Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Bits of Freedom maakt tool voor opvragen gegevens beschikbaar

Bits of Freedom introduceert donderdag de dienst My Data Done Right waarmee gebruikers hun gegevens kunnen opvragen bij bedrijven, instellingen en de overheid. Die zijn verplicht inzage te geven volgens de AVG.

Bits of Freedom wil mensen met My Data Done Right meer grip op hun data geven en het eenvoudiger maken gebruik te maken van het recht dat ze op grond van de AVG hebben. De tool biedt de mogelijkheid inzage te vragen zodat duidelijk wordt welke gegevens voor welke doeleinden zijn verzameld en met wie die zijn gedeeld.

Daarnaast kunnen gebruikers met de tool hun gegevens corrigeren, verwijderen en exporteren. Volgens de organisatie voor digitale burgerrechten bevat de database inmiddels de contactgegevens van ruim duizend bedrijven, overheidsinstellingen en andere organisaties, zoals Facebook, Google, Microsoft, Albert Heijn, ING, Ziggo, Achmea en het UWV.

Na het invullen van enkele gegevens, is via de tool een verzoek in te sturen de data te overhandigen. Organisaties hebben volgens de wet tot een maand de tijd om te reageren. Via My Data Done Right zijn herinneringen te sturen als antwoord uitblijft.

De tool komt vijf maanden na de inwerkingtreding van de Algemene verordening gegevensbescherming in Europa online. Die verplicht bedrijven en overheden om na verzoeken daartoe, duidelijk te maken welke gegevens zij hebben over de aanvrager, wat ze ermee doen en met wie ze de gegevens delen.

Door Olaf van Miltenburg

Nieuwscoördinator

25-10-2018 • 08:06

110 Linkedin Google+

Reacties (110)

Wijzig sortering
Toch wel erg veel grote bedrijven die je alleen via de post kunt bereiken. Lijkt weer alsof er een extra horde wordt gemaakt voor de mensen die graag hun data willen inzien. Ga binnenkort maar een wat papieren brieven versturen, ik ben benieuwd naar de reacties.
> alleen via de post
Inderdaad heel hinderlijk. Albert Heijn geeft bijvoorbeeld online inzicht in je aankopen en dergelijke. Maar als je wilt weten aan wie zij je gegevens verkopen of van wie zij gegevens over jou hebben ontvangen moet het per brief met een kopie van een ID. Terwijl het hele idee :-) van AVG voor mij juist is dat er minder gegevens in handen van bedrijven terechtkomen. Averrechts effect van deze wet. En ik denk dat het helaas een efficiënte barrière is. Want ik wil die kopie van mijn ID helemaal niet opsturen en krijg dus ook geen inzicht in aan mij gerelateerde gegevens.

Ik zal die tool eens proberen bij AH, kijken of dat meer oplevert.

[Reactie gewijzigd door garnalencoctail op 25 oktober 2018 09:30]

"Grappig" dan toch dat de overheid een "KopieID" app heeft
Heb je die app wel eens gebruikt, of zelf de omschrijving maar doorgelezen. Die is juist bedoeld om en kopie te maken en dan de info die je niet wilt delen door te strepen en invullen voor wie de kopie is bestemd.
Ja natuurlijk gebruik ik die ook, dat is de enige manier waarop iemand van mij een "kopietje" krijgt. :)
Ik las het antwoord van @dutch2007 ook net verkeerd. Jij of ikzelf mogen op deze manier wel kopietjes maken wat dutch bedoelde was dat bedrijven die "kopien" zelf niet mogen opslaan.
Het woord kopie is digitaal op die manier nogal dubbel
Correct, er mogen slechts een zeer selectief clubje instanties een "kopie" krijgen.

Ga je voor een bedrijf werken, dan dien je in feite langs te gaan bij het secretariaat oid, en daar mag je dan wel weer doorgeven wat de gegevens zijn.

