Partnerpagina PBLQ

- - - - -

Ketens maken rectificatie persoonsgegevens nog ingewikkelder

door: Peter Seignette

artikelen, 1 februari 2018

Niemand ontkomt er meer aan: zowel overheden als private partijen zijn druk bezig met de invoering van de Algemene Verordening Gegevensverwerking (AVG). Ik kom het overal tegen: opdrachtgevers doen doorlichtingen van de organisatie, voeren privacy impact assessments (PIA’s) uit en actualiseren of breiden hun register met gegevensverwerkingen verder uit. Uiteindelijk zal in mei een hoop werk verzet zijn op het gebied van gegevensbescherming. Iedereen wil voldoen aan de nieuwe verordening en vooral ook uit het vaarwater van de toezichthouder blijven.

Politie

Onjuiste gegevens kunnen grote consequenties hebben. In een recent rapport van de Nationale Ombudsman wordt ook duidelijk hoe dit kan werken: de politie houdt een man ten onrechte aan op basis van onjuiste informatie in het politiesysteem. Beeld: Dreamstime

Ik ben zelf vooral benieuwd naar wat de AVG betekent voor het recht op rectificatie van persoonsgegevens. En wel om de volgende reden: voor mijn afstudeeronderzoek van de Master Public Information Management van PBLQ heb ik onderzoek gedaan naar identiteitsfraude. Niet alleen het slachtoffer, ook de overheid werd in de onderzochte casussen door de fraudeur om te tuin geleid. Met als gevolg dat er allerlei onjuiste (persoons)gegevens van het slachtoffer door overheden verwerkt werden. Soms waren dat voertuigen die onterecht op iemands naam stonden geregistreerd, maar soms ook om een BKR-registratie. En stuk voor stuk bleek het voor slachtoffers zeer moeilijk of zelfs onmogelijk om deze gegevens gecorrigeerd te krijgen. En dat is een probleem: de overheid gebruikt deze gegevens voor allerlei beslissingen die ten aanzien van een persoon gemaakt worden. Onjuiste gegevens kunnen grote consequenties hebben door de vergaande aaneenschakeling van overheidsorganisaties, gecombineerd met de belangrijke rol die informatievoorziening speelt bij overheidsbeslissingen. In een recent rapport van de Nationale Ombudsman wordt ook duidelijk hoe dit kan werken: de politie houdt een man ten onrechte aan op basis van onjuiste informatie in het politiesysteem. [1]

De beperkte toegang tot correctie van gegevens in deze gevallen komt deels doordat het bij identiteitsfraude zeer moeilijk is om vast te stellen wie slachtoffer en wie dader is. Dit is de essentie van identiteitsfraude. Maar in mijn onderzoek merkte ik ook dat wanneer redelijkerwijs vaststond dat de identiteit van een persoon was misbruikt, slachtoffers veel moeite hadden om hun gegevens gecorrigeerd te krijgen. Bekende voorbeelden uit het verleden zijn de casus van Kowsoleea en die van Romet. Deze laatste was een ongewenst katvanger met 1700+ auto’s op zijn naam en rectificatie van die gegevens (inclusief de vertakkingen in allerlei andere processen) is niet eenvoudig. De crux zit hem daarbij, volgens mij, in ketensamenwerking.

Overheden werken steeds meer in ketens of netwerkverband en delen daar gegevens met elkaar, en dat betekent ook iets voor de bescherming van persoonsgegevens én de rectificatie van gegevens. Want waar wordt samengewerkt worden gegevens gedeeld die in bepaalde gevallen ook gecorrigeerd moeten worden. De AVG zegt hier dan ook iets over: een betrokkene kan een verzoek tot rectificatie (artikel 16) of gegevenswissing (artikel 17) doen. En, volgens artikel 19, dient de verwerkingsverant- woordelijke de ontvangers van de betreffende gegevens in te lichten over het correctieverzoek (“tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt”).

Wanneer deze gegevens één-op-één zijn gedeeld is de stroom nog goed te volgen. Maar in ketens kan dit al snel ingewikkelder worden, als informatie bijvoorbeeld weer verder wordt doorgestuurd: één-op-één-op-één-op-enzovoort. Een andere variant is één-op-meer, waar gegevens naar allerlei verschillende partijen worden verspreid. In ketens wordt soms samengewerkt tussen tientallen, honderden of zelfs duizenden autonome partijen. Informatie wordt dan gedeeld door middel van een schakelpunt, verwijsindex of informatierotonde. Bovenop dit probleem komt nog eens dat concepten uit de dataprotectiewetgeving, zoals verantwoordelijke of doelbinding, moeilijk te vertalen zijn naar het niveau van de keten, zoals Marie-José Bonthuis in haar artikel ‘Dataprotectie in ketens’ [2] beschrijft. Zo is het bijvoorbeeld in een keten waar een veelvoud aan partijen samenwerken voor een betrokkene onduidelijk waar de taken van de ene verwerkingsverantwoordelijke ophouden en die van een andere beginnen. Hoe weten we dan precies wat er, bijvoorbeeld in gevallen van identiteitsfraude, allemaal gerectificeerd moet worden? Hoe zorg je dat al die partijen op de hoogte worden gesteld van de correctie?

Het antwoord op deze vraag is volgens mij redelijk voor de hand liggend: gebruik dezelfde methode of technologie die gebruikt wordt om de gegevens in eerste instantie met elkaar te delen, ook om ze weer te corrigeren. Ketenpartners werken al met elkaar samen en gebruiken dikwijls informatietechnologie om informatie over betrokkenen te verspreiden. De samenwerkingspatronen en verbindingen die al bestaan, kunnen voor andere doelen zoals rectificatie of wissing hergebruikt worden. Iets wat volgens mij nog te weinig gebeurt. Ik hoop dat de AVG hierbij zal helpen, niet alleen via artikel 16 en 19, maar ook door het (hernieuwde) bewustzijn van de rechten van betrokkenen.

Peter Seignette is adviseur bij PBLQ

[1] Rapport Nationale Ombudsman 2017/133
[2] Bonthuis, M.J. (2016). Dataprotectie in ketens. Journal of Chain-computerisation.

reacties: 3

tags:

- - - - -

  1. P.J. Westerhof LL.D MIM #

    1 februari 2018, 23:21

    Was het niet Frank Kuitenbrouwer die zo’n dertig jaar geleden een fout bij de registratie van persoonsgegevens vergeleek met een steen in een vijver, waarvan de rimpelingen nooit meer in te halen zijn?

    - - - - -

  2. P Seignette #

    8 februari 2018, 09:36

    Een mooie vergelijking! Jan Grijpink heeft het vaak over de olievlekwerking: onjuiste persoonsgegevens verspreiden zich als een olievlek in allerlei maatschappelijke processen.

    - - - - -

  3. Jan van Til #

    8 februari 2018, 11:42

    Zou het zo kunnen zijn dat … zolang we ijzerenheinig aan de aard, het wezen, de crux, de essentie van informatie zelf voorbij blijven lopen … we niet of nauwelijks verder zullen komen qua oplossing van dit soort vraagstukken?

    - - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.