Met deze woorden kopte VICE vorige week met een artikel over de AVG.1 Zij schrijven over een cybersecurity-onderzoeker die, middels het recht op inzage, allerlei gegevens kreeg van organisaties uit de VS en het VK. Deze gegevens betroffen echter niet de onderzoeker, maar een derde. Deze derde had toestemming aan de onderzoeker gegeven om haar gegevens op te vragen. Dit wisten de organisaties echter niet.
Met enkel een e-mailadres verkreeg de onderzoeker veel andere informatie, waaronder het burgerservicenummer, geboortedatum, meisjesnaam van haar moeder, wachtwoorden, eerdere adressen, reis- en hotelgegevens, cijfers van de middelbare school, gedeeltelijke creditcardnummers en informatie over of ze ooit een online datingdienst had gebruikt.
"Ik wilde duidelijk maken dat privacywetten kwetsbaarheden kunnen hebben" stelde de onderzoeker. Dergelijke nieuwsberichten doen echter af aan het vertrouwen dat men heeft in de AVG. Het is immers geen kwetsbaarheid in de AVG, maar in het huidige niveau van informatiebeveiliging bij veel organisaties. De AVG verplicht immers om diegene, die een verzoek tot inzage doet, te identificeren. Dit volgt uit overweging 64 en het feit dat een ongeoorloofde verstrekking van persoonsgegevens een datalek oplevert.2
Organisaties dienen procedure en technische maatregelen te ontwikkelen, waardoor zij de identiteit kunnen vaststellen van degene die bijvoorbeeld een verzoek tot inzage doet. Afhankelijk van de aard van de gegevens en andere omstandigheden, kan worden verwacht dat in sommige gevallen de identiteit strenger wordt gecontroleerd dan in andere gevallen. In het geval van inzage in medische gegevens, zal de zorgaanbieder meer maatregelen moeten nemen om de identiteit juist vast te stellen, dan in het geval er geen medische gegevens worden verwerkt.
Veel organisaties denken dat de AVG allerlei nieuwe rechten en plichten heeft geïntroduceerd, maar niets is minder waar. De AVG heeft wel enkele nieuwe administratieve verplichtingen geïntroduceerd, maar nieuwe rechten voor betrokkenen heeft het niet echt geïntroduceerd. Het recht op inzage bijvoorbeeld, bestond al in 2000, samen met de verplichting om de identiteit van de verzoeker deugdelijk vast te stellen.3 In 2003 heeft de Autoriteit Persoonsgegevens (destijds College bescherming persoonsgegevens) zelfs uitleg gegeven over het begrip deugdelijk.4
De AVG lijkt allerlei nieuwe verplichtingen op te leggen die organisaties vaak als lastig bestempelen. De AVG is niet de oorzaak van deze problematiek, maar deze is te vinden in het feit dat organisaties niet een goede bescherming bieden voor de privacy van de betrokkenen. Hoe eenvoudig het ook is om de AVG de schuld te geven van allerlei problemen, doen organisaties er goed aan om kritisch te kijken naar de maatregelen die zij getroffen hebben om de privacy te waarborgen.
Wilt u weten of uw organisatie de goede procedures heeft ingesteld om bijvoorbeeld een verzoek tot inzage af te handelen? Neem dan vrijblijvend contact met ons op.
Voetnoten
- https://www.vice.com/nl/article/xwe8wz/de-europese-wetgeving-voor-gegevensbescherming-maakt-het-erg-makkelijk-om-iemands-persoonlijke-informatie-te-krijgen.
- Artikel 32 lid 2 AVG.
- Artikel 37 lid 2 Wbp.
- Cbp 4 februari 2003, 'vaststellen identiteit conform 37 lid 2 WBP', z2002-1511.