Wat ik dus bedoelde was, dat de AH, iets vraagt.. wat ansich niet mag ;-)
Waarna je alsnog krijgt te horen dat de scan die je doorstuurt niet bruikbaar is ivm doorgestreepte gegevens. Ik heb ooit bij BTC.eu een account willen openen, had m'n bsn doorgestreept plus nog wat info die volgens mij niet nodig was, en vervolgens werd dat geweigerd.
En als je dat doet wordt je ID meestal geweigerd :)
Juist ja, als je de bovenstaande links even doorleest dan zie je dat er ook iets bestaat als een "veilige kopie". Hiervoor is de KopieID app van de overheid. Deze streept informatie zoals je BSN en pasfoto automatisch weg. Deze informatie is namelijk niet nodig wanneer bijvoorbeeld een hotel receptie om een kopie van je paspoort/ID kaart vraagt.
Dit mocht voor de AVG ook al niet.
Ik begrijp het idee achter een (officiële) vorm van identificatie bij het opvragen van mijn persoonlijke data, maar het voelt heel averechts. Ik snap dat ze iets meer willen hebben dan mijn naam en e-mailadres voor het opvragen – anders dan kan iedereen dat namens mij doen – maar het speelt inderdaad fors in tegen de achterliggende gedachten van de AVG/GDPR. Daarnaast is het feit dat je alleen maar fysieke post mag sturen met dit soort verzoeken natuurlijk vrij zielig; het heeft niets te maken met (gebrek aan) mogelijkheid maar meer met het afschrikken/demotiveren van dit soort verzoeken.
Buiten dat is die manier ook vrij kostbaar; het kost tegenwoordig al ¤ 0,83 aan porto om een eenvoudige brief binnen NL te versturen :X
Ik vind het zelfs raar dat je wel met een account kan inloggen en aankopen kan doen, maar dat dat account dan weer niet geschikt is om je data op te vragen.
Dat is op zich niet echt raar. Als jij een account aanmaakt om aankopen te doen, laat je data achter zodat het verkopende bedrijf jou goederen kan leveren (nadat deze zijn betaald meestal). Op het moment dat jij info wilt over welke data ze van jou bezitten, zijn ze wettelijk verplicht om te controleren of ze deze data wel aan de juiste persoon verstrekken (juist ter bescherming van jouw gegevens).
De FAQ raadt aan in om dit geval AH te benaderen en aan te geven dat het mogelijk is om zonder ID te verifiëren dat jij het bent, aangezien je een account hebt en ze je mailadres weten (en waarschijnlijk hebben geverifieerd via dat account). Zie ook mijn copy-paste van het item uit de FAQ, hieronder.

Maar ja, 99% kans dat je daar een generiek antwoord op krijgt en dat je alsnog je ID moet opsturen.
Als ze er over nagedacht hebben (laten we aannemen van wel), dan zouden ze bijv en unieke code kunnen terugsturen die je in je brief moet noemen. Die code fungeert dan als middel om aan te tonen dat je brief van dezelfde persoon als de eigenaar van het account afkomstig is
En dat klopt, je hebt wel het recht om de gegevens te ontvangen, maar ze mogen niet zomaar de gegevens verstrekken als jij een mailtje stuurt, ze moeten wel eerst jouw identiteit bevestigen.
Die tool zal daar weinig anders aan kunnen doen.
Ik heb sinds begin juni alle bedrijven gemaild waarvan ik wist of veronderstelde dat er gegevens van mij opgeslagen waren. Resultaten heel verschillend, een enkele keer heel snel en duidelijk antwoord (o.m. Wehkamp, Trustpilot), meestal moesten er toch een of meerdere reminders uit.
En zo lekker logisch, waar de meeste bedrijven hiervoor het mailadres privacy@bedrijf.xx gebruiken, kost het bij Epson twee maanden voordat je per mail de informatie krijgt dat het juiste adres voor zo'n verzoek EDPO@epson.eu is. Maakt overigens niets uit, wacht al twee maanden op reactie. Ook Amazon, Groupdeal en Ryanair (mail en papier) laten niets van zich horen.
Natuurlijk. Sowieso, als mensen ze benaderen om gegevens te wijzigen of verwijderen, dan hoop ik dat ze eisen dat die mensen zich deugdelijk identificeren. Anders zet je de deur open voor identiteitsdiefstal.

Laten langskomen en identificatie tonen lijkt me ook geen overbodige maatregel.
Relevante info uit de FAQ
Can I be required to send a copy of my ID?

