Wouter Hoeffnagel - 30 juni 2015

Veel grote bedrijven gaan de fout in met meldingen rond verwerking van persoonsgegevens

Wie met persoonsgegevens werkt is wettelijk verplicht hier melding van te maken. Bij veel grote bedrijven gaat dit proces echter niet goed. Zo maken sommige bedrijven geen enkele melding, terwijl andere juist dubbele meldingen indienen. Meldingen die worden ingediend zijn daarnaast in veel gevallen vaag en incompleet.

Dit blijkt uit een onderzoek van SoftwareZaken naar de 25 grote bedrijven in de AEX-index. Van deze bedrijven zijn alle meldingen rond het verwerken van persoonsgegevens geanalyseerd. Vier van de onderzochte bedrijven bleken in zijn geheel geen melding te maken van de verwerking van persoonsgegevens. Bij andere bedrijven zijn wel meldingen ingediend, maar ontbreken er bepaalde meldingen. 

Vage en incomplete meldingen
Meldingen die wel worden ingediend zijn daarnaast in veel gevallen vaag en incompleet. Zo beschrijven dergelijke meldingen wel dat er persoonsgegevens wordt verzameld, maar worden hier vage termijn gebruikt als ‘achtergrondgegevens’ en ‘interesses’. Hierdoor is niet duidelijk welke gegevens exact worden vastgelegd. Daarnaast is in veel gevallen niet duidelijk afgebakend waarvoor data wordt verzameld. Hierbij worden termijn gebruikt als ‘management-info’ en ‘algehele strategie’. Tot slot wordt in meldingen gesproken over ‘ex- en potentiële klanten’. SoftwareZaken stelt dat onduidelijk is welke gebruikers hiermee precies wordt bedoeld.

Van ING, Philips, Shell en Akzo Nobel zijn de meeste dubbele meldingen aangetroffen. In sommige gevallen deden BV’s van deze organisaties maar liefst vijf keer melding van hetzelfde, waarbij telkens spelfouten in de bedrijfsnaam zijn gemaakt. Voor Altice, Boskalis, NN group en OCI zijn geen enkele meldingen gevonden. SoftwareZaken noemt het een kwalijke zaak dat er zo onzorgvuldig wordt omgesprongen met de meldingen. De dienstverlener concludeert dat grote bedrijven onvoldoende aandacht besteden aan het informeren van gebruikers over privacy, terwijl het College Bescherming Persoonsgegevens (CBP) kennelijk onvoldoende middelen beschikbaar heeft om de meldingen te controleren.