Elke inwoner kan bij de gemeente een opgave vragen van de verstrekking van de eigen persoonsgegevens aan derden. Dat gaat tot een jaar of tien terug.
Wie zulks doet krijgt na enkele weken een keurig overzicht over die verstrekkingen, ook aan welke instanties, wanneer en wat. De uitkomst bij het verzoek van de Vlietnieuwsredacteur: 42 instanties kregen in 238 gevallen persoonsgegevens van de gemeente.
Een aantal instanties waren verklaarbaar, maar ook een aantal – zo’n 20 procent van het totaal – niet. Instanties namelijk waar betrokkene noch diens gezinsleden ooit contact mee hadden gehad. Waarom kregen die de persoonsgegevens, en waar voor?
Desgevraagd laat de gemeente weten dat men niet verantwoordelijk is. Het zijn instanties die volgens de minister van Binnenlandse Zaken recht hebben op de gegevens. Voor nadere informatie is de Rijksdienst voor identiteitsgegevens (RiVG) de bevoegde instantie.
Daar laat een woordvoerder weten dat de betrokken instanties inderdaad wettelijk vastgelegd, recht hebben op de gegevens ‘om hun werk te kunnen doen’.
Maar ook als er geen relatie is tussen de organisatie en de betrokkene waarvan de gegevens worden gedeeld? ‘U begrijpt dat wij niet voor ieder individuele ingeschrevene (/burger) kunnen nagaan of deze relatie bestaat, die verantwoordelijkheid ligt uitdrukkelijk bij de afnemer’.
‘Als er dus gegevens van u zijn verstrekt aan een door ons geautoriseerde afnemer, dan heeft die afnemer de afweging gemaakt dat zij uw gegevens mochten gebruiken bij de uitvoering van hun taak. Dit hoeft niet te gaan om rechtstreeks contact tussen u en een afnemer, maar kan ook betrekking hebben op bijvoorbeeld wetenschappelijk, historisch of statistisch onderzoek of het opleggen van een heffing/belasting/bekeuring’.
‘Als er in uw overzicht afnemers staan die u zelf niet kan verklaren, kunt u hiervoor contact opnemen met deze afnemers. Zij moeten kunnen verklaren waarom zij uw gegevens hebben gebruikt. Als er in het overzicht afnemers staan waar u bijvoorbeeld geen klant meer bent, kan u de afnemer vragen om te stoppen met het actueel houden van uw gegevens. Hiertoe moeten zij dan hun afnemersindicatie bij u gegevens verwijderen’.
Even voor de goede orde: u weet helemaal niet dat uw gegevens bij de betrokken instanties terecht komen, ook niet waarom noch waarvoor zij die gegevens gebruiken. Er wordt u ook geen toestemming gevraagd.
Pas als u er zelf op een of andere manier achter komt dat die instanties uw persoonlijke data bezitten, kan er actie worden ondernomen. Maar dat moet u dan wel zelf doen want de verantwoordelijken verschuilen zich achter wet- en regelgeving.
Dat verschuilen geldt niet alleen voor de rijksdienst en de minister, maar ook voor de gemeente. Men vindt het niet nodig de eigen inwoners te informeren over de omgang met de gegevens van hen. Niet wat men er intern mee doet; niet wat men er extern mee doet.
De mogelijkheden die inwoners hebben om kennis te nemen van de omvang van en omgang met hun data worden door het Raadhuis niet ruimhartig rondgebazuind. Via de gemeentelijke site is na enig speurwerk de volgende tekst te vinden:
‘De gemeente is in het bezit van uw persoonlijke gegevens. Het gaat om uw naam, adres, geboortedatum en geboorteplaats. U kunt zelf gratis regelen deze gegevens geheim te houden of de geheimhouding te stoppen.
Wij zijn altijd verplicht uw persoonsgegevens door te geven als de volgende instellingen erom vragen: Instellingen die wettelijke taken uitvoeren, zoals politie, justitie, belastingdienst, waterschappen en Sociale Verzekeringsbank; Centraal Bureau voor Genealogie; reclassering; ziekenhuizen die wetenschappelijk onderzoek doen; notaris of advocaat als zij gegevens nodig hebben om hun werk te doen; pensioenfondsen, instellingen die zich bezighouden met kredieten, effecten of beleggingen en verzekeraars. Alleen als zij geld beheren dat zij aan u moeten uitkeren.
Als u geheimhouding heeft aangevraagd, geven wij uw gegevens niet door aan de volgende organisaties: niet-commerciële instellingen, zoals bijvoorbeeld sport- en muziekverenigingen; instellingen voor bijvoorbeeld zorg voor ouderen, gehandicapten of jeugdwelzijn’.
Een tekst die meer verzwijgt dan hij duidelijk maakt. In elk geval klopt de passage over geheimhouding niet.
Hoe dan ook, van een effectieve bescherming van uw persoonsgegevens is geen sprake. Uw data gaan, zonder uw medeweten en/of toestemming, heel Nederland door. En misschien nog wel verder. Maar dat mag u niet weten.
Dat de gemeente het niet zo nauw neemt met de bescherming van uw gegevens bleek al eerder. Zo werd zonder dat iemand het wist toestemming gegeven om mobiele telefoons van bezoekers van het Voorburgse Huygenskwartier uit te peilen. Onder andere om na te gaan hoe lang men in het gebied was en welke winkels men aandeed.
Of de onderneming die dat met toestemming van de gemeente deed, zich aan wet- en regelgeving hield inzake bescherming van persoonsgegevens, werd niet gecontroleerd. Toen de zaak bekend werd, werd er schielijk mee gestopt. En erkend dat de Algemene verordening gegevensbescherming (AVG) was overtreden.
Ander voorbeeld: het geheime onderzoek naar extremisme in Leidschendam-Voorburg waarbij een extern bureau ook persoonsgegevens verzamelde. De functionaris gegevensbescherming bij de gemeente was er tegen, maar het gebeurde toch. Inmiddels hangt de gemeente een boete van 7 ton boven het hoofd van de Autoriteit Persoonsgegevens (AP). Ook weer wegens het overtreden van de AVG.
En dan te bedenken dat het over uw persoonlijke gegevens gaat. Gegevens die uw ‘eigendom’ zijn, en niet van de overheid. Dus ook niet de gemeente.
(Deel 1 van deze blog werd gisteren geplaatst)