Sometimes. Organisations are required to verify the identity of the person submitting a request. This makes sense, because you don’t want an organisation to provide your data to someone else who pretends being you.

The GDPR does not say how organisations should verify your identity. Many mechanisms are possible, though the most privacy friendly option should be used. One way of verifying your identity is by asking for a copy of your ID. But often other, more privacy-friendly and secure options are available as well. This is particularly the case if your request relates to your data linked to an online account. In that event the organisation could, for example, send you a message through your account (or email) to verify it is really you who sent the request.

If an organisation asks for a copy of your ID, always ask yourself whether this is necessary to verify your identity and whether there are better and more privacy-friendly alternatives available. If so, communicate this to the organisation. In cases where there are no good alternatives, your only available option may be a copy of your ID.
Alleen als voor registratie dezelfde eisen gelden natuurlijk. Eisen voor registratie = eisen voor opvragen gegevens lijkt mij het meest logisch.
Op het eerste oog wel, maar bedenk dat je ook je gegevens kunt opvragen als je niet geregistreerd bent, of als je je wachtwoord kwijt bent of tien keer verhuisd bent. Wat jij voorstelt is, kort door de bocht, wat Google doet: je kunt in je account je gegevens downloaden. Dit gaat om meer.

Het blijft het verwerking van persoonsgegevens en de verwerkingsverantwoordelijke is gehouden om deze passend te te beschermen.
Maar hoe zijn die persoensgegevens daar terecht gekomen dan? Als je niet geregistreerd bent mogen ze helemaal niet zo veel opslaan namelijk. En al helemaal geen NAW gegevens. Alles wat via andere wegen verzameld is kan ook via diezelfde wegen opgevraagd worden, dus als ze via cookies tracken dan moet de PC waar dat cookie op staan de macht hebben om die gegevens in te zien.
Dat ligt eraan. Er kan een andere grondslag zijn om je persoonsgegevens te verwerken. Vervulling van een wettelijke taak of een gerechtvaardigd belang bijvoorbeeld.
Dat betekend dus feitelijk dat je naar Ierland kunt gaan voor facebook ?

Als je met een bedrijf via email communiceert en ook via post en het email en postadres overeenkomen met de gegevens in de database mag het bedrijf er denk ik van uitgaan contact te hebben met de persoon in die database.

Het bedrijf kan niet weten als jij verhuisd bent dat niet hebt doorgegeven of als je email gehackt is en iemand idd zo achter meer van jou gegevens wil komen.

Vragen om een ID is ook aan wettelijke eisen verbonden en voor zo ver ik weet mag een bedrijf niet zo maar jou id vragen. Digitaal betekend dat dat je een kopie moet sturen en langskomen en id laten zien is dan de enige andere optie. Dat lijkt me niet de bedoeling van deze wet, die zou praktsich dan niet uitvoerbaar zijn met langskomen.
Volgensmij mag jij als persoon ook helemaal niet een volledig kopie van je id/paspoort sturen. Je BSN en het documentnummer moeten verborgen zijn voor het bedrijf die jouw identiteit wilt controleren.

Ik kon me een tool van de overheid herinneren op Windows phone die automagisch delen van je paspoort en id verhulde wanneer je een foto ervan maakte, zodat je de foto veilig kon versturen
Sterker nog, zij mogen het niet eens vragen. BSN-nummer is voorbehouden aan enkele instanties.
Om te voorkomen dat er mee gefraudeerd kan worden. BSN-nummer, pasfoto, en andere irrelevante gegevens zwart maken en dwars door je kopie tekst en datum plaatsen met welk doel de kopie is afgegeven.
Vergeet vooral de onderste twee tekstregels niet. Daarin staat ook je BSN-nummer.
Die tool is een app op de diverse platformen. Je moet wel zelf 'tekenen' met vakjes.
Klopt

