Bedrijven slordig met persoonsgegevens

Nederlandse organisaties gaan slordig om met persoonsgegevens van klanten, relaties en medewerkers. Dat blijkt uit een vorige week gepubliceerd onderzoek van advies- en accountantsorganisatie KPMG en TNS Nipo onder bijna driehonderd Nederlandse organisaties.

Een belangrijke constatering uit het onderzoek is dat bedrijven slecht goed op de hoogte zijn van de wettelijke eisen die aan privacybescherming worden gesteld. KPMG en TNS Nipo vroegen 293 bedrijven uit de financiële sector, de industrie, de publieke sector, detailhandel en de media- en entertainmentsector via een telefonisch interview hoe zij omgaan met privégegevens en in welke mate de bedrijven bekend zijn met privacywetgeving. Opmerkelijk is dat ruim 80 procent van de organisaties vindt dat zij de privacywetgeving goed naleven, terwijl maar weinig bedrijven dat daadwerkelijk hebben laten toetsen.

“Het aantal privacyincidenten neemt sterk toe, vooral in de financiële en publieke sector”, stelt Ronald Koorn, adviseur privacybescherming bij KPMG. “Dat kan leiden tot reputatieschade en identiteitsdiefstal, maar in de praktijk zien we dat privacybescherming slechts in enkele gevallen structureel is ingevoerd in de organisatie.” Volgens Koorn komt het bijvoorbeeld voor dat bedrijven om persoonsgegevens vragen die ze helemaal niet mogen hebben. Andere bedrijven bewaren gegevens uit het verleden die ze allang hadden moeten weggooien. “Dat heeft vooral te maken met onwetendheid.”

Een goed voorbeeld van slecht beleid is de nieuwe ov-chipkaart. Uit recent onderzoek van het College Bescherming Persoonsgegevens (CBP) blijkt dat de twee vervoerbedrijven GVB en RET en de uitgever van de OV-chipkaart Trans Link Systems (TLS) gegevens van reizigers in het openbaar vervoer te lang bewaren. Het is niet de eerste keer dat GVB, RET en TLS met de privacywaakhond te maken krijgen. Al in 2005, voordat de OV-chipkaart was ingevoerd, waarschuwde het CBP dat er voorzieningen moesten om onnodig lang bewaren van persoonsgegevens te voorkomen. In de huidige regelgeving moeten persoonlijke gegevens en informatie over reisgedrag nu vernietigd worden als deze niet meer noodzakelijk is. Aan die voorwaarde hebben de bedrijven rond de ov-chipkaart niet voldaan, aldus het CBP. Het CBP begon in februari met het onderzoek, nadat een aantal studenten daar om had gevraagd.