[divider]
Waarom ook alweer een privacystatement?
Voordat ik nader inga op het inzagerecht, schets ik eerst kort de achtergronden bij het privacystatement. Want waarom staat dit document eigenlijk op de website van een webshop?
Via een webshop worden allerlei persoonsgegevens verzameld en verder verwerkt. Sommige webshops beperken zich tot (eenvoudigweg) de NAW-gegevens van de klant om de bestelling te kunnen verzenden. Anderen gaan veel verder en houden een (omvangrijk) klantprofiel bij met allerlei interesses, click data, reviewgegevens, kredietwaardigheid, etc..
Het verzamelen en verder verwerken van persoonsgegevens moet voldoen aan de eisen uit de Wet bescherming persoonsgegevens (Wbp). Die wet geeft allerlei (soms verstrekkende) regels voor de omgang met persoonsgegevens. Het gaat voor dit bericht wat ver om op al die wettelijke eisen in te gaan; voor een beeld van die eisen verwijs ik graag naar onze gratis privacycheck. Waar ik wel nader op inga is de transparantieverplichting.
Wat moet er in een privacystatement staan?
Een van de kernbeginselen van de Wbp is transparantie. In artikel 33 Wbp staat namelijk dat de volgende informatie vooraf aan de betrokkene wordt gegeven (in cursief een vrije "vertaling" van mijn hand):
- de identiteit van (de onderneming achter) de webshop (wie gaat deze gegevens gebruiken?);
- de doeleinden van de verwerking (waarvoor zullen deze gegevens worden gebruikt?)
- nadere informatie, voor zover noodzakelijk om behoorlijk en zorgvuldige verwerking te waarborgen (op welke verdere informatie heeft de betrokkene redelijkerwijze recht?)
Hier komt het privacystatement in beeld. Bij de meeste websites wordt deze informatie namelijk in het privacystatement gegeven. Het privacystatement is daarmee de praktische uitwerking van de wettelijke plicht om de hiervoor genoemde informatie te geven. Dit is in de praktijk zo gegroeid en daarmee voor de websitebezoeker ook goed herkenbaar.
Naar de letter van de wet is het niet verplicht om in een privacystatement te zetten dat iedere websitebezoeker het recht heeft op inzage in zijn persoonsgegevens. Toch nemen veel webshops die informatie wel in het privacystatement op. Dat lijkt me verstandig. In de privacyrichtlijn - waarop de Nederlandse wet is gebaseerd - staan namelijk de volgende voorbeelden genoemd van nadere informatie (zie punt 3 hiervoor) die ook verstrekt zou kunnen worden:
- de betrokken gegevenscategorieën;
- de ontvangers of de categorieën ontvangers;
- het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens,
Je kunt hier (voorzichtig) uit afleiden dat een privacystatement dus ook (nagenoeg) altijd informatie moet bevatten over:
- het soort gegevens dat wordt verwerkt;
- de partijen waaraan de gegevens worden verstrekt; en
- informatie over het inzage- en correctierecht.
Wat houdt het inzagerecht in?
Op grond van artikel 35 Wbp heeft een ieder het recht zich “tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt“. Een ieder heeft dus het recht te weten welke gegevens van hem/haar worden verwerkt. Die informatie moet worden gegeven door de "verantwoordelijke". Dat is de partij die bepaalt wat er met de persoonsgegevens gebeurt, dus dat zal bij een webshop veelal de achterliggende onderneming zijn.
Er kunnen allerlei redenen zijn een inzageverzoek te doen. Dit kan uiteenlopen van simpelweg controleren of wel het juiste adres wordt gehanteerd (bijvoorbeeld na een verhuizing), tot het opbouwen van een dossier om juridische redenen (zoals op welke datum een garantieclaim is geregistreerd of welke kredietwaardigheid er aan de betreffende klant is toegekend). Het kan ook zijn dat de betrokkene er achter wil komen aan wie zijn persoonsgegevens zijn doorgegeven (bijv. in het kader van spam of fraude). De betrokkene hoeft geen reden op te geven voor zijn verzoek, aldus de Hoge Raad.
Hoe moet er op een inzagerecht worden gereageerd?