https://www.rijksoverheid...-te-geven-aan-een-bedrijf

Kopie mag alleen een bank e.d. verder is het idd zeer beperkt.
Kunnen mailen kan bij veel bedrijven, maar is voor verwerken van persoonsgegevens nauwelijks een optie. Veel grote bedrijven zijn via social media bereikbaar, wat ook niet een geweldige vorm is om persoonsgegevens te verwerken. Een webformulier zou een uitkomst kunnen zijn, maar niet zelden levert dat aan de achterkant dan alsnog het genereren van een mailtje op. Of het webformulier voldoet is dus ook niet zeker.
Post lijkt gewoon nog een heel betrouwbare weg te zijn om gevoelige gegevens te communiceren. Het zomaar openen mag niet. Maar misschien komt het in een postkamer aan en gaat dan meteen een scanner in om verder digitaal te verwerken naar de juiste afdeling of personen. Maar dan is het tenminste al bijna aangekomen.
Post kan een methode zijn maar bij veel online accounts hoef je geen adres achter te laten. Het bedrijf dat een mail krijgt dan dan niet controleren of die wel van jou komt.

Enige manier is dan weer online een aanvraag doen met jou account, daarin staat dan unieke conde die je meestuurt in je post aanvraag.
Vergeet dan ook niet dat als je iets opstuurt men dus ook je naw gegevens aan je account moet toevoegen om weer op jou brief te kunnen reageren.
Ach, beter dan faxen.... en aangetekend versturen, dan weet je tenminste zeker of ‘ie aangekomen is.
Ik hoorde een paar weken geleden bij thuiskomst dat er Kinderpostzegels waren gekocht. Mijn eerste reactie was: wat moeten we daar nu mee? Nu weet ik het wel :) .
Belachelijk:
Een ID kopie opsturen, alsof ze al niet genoeg van je weten. Kan deze tool niet achter bv DiGiD geplaatst worden. De bedrijven kunnen dan de DiGiD authorisatie gebruiken als identificatie middel. En natuurlijk de bedrijven verplichten om een communicatie protocol op te zetten met deze tool (verplicht vanuit de overheid ??).

Het protocol zal natuurlijk nog beter uitgewerkt moeten worden.
Maar via brieven communiceren is natuurlijk belachelijk.
Sanoma eist bijvoorbeeld dat ik een kopie van mijn paspoort naar ze op stuur voordat ze mij inzage geven in mijn gegevens, ook al verzoek ik hen het te sturen naar het bij hen reeds bekende adres en heb ik alleen online aankopen gedaan bij hen.
Ook kon ik telefonisch het verzoek niet indienen, dat kon alleen via het web-formulier.

En ik wil juist inzage omdat ik de indruk heb dat ze meer vastleggen dan ik toestemming voor gegeven heb én dat ze een aantal intrekken van incasso's hebben genegeerd, ondanks dat ze die ontvangen hebben.

Mogen ze vereisen dat ik een kopie van mijn paspoort verstrek voordat ze inzage geven?
Waar is deze wet volgens jou voor bedoeld?
Om je gegevens op te vragen, te laten wijzigen en verwijderen indien je dit nodig acht, eigenlijk zoals met alle wetten. Je gaat toch geen mensen en bedrijven lastig vallen "gewoon omdat het nu kan en mag en omdat ze verplicht zijn daarop te antwoorden". Dat is namelijk wat @GOTD zegt wat hij gaat doen:
Ga binnenkort maar een wat papieren brieven versturen, ik ben benieuwd naar de reacties.
Even een vergelijking: Er is een wet die bepaald dat wanneer je jouw gemeente een vraag stelt (bijvoorbeeld: mag ik een buurtfeest organiseren op kosten van de gemeente?) dan zijn ze verplicht hier een serieus antwoord op te geven, met onderbouwing enzovoorts.
Er zijn verschillende personen geweest die hun gemeente opzettelijk werk hebben bezorgd door ze iedere week meerdere vragen te stellen, waaronder "Hoeveel klinkers liggen er in een bepaalde winkelstraat?". De gemeente heeft uiteindelijk een rechtszaak aangespannen tegen deze man omdat hij misbruik maakte van de wet die bepaalde dat de gemeente overal serieus op moest antwoorden. De gemeente heeft deze zaak gewonnen.

Zo zie ik de uitspraak van @GOTD dus ook.
Je vergelijking klopt niet, ik ga dat inderdaad doen omdat het mag en omdat ze verplicht zijn. Nu vergelijk jij mij met mensen die opzettelijk tot last willen zijn, daar val ik niet onder. Het is bij mij vooral interesse wat sommige sites precies van mij weten.
Ik ben het helemaal met je eens dat het voorbeeld dat je geeft misbruik van die wet is.
Er zijn echter een paar redenen waarom ik het met je oneens ben dat GOTD misbruik maakt van de AVG.

