arrow-downarrow-leftarrow-rightcheckclipboardfacebookgluegoogle-plusimec-whiteinstagramlogo gentimecdekrookbib_liggend_kleingebruik_neglogo ovlsogentpartner-ugentVlaanderen_verbeelding werktselecttwitterpartner-ugentyoutube
Menu

Onderzoek: Meer dan helft van organisaties leeft huidige richtlijnen rond recht op data-inzage niet na

Onderzoek | 15 mei 2018

Over 10 dagen gaat een nieuwe Europese privacywetgeving (GDPR) van kracht, maar in welke mate leven organisaties momenteel de huidige privacywetgeving al na? Onderzoekers van mict-UGent gingen op onderzoek.

40039030724 F6674884Ea O

(Bron foto: Convert GDPR - http://www.convert.com/GDPR/)

UGent-onderzoek bij 220 verwerkers van persoonsgegevens (bedrijven, verenigingen, …) toont aan dat meer dan de helft (51,8%) niet ingaat op het verzoek tot data-inzage. Maar liefst 67 organisaties geven inzage zonder enige vorm van identiteitscontrole. In sommige gevallen dienden tot 14 mails verstuurd te worden of tot 10 euro betaald te worden, alvorens de data werden doorgestuurd. Het onderzoek toont aan dat de naleving van Art. 10. § 1 van de huidige privacywetgeving in belangrijke mate dode letter blijft en dat organisaties met een grote achterstand aan de GDPR-vereisten starten.

Studenten houden data-inzagerecht tegen het licht

Onder begeleiding van onderzoekers Glen Joris en dr. Peter Mechant (Onderzoeksgroep Media, Innovatie en Communicatie Technologie) contacteerden zes studenten Communicatiewetenschappen van de UGent enkele maanden geleden 220 bedrijven, verenigingen en organisaties uit hun directe levenssfeer met de vraag om inzage te krijgen in de verwerking van hun persoonsgegevens. Aan de hand van een modelbrief en op een gestructureerde manier brachten ze vervolgens in kaart hoe organisaties het inzagerecht, dat reeds vermeld wordt in de nationale privacywetgeving van 1992 (Art. 10. § 1), uitoefenen.

Analyse toont aan dat van de 220 gecontacteerde verwerkers van persoonsgegevens slechts 106 de data meedelen (48,2%); 99 organisaties doen dat ook binnen de wettelijke termijn van 45 werkdagen. De organisaties deden er gemiddeld ongeveer 18 dagen over om de aanvraag te verwerken.

Privacy policies

Het onderzoek nam ook de online privacy policies van deze organisaties onder de loep. 50 van 220 verwerkers (22.7%) hadden het recht tot inzage in persoonsgegevens niet vermeld op hun website. Gemiddeld bestaan de privacy policies uit 2734 woorden (een vijftal A4-pagina’s). Contact opnemen met de organisaties voor de (aan)vragen voor data-inzage blijkt bovendien niet vanzelfsprekend; 4 op de tien organisaties (37,6%) vermelden bij het data-inzagerecht geen specifieke contactpersoon.

Identificatie

In de aanvraagbrief werd één belangrijk criterium, namelijk identificatie, weggelaten om na te gaan hoe organisaties hiermee omgaan. Identificatie van de aanvrager is immers wettelijk verplicht om onrechtmatige inzage te vermijden. Slechts 39 van de 106 (35,8%) organisaties die het inzagerecht verlenen, deden een bepaalde vorm van identiteitscontrole. 24 organisaties (22,6%) vroegen de aanvraag opnieuw te doen vanuit het mailadres dat bij hen bekend was of op zijn minst er een koppeling mee te leggen. Slechts enkelen werkten effectief met een tweestapsauthenticatie (2FA) waarbij een code werd verstuurd naar het privé-e mailadres of gsm-nummer van de student. Heel wat organisaties volgen dus de privacywetgeving niet door geen identiteitsbewijs te vragen vooraleer ze gehoor geven aan het verzoek tot inzage van persoonsgegevens.

Gebrek aan gebruiksvriendelijke standaard

Wanneer studenten ook effectief hun data ontvingen als bijlage (slechts bij 69 organisaties van de 106), konden ze een unieke blik werpen op hun eigen persoonlijke gegevens. Hoewel de studenten soms grote ogen trokken bij de hoeveelheid data die over hen werd opgeslagen, ervaarden ze vooral problemen met het openen en correct interpreteren van de databestanden. Naast de enorme verscheidenheid aan bestandsformaten - csv, .png, .json, .pdf, ... - waren verschillende bestanden namelijk moeilijk interpreteerbaar of zelfs volledig onleesbaar voor de gemiddelde computergebruiker. Variabelen met de naam ‘WPComEnabledToggleDate’ of ‘ClientFriendlyName’ of cellen met ongekende antwoordcategorieën waren geen uitzondering op de regel.

Contact