“Meneer, de nieuwe polisvoorwaarden worden volgende maand opgestuurd. Dus als u nog even geduld heeft...." Nee, ik vroeg niet naar de polisvoorwaarden bij verzekeraar Menzis, ik wilde weten welke gegevens van mij werden opgeslagen en wat daarmee gebeurt. De medewerker begreep er niets van en beloofde dat ik zou worden teruggebeld door een andere afdeling. Dat telefoontje kwam nooit.

Zo ging het vaak bij de bedrijven die ik aanschreef met het verzoek om in te zien welke gegevens ze bewaren en met wie ze die informatie delen. Om dat proces te versimpelen lanceerde burgerrechtenorganisatie Bits of Freedom eind augustus de Privacy Inzage Machine, beter bekend als PIM. Daarmee kunnen internetgebruikers automatisch voorbeeldbrieven aanmaken met een verzoek om inzage.

Verwarring

Ik besloot een stuk of 25 bedrijven aan te schrijven. Bij de meeste ben ik klant, bij sommige niet. De aangeschreven bedrijven hebben een maand om inhoudelijk te reageren. De brieven zorgden voor de nodige verwarring. Medewerkers van meerdere bedrijven belden op om te vragen wat ik precies wilde weten en waarom. Papieren gingen van afdeling naar afdeling en raakten meer dan eens zoek in het proces.

Resultaten lieten vaak langer op zich wachten dan de wettelijke termijn. Ook werden er fouten gemaakt. Zo liet verzekeraar Allianz in eerste instantie weten dat ze geen gegevens van mij hadden, terwijl ze een paar maanden daarvoor een schadevergoeding aan mij betaald hebben na een ongeval.

Volgens de digitale burgerrechtenorganisatie Bits of Freedom zijn mijn ervaringen absoluut geen uitzondering. “Bedrijven reageren te traag, onvoldoende of helemaal niet", zegt Rejo Zenger. “Soms heeft het te maken met onkunde, soms is simpelweg de kennis niet in huis. Maar soms wordt ook moedwillig een verzoek genegeerd omdat een bedrijf niet gebaat is bij het openbaar maken van bepaalde data, zoals telefoonverkeer."

Zenger verwijst naar een inzageverzoek dat hij indiende bij telefoonprovider T-Mobile. Na een uitgebreide briefwisseling waarin hij vroeg om inzicht in zijn gegevens, kreeg hij een overzicht van tien dagen. Het 40 pagina's tellende document (PDF) bevat een overzicht van telefoonmasten waarmee Zengers telefoon verbinding maakte. Er wordt geen (gps)locatie aan de masten verbonden, wel een postcode. Uit de gegevens blijkt dat de telefoon gemiddeld elk kwartier verbinding maakt met een zendmast. Gemiddeld vier keer per uur wordt je locatie doorgegeven aan je telecomprovider.

Volgens Michael Vos van T-Mobile geeft het overzicht van tien dagen “een goed, gedetailleerd en zo volledig mogelijk inzicht in de gegevens die T-Mobile bewaart en die betrekking hebben op de klant." Het verstrekken van gegevens over een langere temijn zou een “ingrijpende aanpassing van het standaardprocedé" betekenen en zouden een “onevenredige belasting" op de bedrijfsvoering leggen.

Onvolledig

Maar zelfs als bedrijven reageren word je vaak niet veel wijzer. Veel bedrijven sturen een lijstje met het soort gegegevens dat ze bewaren, zoals naam, adres, telefoonnummer. Bedrijven doen nauwelijks mededelingen over welke gegevens ze daadwerkelijk opslaan.

Zorgverzekeraar Menzis heeft tot twee keer toe schriftelijk excuses aangeboden voor het overschrijden van de termijn en beloofde de gegevens toe te sturen. Pas na een derde brief, waarin ik dreigde een klacht in te dienen bij het College Bescherming Persoonsgegevens, werden de gegevens daarwerkelijk verstuurd. Drie maanden na het versturen van de eerste brief.

Dan nog valt de reactie inhoudelijk tegen. Er wordt opgesomd welk type gegevens ze opslaan, maar ik wil juist weten welke medische gegevens zij van mij opslaan en of daar rapportages en analyses aan zijn verbonden. Die gegevens worden niet meegestuurd. Na drie maanden van brieven schrijven ben ik net zo ver als wanneer ik de algemene voorwaarden en de privacyverklaring had gelezen. Volgens Menzis komt dat omdat ik een ideale klant ben; ik betaal op tijd en heb weinig zorg nodig. “We sturen geen overzicht mee van uw declaraties omdat u daar bij de rekening voor de eigen bijdrage een overzicht van krijgt. Die gegevens zijn dus al bekend. Mocht u speciale verzoeken hebben gedaan, zoals bijvoorbeeld voor een operatie in het buitenland, dan was dat genoemd in het overzicht.'

Volgende pagina: Wet is wassen neus

Wet is wassen neus

Menzis maakt excuses voor het feit dat het zo lang heeft geduurd, maar volgens Rejo Zenger van Bits of Freedom is het voorbeeld van de verzekeraar tekenend. “De huidige wet is een wassen neus", zegt Zenger. “Er worden te veel drempels opgeworpen voor burgers om bedrijven te controleren. Je merkt zelf hoeveel moeite het kost om een eerste reactie te krijgen. Als je echt wilt weten welke gegevens ze hebben, dan moet je daar veel meer tijd in steken. Bijvoorbeeld door een bemiddelingsverzoek in te dienen bij het College Bescherming Persoonsgegevens, maar het kan maanden duren voordat het verzoek wordt behandeld. Het oordeel van het CBP is niet bindend. Als een bedrijf dat oordeel naast zich neer legt, moet je naar de rechter. Ook dat kost tijd en geld. Iets waar de gemiddelde burger vaak weinig zin in heeft."