Een inzageverzoek moet volgens de wet in beginsel worden beantwoord met een “volledig overzicht” van de verwerkte persoonsgegevens met daarbij vermeld “een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens“ (artikel 35 Wbp).
Wanneer je dit wetsartikel opknipt, zie je dat de betrokkene recht heeft op de volgende informatie:
- de verwerkte persoonsgegevens;
- de doeleinden van de verwerkingen;
- de categorieën van gegevens waarop de verwerking betrekking heeft ("welke gegevens worden waarvoor gebruikt?", dat zal vooral spelen wanneer de gegevens voor verschillende doeleinden worden verwerkt);
- de ontvangers of categorieën van ontvangers van de gegevens (let op: vergeet in een online omgeving niet alle gebruikte externe tools/APIs die ook gegevens verzamelen!);
- informatie over de herkomst van de gegevens.
Hoe volledig is volledig?
De betrokkene heeft dus recht op een "volledig overzicht". Dat gaat dus in principe om alle persoonsgegevens die er zijn verzameld. Dat de gegevens in de praktijk in verschillende systemen zijn opgeslagen of door verschillende afdelingen worden beheerd, is daarbij volstrekt niet relevant. Dat is zelfs al eens (weliswaar in het bestuursrecht) uitdrukkelijk zo uitgemaakt in een rechtszaak.
Dat vergt nogal wat voor de houder van de webshop. De gegevens zullen immers niet alleen in de eigen systemen moeten worden opgevraagd, maar in principe ook in systemen van externe partijen die door de webshophouder worden gebruikt (voor statistieken bijvoorbeeld).
Het gaat daarbij bovendien potentieel om erg veel gegevens. Behalve de "klassieke" NAW-gegevens heeft een webshop immers ook te maken met statistische gegevens, tracking data en andere gegevens over klikgedrag van klanten, mogelijke reviews van/door klanten, gegevens over de betaalwijze van de klant (en wellicht kredietwaardigheid), garantie/RMA-verzoeken, retourneringen, etc.
De wet bevat in artikel 43 Wbp wel enkele uitzonderingen. Zo hoeft niet aan een inzageverzoek te worden voldaan indien dat in strijd zou komen met "de bescherming van de betrokkene of van de rechten en vrijheden van anderen". Dit betekent bijvoorbeeld dat een inzageverzoek er niet toe moet leiden dat privacygevoelige informatie van iemand anders op straat komt te liggen. Verder is al regelmatig geoordeeld dat gegevens opgenomen in notities die voor louter intern beraad zijn bedoeld onder deze uitzondering vallen. Het inzagerecht is namelijk niet bedoeld om ieder intern overleg onmogelijk te maken.
Er mag echter niet te snel worden geconcludeerd dat een uitzondering van toepassing is; het inzagerecht is in de basis een behoorlijk verstrekkend recht.
Ook afschrift van documenten?
Een andere vraag die in de praktijk vaak opkomt, is of de klant recht heeft op inzage in de documenten waarin zijn persoonsgegeven gegevens staan. Oftewel: kan een klant eisen dat een kopie wordt gegeven van alle e-mails, logfiles, CRM-gegevens, etc. waarin gegevens over hem staan opgenomen? Of heeft hij alleen recht op een overzicht van zijn persoonsgegevens die in al die systemen worden verwerkt? De Nederlandse rechters hebben lang heel verschillend hierover geoordeeld.
Onlangs heeft de hoogste Europese rechter hierover uitspraak gedaan: het volstaat in principe om een overzicht te verstrekken van de verwerkte persoonsgegevens, afschrift van documenten hoeft niet te worden gegeven.
Maar... het overzicht moet de ontvanger volgens de Europese rechter wel in staat stellen te kunnen controleren of de gegevens (a) juist zijn en (b) zijn verwerkt in overeenstemming met de richtlijn. Het is maar de vraag of dat mogelijk is, als niet ook getoond wordt in welke context de gegevens worden verwerkt (*). En dat kan bijna alleen maar door ook afschrift te geven van de documenten waarin de persoonsgegevens zijn opgenomen. Het is dan ook afwachten hoe deze leer zich verder ontwikkelt.
