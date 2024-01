Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Onlangs kreeg ik mail van een zakelijke datahandelaar (business information provider) waarin werd aangegeven dat mijn zakelijke persoonsgegevens, zoals mobiel nummer, e-mailadres en titel, worden opgenomen in een database met zakelijke profielen van mensen. Deze profielen worden dan vervolgens gebruikt als “product” om te verkopen aan geïnteresseerden. Mag dit zomaar van de AVG?

Antwoord: Het korte antwoord is: nee, maar de praktijk is hardnekkig en omdat het voor de meeste mensen weinig meetbare schade oplevert, gebeurt er weinig tegen.

"Zakelijke persoonsgegevens" zijn natuurlijk gewoon persoonsgegevens, ze gaan immers over een levend persoon. Dat ze publiek gemaakt zijn (bv. op website of LinkedIn profiel) is niet relevant bij vraag of het persoonsgegevens zijn, of bij de vraag of verwerking legaal is onder de AVG.

Verwerking van persoonsgegevens vereist een grondslag. Toestemming is de bekendste, maar in de praktijk zitten de meeste datahandelsorganisaties op een andere - het legitiem belang. Dit is omdat in de AVG (overweging 46) staat dat "direct marketing" een legitiem belang is. Weliswaar moet je dan een opt-out bieden, maar omdat weinig mensen die gebruiken is dat dan verder een eenvoudige invuloefening.

De AVG eist alleen heel wat meer dan dat. Zo kom je al vrijwel meteen bij de vraag hoe deze datahandelaar aan de brondata komt, oftewel welke grondslag heeft de verstrekker van die data om dit aan datahandelaren te geven? Die is er meestal niet. Ook moet je als betrokkene geïnformeerd worden over zo'n verstrekking, wat zelden tot nooit gebeurt. Hetzelfde geldt als de handelaar de gegevens aan iemand verstrekt. En zo kan ik nog wel even doorgaan.

Natuurlijk kun je bezwaar maken, en in veel gevallen zullen je gegevens dan worden gewist. Alleen kunnen ze 'zomaar' weer toegevoegd worden in een nieuwe aankoopronde, en dan begint het gedoe weer opnieuw. En er zijn er ook die met onzinargumentatie komen waarom je recht op vergetelheid niet geldt - bijvoorbeeld omdat je je telefoonnummer vermeldt op je website "zodat er niets te vergeten valt", aldus eens zo'n handelaar tegen een klant van me.

Dit soort praktijken kan eigenlijk alleen aangepakt worden door de toezichthouder, maar die lijkt dit te klein bier te vinden want ik zie weinig handhaving. En natuurlijk, je kunt zelf een rechtszaak beginnen maar dat is behoorlijk duur en de kosten krijg je niet vergoed van de verliezende handelaar. Nog los van het feit dat men bij een dagvaarding gewoon je gegevens wist waarna je zaak niet meer verder kan (gebrek aan belang). Je moet wel héél principieel zijn om er dan nog wat van te maken.

