Het meest uitgeoefende recht onder de GDPR is het recht op toegang tot iemands persoonlijke gegevens die worden verwerkt door bedrijven. Het is immers vaak de eerste vereiste om te weten of er onjuiste of onrechtmatige persoonsgegevens zijn die gecorrigeerd of verwijderd moeten worden. Een nieuwe analyse van noyb gevallen: Slechts 16,5% van alle toegangsverzoeken noyb die noyb de afgelopen 8 jaar naar bedrijven heeft gestuurd een bevredigend antwoord kreeg, terwijl 53,7% van de antwoorden onvolledig was - en bijna 30% helemaal niet werd beantwoord. Met andere woorden: terwijl bedrijven in Brussel lobbyen om het recht op inzage van mensen te beperken vanwege vermeend "misbruik", is het echte probleem juist de niet-naleving door deze bedrijven.
Geen "misbruik" door betrokkenen, maar door bedrijven. Na intensieve lobbydruk (vooral door de Duitse industrie) stelt het Digital Omnibus-voorstel van de Europese Commissie dat het nodig is om de rechten van de betrokkenen onder de GDPR te beperken. De voorgestelde wijzigingen omvatten met name een beperking van het recht op toegang (in Artikel 12(5) en 15 GDPR) tot "gegevensbeschermingsdoeleinden"dit wordt gerechtvaardigd door een vermeend wijdverspreid "misbruik" van dit recht. Dit betekent bijvoorbeeld dat als een werknemer een verzoek om toegang gebruikt in een arbeidsgeschil over onbetaalde uren - bijvoorbeeld om een overzicht te krijgen van de uren die hij heeft gewerkt - de werkgever dit verzoek zou kunnen afwijzen als "misbruik". In de praktijk zou dit de rechten die Europeanen hebben tegen bedrijven enorm beperken.
Max Schrems: "De Europese Commissie is gevallen voor een zwaar misbruikt lobbyverhaal dat het recht op toegang voortdurend wordt 'misbruikt', terwijl het in werkelijkheid grotendeels bedrijven zijn die deze wetten overtreden."
Gegevens uit de praktijk: 83.5% van de toegangsverzoeken niet goed beantwoord. In de praktijk is het grootste probleem met betrekking tot het recht op inzage echter niet het "misbruik" van klachten, maar het enorme aantal verzoeken dat niet naar behoren wordt beantwoord. Dit verklaart ook waarom een aanzienlijk aantal klachten bij autoriteiten gaat over het uitblijven van een volledig antwoord op toegangsverzoeken. Om meer inzicht te krijgen in hoe bedrijven omgaan met het recht op inzage, noyb 121 toegangsverzoeken geanalyseerd die zijn ingediend met betrekking tot noyb zaken sinds 2018*. De resultaten zijn duidelijk: slechts 16,5% van die verzoeken kreeg een bevredigend antwoord, terwijl 53,7% onvolledig was - en bijna 30% helemaal niet werd beantwoord. In totaal werden 83,5% van de verzoeken niet conform de wet beantwoord.
Big Tech neemt je gegevens, maar wil je geen toegang geven. Opvallend is dat veel van de geanalyseerde verzoeken om toegang werden ingediend bij grote techbedrijven, die meestal geautomatiseerde tools hebben om verzoeken af te handelen. Desondanks kregen de meesten een onvolledig of helemaal geen antwoord. We zien dit probleem bij alle noyb gevallen - en de resultaten zouden waarschijnlijk nog erger zijn voor betrokkenen zonder juridische vertegenwoordiging of de middelen om meerdere opvolgingsverzoeken te sturen. Onze zaken tegen TikTok, AliExpress en WeChat zijn hier een perfect voorbeeld van: Ondanks meerdere vervolgverzoeken op een onvolledig antwoord op een inzageverzoek, voldeden de bedrijven nog steeds niet aan het oorspronkelijke verzoek. Hierdoor konden de klagers niet controleren of hun gegevens in overeenstemming met de GDPR werden verwerkt. Een ander goed voorbeeld is onze zaak tegen de advertentiemakelaar Xandr (een dochteronderneming van Microsoft), die in 2022 een verbazingwekkende 0% respons op verzoeken om toegang en wissing meldde.
Toegangsverzoeken geen relevante werklast. Tegelijkertijd heeft een onlangs gepubliceerd noyb onderzoek duidelijk dat de meerderheid (meer dan 70%) van de Data Protection Officers (DPO's) die in bedrijven werken, denken dat de rechten van betrokkenen - en het Recht op Toegang in het bijzonder - geen significante werklast met zich meebrengen, terwijl het een nuttig instrument is om de rechten van mensen te beschermen.
Niets is definitief. Gelukkig zijn de voorstellen van de Commissie om de GDPR te veranderen niet meer dan dat: voorstellen. De Digitale Omnibus wordt momenteel nog besproken in het Europees Parlement en in de Raad en heeft al veel weerstand gekregen. noyb zet zich voortdurend in voor het behoud en de versterking van de rechten van de betrokkenen. Uit deze analyse blijkt immers duidelijk dat het nu al schort aan de handhaving (en naleving) van het Recht op Toegang door de autoriteiten. Een verdere beperking zou miljoenen mensen in Europa schaden.
*Opmerking over de methodologie: we hebben alle toegangsverzoeken geanalyseerd die sinds 2018 zijn ingediend in verband met noyb-zaken. Vervolgens hebben we ervoor gezorgd dat we slechts maximaal twee klachten per bedrijf hebben opgenomen om het beeld niet te vertekenen. Zo hielden we 121 toegangsverzoeken over.