(*) Klein voorbeeld waarom dit zo lastig is: de privacyrichtlijn vereist dat gegevens die worden verwerkt "toereikend, ter zake dienend en niet bovenmatig" zijn. Dit is lastig anders te toetsen dan door te kijken hoe gegevens in de praktijk worden gebruikt, of anders gezegd: door de documenten/bescheiden waarin die gegevens voorkomen te bekijken. Dat zou dus betekenen dat de betrokkene wel recht heeft op afschrift van de documenten waarin zijn persoonsgegevens zijn verwerkt.
De kwestie ligt dus genuanceerd. U staat in die zin voor een van deze twee keuzes:
- u verstrekt alleen een overzicht van de persoonsgegevens die u van de betrokkene verwerkt, met uitzondering van persoonsgegevens die vallen onder de uitzondering van artikel 43 Wbp (zie hiervoor);
- u verstrekt het onder 1 genoemde overzicht, inclusief een kopie van alle documenten/bescheiden waarin die gegevens zijn opgenomen, met uitzondering van (passages van) documenten die vallen onder de uitzondering van artikel 43 Wbp (zie hiervoor).
Mijn verwachting is dat veel webshophouders kiezen voor optie 1 en dus alleen een overzicht verstrekken. Het is vervolgens de vraag of de betrokkene daar genoegen mee neemt.
Wat als u niet (volledig) voldoet?
Wanneer u niet, niet adequaat of niet tijdig (=binnen vier weken) reageert op een inzageverzoek, dan kan de betrokkene naar de rechter stappen. Dit kan zowel in kort geding als middels een verzoekschriftenprocedure.
Het verzoekschrift moet door de betrokkene binnen zes weken na uw reactie op het inzageverzoek zijn ingediend (of binnen 10 weken na het inzageverzoek, indien u in het geheel niet antwoordt). Er is nu al enkele keren geoordeeld dat overschrijding van die termijn leidt tot niet-ontvankelijkheid. Voor een kort geding zal de betrokkene aannemelijk moeten maken dat er sprake is van een spoedeisend belang en dat de verzoekschriftprocedure niet kan worden afgewacht.
Wanneer de rechter de betrokkene gelijk geeft, dan wordt u waarschijnlijk veroordeeld om bepaalde gegevens alsnog aan de betrokkene te verstrekken. Mogelijk stelt de rechtbank een dwangsom op deze veroordeling (dus een bedrag dat vanaf een bepaald moment per dag/week/maand wordt verbeurd, totdat aan de veroordeling is voldaan). Van de beslissing van de rechtbank kunnen partijen hoger beroep instellen. Daarna zou eventueel nog beroep in cassatie kunnen worden ingesteld; een bekende kwestie waarbij het zover is gekomen is de Santander-beschikking van de Hoge Raad.
Het is verder denkbaar dat het College Bescherming Persoonsgegevens ingrijpt. In individuele gevallen is dat gelet op haar handhavingsbeleid niet zo waarschijnlijk, maar wanneer u zich structureel niet aan de wet houdt, zou dit voor het CBP aanleiding kunnen vormen in te grijpen. Het CBP zou dan een last onder dwangsom kunnen opleggen tot verbetering van uw beleid ten aanzien van inzageverzoeken. Vooralsnog lijkt dit echter wat theoretisch.
Ten slotte
Het inzagerecht wordt door steeds meer mensen ontdekt en is dus ook voor webshops iets om serieus rekening mee te houden. Wanneer er een inzageverzoek komt, zal daar adequaat op moeten worden gereageerd. Dat moet bovendien relatief snel gebeuren (binnen vier weken). Dit vergt nogal wat van uw organisatie. Krijgt u binnen die termijn alle gegevens boven tafel en overzichtelijk gepresenteerd voor de betrokkene? Het kan dan ook verstandig zijn vooraf na te denken wat er in uw organisatie bij komt kijken om adequaat aan een inzageverzoek te kunnen voldoen en hier een draaiboek voor op te stellen. Dit voorkomt mogelijk dat u in vervelende discussies met de klant belandt of zelfs in rechtszaken betrokken wordt.
