer van de student. ‘Het blijkt dus perfect mogelijk om de data van anderen op te vragen zonder dat je jezelf moet identificeren’, zegt mede-onderzoeker Glen Joris.
Onleesbare bestanden
Wanneer studenten ook effectief hun data ontvingen als bijlage (slechts bij 69 organisaties van de 106), konden ze een unieke blik werpen op hun eigen persoonlijke gegevens. “Hoewel de studenten soms grote ogen trokken bij de hoeveelheid data die over hen werd opgeslagen, ervaarden ze vooral problemen met het openen en correct interpreteren van de databestanden. Naast de enorme verscheidenheid aan bestandsformaten – csv, .png, .json, .pdf, … – waren verschillende bestanden namelijk moeilijk interpreteerbaar of zelfs volledig onleesbaar voor de gemiddelde computergebruiker”, aldus de onderzoekers.
GDPR
Heel wat organisaties lijken dan ook nog niet klaar voor de nieuwe Europese privacywetgeving (GDPR), die volgende week vrijdag van kracht gaat. Nochtans bestaat het recht op data-inzage al sinds 1992. Met de GDPR zal het niet-naleven van de privacywetgeving voor het eerst wel bestaft kunnen worden.
Volgens het kabinet van staatssecratis voor Privacy Philippe De Backer betekenen de onderzoeksresultaten niet dat de GDPR onvoldoende gerespecteerd zal worden. ‘Het toont net aan dat de nieuwe verordening als geroepen komt’.
Lees ook het interview met onderzoeker Glen Joris: ‘Bedrijven nog niet klaar voor GDPR door schrijnend gebrek aan duidelijke standaarden’
Fout opgemerkt of meer nieuws? Meld het hier