Foutje

Energieleverancier NUON was het enige bedrijf dat helemaal niet reageerde. Ondanks twee herinneringsbrieven liet het bedrijf niet van zich horen, zelfs geen ontvangstbevestiging.

Ook de persvoorlichting van NUON weet niet waar het verkeerd is gegaan. "Vermoedelijk hebben we op uw adres geen klantnummer kunnen vinden", zegt communicatieadviseur Bianca Spel. NUON heeft nooit contact met mij opgenomen om om aanvullende informatie te vragen en ruim anderhalve week later zijn de brieven nog steeds spoorloos en is er geen duidelijkheid waar het verkeerd is gegaan. De energieleverancier sluit af met de 'hoopgevende' woorden "Er ligt nog een uitdaging voor ons om dit soort situaties in de toekomst te voorkomen."

Ik liet het er echter niet bij zitten en diende een klacht in bij het College Bescherming Persoonsgegevens, maar het is nog niet duidelijk wat daarmee gebeurt. Het CBP zegt geen gegevens te hebben over hoe vaak er in Nederland een klacht wordt ingediend naar aanleiding van een inzageverzoek. Eén keer per maand worden de klachten bekeken door een medewerker. Als er meerdere klachten binnenkomen of bepaalde klachten springen eruit, dan kan een onderzoek worden gestart naar het betrokken bedrijf.

Digitale Schaduw

Bits of Freedom maakt zich zorgen. “Het is belangrijk dat burgers de bedrijven en instanties kunnen controleren die hun gegevens verwerken. Vaak wordt er meer opgeslagen dan je denkt", zegt Zenger. In een tijd waarin de gemiddelde burger vermeldt wordt in 250 tot duizend verschillende databases is controle geen overbodige luxe. “Soms kom je alleen door dit soort verzoeken te doen erachter wat bedrijven precies van je weten en zelfs dan is het maar de vraag of je alles te zien krijgt."

Dat laatste is zeker het geval bij internetgiganten als Facebook en Google. Beide bedrijven zeggen in hun reactie dat de data op Amerikaanse servers wordt verwerkt en dat ze daarom geen inzicht hoeven te geven. Volgens Bits of Freedom maken de bedrijven gebruik van een maas in de wetgeving. Omdat de bedrijven geen data verwerken in Nederland, hoeven ze zich niet aan Nederlandse of Europese regelgeving te houden. Overigens wordt er op dit moment gewerkt aan een wetsvoorstel dat internationale bedrijven verplicht om te voldoen aan inzageverzoeken, zelfs al staat de data op servers in de Verenigde Staten.

Google en Facebook bieden sinds kort wel de mogelijkheid om je data te downloaden met speciale tools (Google Takeout, Facebook). Maar bepaalde data ontbreekt. Zo kan ik bij Google niet mijn zoekgeschiedenis downloaden en ook bij Facebook mis ik veel data. Oostenrijker Max Schrems vroeg op welke gegevens Facebook over hem bewaarde.

Uit zijn gegevens blijkt dat Facebook veel meer weet dan wat je zelf kunt downloaden. Zo wordt er bij mij geen overzicht gegeven wanneer en hoe lang ik doorbreng op de netwerksite en ook krijg ik geen overzicht van de geolocatie van mijn updates en foto's. Kortom, zelfs als je verzoek wordt behandeld, kom je lang niet alles te weten wat een bedrijf over je opslaat.

Volgende pagina: Privacy cops

Hoop

“Er is nieuwe Europese wetgeving in de maak die dat in de toekomst moet voorkomen", zegt europarlementariër Sophie in 't Veld. De nieuwe wet moet bedrijven verplichten om burgers inzicht te geven in welke gegevens worden opgeslagen. Overigens wordt daarbij wel een aparte regeling opgenomen voor politie en justitie. Daar is Van 't Veld niet blij mee. “Ook veiligheidsdiensten moeten gecontroleerd kunnen worden. Overheden kopen commerciële databases op en verplichten bedrijven gebruikersgegevens op te slaan en justitie daar inzicht in te geven. Het kan dus zomaar zijn dat je in een onderzoek als verdachte wordt aangemerkt, zonder dat je er ooit achter kunt komen op basis van welke informatie dat is gebeurd."

Privacy cops

Maar dan is er ook nog de vraag of de nieuwe wet zal worden nageleefd. Daarom pleit In 't Veld voor een sterke nationale toezichthouder, maar dan moet daar wel budget voor komen. “Het College Bescherming Persoonsgegevens kan de meldingen op dit moment al niet aan. Begrijp me niet verkeerd: ik ben gek op dieren, maar misschien moeten we die 500 animal cops inzetten om de privacywetgeving na te leven. Geen animal cops, maar privacy cops. Het CBP moet boetes op kunnen leggen die bedrijven voelen in de portemonnee. Voor een bedrijf als Google is 5000 euro niets, maar 1-2% van de jaaromzet kost ze miljoenen."

De europarlementariër is positief over de nieuwe Europese wetgeving. Toch zal het nog even duren voor de nieuwe regels worden aangenomen. “De wet kan over anderhalf jaar klaar zijn, maar voor alles is doorgevoerd zijn we toch zeker vier tot vijf jaar verder", aldus In 't Veld.