Veel media berichtte over de boete van 48.000 EURO die de Autoriteit Persoonsgegevens vorige week heeft geïnd bij de bank Theodoor Gilissen, inmiddels Insinger Gilissen.

Wat zijn de lessons learned uit deze case?

Achtergrond

Allereerst de zaak dateert uit 2016 toen de voorganger van de AVG, de Wet Bescherming Persoonsgegevens (WBP) van kracht was. Destijds deed een klant van de bank aan wie zij effectendiensten leverde, een verzoek tot inzage van zijn persoonsgegevens.

De klant wilde:

  • Een overzicht van zijn persoonsgegevens die de bank vast had gelegd van hem, waar ze vandaan kwamen en met wie ze waren gedeeld.
  • Afschriften van de chatberichten tussen hem en de bank
  • Een kopie van de interne instructies over afspraken die de bank met hem zou moeten maken

De bank wilde geen inzage in de gegevens geven met het argument dat de klant er een gerechtelijke procedure mee zou willen starten.

De advocaat van de klant diende daarop een handhavingsverzoek in bij de Autoriteit Persoonsgegevens.

Uitspraak AP

De AP is van mening dat de bank het verzoek op inzage van de gegevens moet honoreren.

Het argument van de bank dat de klant de inzage voor een ander doel dan alleen controleren zal gaan gebruiken, wordt door de AP niet over genomen. De AP stelt dat dit vermoeden van de bank onvoldoende is om inzage te weigeren.

De AP heeft de bank twee maanden de tijd gegeven om de klant inzage in zijn gegevens te geven. Om zijn uitspraak kracht bij te zetten legde de AP de bank een dwangsom op van 12.000 EURO per week met een maximum van 60.000 EURO.

Vier weken voordat inzage gegeven kon worden

Uiteindelijk had de bank een maand nodig om de informatie ter inzage te geven aan de klant. Daarmee kwam de teller voor de bank op 48.000 EURO.

De klant heeft na vier maanden inzage gekregen in zijn persoonsgegevens. Uit hetgeen de AP hierover heeft gepubliceerd kan ik niet op maken of de interne instructies waar de klant ook inzage in wilde, in het verzoek zijn meegenomen. Als dit niet het geval is, wat ik vermoed, dan zal de klant hiervoor apart een verzoek in moeten dienen.

De uitkomst van dat verzoek is nog onzeker. De AP stelt zich op het standpunt dat persoonlijke werkaantekeningen niet onder het inzagerecht vallen. Echter, als deze opgeborgen worden in een dossier of aan derden verstrekt worden, dan vallen ze wel weer onder het inzagerecht.

Wat is er uit deze case te leren?

Een verzoek tot inzage van persoonsgegevens zal niet snel geweigerd kunnen worden.  Een vermoeden dat de inzage voor een ander doel wordt gevraagd is onvoldoende grond voor weigering. Eerdere jurisprudentie ( op basis van de WbP) geeft ook al aan dat het recht op inzage niet snel beperkt wordt.

Het kostte de bank na de uitspraak van de AP vier weken om de gegevens boven tafel te krijgen. In dit geval kostte dat de bank 48.000 EURO. Het kostte de bank vier weken om ondanks de dwangsom de gegevens boven water te krijgen. Het onderstreept nog eens de noodzaak om goede procedures te hebben.

Als je op voorhand goede procedures maakt voor de rechten die klanten op grond van de AVG uit kunnen oefenen voorkom je een hoop stress en in dit geval grote kosten.

Je hebt als het ware je draaiboek gereed zodat je op een snelle, efficiënte manier kan reageren als een klant zijn rechten onder de AVG uitoefent. Dat voorkomt niet alleen veel onnodige stress maar vergroot ook je klanttevredenheid.

Weten hoe je voor jouw organisatie privacy goed en efficiënt regelt? Neem gerust contact met ons op

info@teamkikk.nl

Mr. Nico J. Mookhoek CIPP