Allereerst is bedrijven een brief sturen over het hoofddeel van de wet, persoonlijke informatie, relevant imo. Zolang dit niet dagelijks gebeurd heeft een bedrijf echt geen last van individuen. Volgens mij gooit een groot een deel die brieven toch direct in de prullenbak.

M'n 2e punt is dat de AVG vrij nieuw is en het niet voor iedereen duidelijk is wat voor effect het heeft. Zie reacties in deze thread over bedrijven die je compleet negeren. Dat individuen bedrijven hier op testen is dan toch juist een goed ding?

M'n laatste, hoe kan iemand beslissen of het wijzigen of verwijderen van zijn gegevens nodig is, als het niet duidelijk is welke info het bedrijf exact van diegene heeft?
Ik vind dit wel interessant. De gemeente heeft flinke resources (de belastingbetaler). Maar wat als je een start-up bent en je hebt het chronish te druk. Je moet kiezen waar je tijd het meest waardevol is. En dan valt er een brief op de mat van een klant uit een buurland.

Voordat je gelezen hebt wat de persoon precies wil, de verzoeken getoetst hebt aan de mogelijkheden en de wet, en de gegevens hebt opgezocht ben je volgens mij zomaar een half uur verder. Hoewel dat bij de eerste klant ivm twee uur is voor het schrijven van templates, en bij de tiende klant hopelijk nog 'maar' 10 minuten.

Dan nog uitprinten, postzegel erop, versturen, en als in de toekomst blijkt dat de strijd erg hard gestreden wordt zal dit nog aangetekend moeten.

Oké die laatste zin ging misschien iets te ver in mijn dramatisatie, maar mijn punt is het volgende. Ik lees in de FAQ:
(...) organisaties mogen geen kosten bij je in rekening brengen voor het voldoen aan je verzoek.
Je vergeet nog de belangrijkste reden:
Omdat het zijn recht is dit te kunnen doen.

Verder hoef je helemaal geen andere of extra reden op te geven.

Als een bedrijf het vervelend vind dat mensen dit doen is dat hun probleem, ze kunnen altijd nog alle data verwijderen en dan zijn ze van het gezeur af.

[Reactie gewijzigd door Cowamundo op 25 oktober 2018 10:15]

Begrijp ik nu goed dat My Data Done Right, toegang heeft tot een database waarin de informatie staat van Miljoenen Nederlanders? Als ik bron lees - hiero - lijkt dat wel het geval te zijn.
Nee, ze hebben een database aangelegd met contactgegevens van organisaties en bedrijven. Vervolgens hebben ze hier een “workflow” opgezet die wordt getriggerd op het moment dat jij via hun website een aanvraag doet over jouw persoonlijke gegevens. De vraag is alleen waar het antwoord heen gaat. Dat zou alleen naar jou moeten gaan. Echter werkt de “workflow” dan niet en blijft deze herinneringen sturen. Ben benieuwd hoe ze dat hebben opgelost.
Dat begrijp je verkeerd. Het is een formulier generator + auto submit (indien het bedrijf digitale aanvragen accepteerd). Bij mijn test met Ziggo kan het enkel via de post, maar ik zal het eens via Facebook proberen. Volgens mij kan je ook andere bedrijven zelf toevoegen, slim gedaan crowdsource inzetten

Ziet er verder super strak uit en kan het enorm waarderen dat dit is gemaakt. Ik doe veel met 'innovatie' en kan inmiddels genieten van een goed uitgevoerd idee.

10/10 - Would make another GDPR request
In essentie is het inderdaad een database met de contactgegevens van organisaties en een 'formulier generator'. Als je een organisatie selecteert worden de contactgegevens van die organisatie in je verzoek opgenomen. Vervolgens wordt aan de hand van je input het verzoek gegenereerd. Alle informatie die je opgeeft tijdens het proces om een verzoek te genereren wordt tijdelijk in je browser (dus op jouw apparaat) opgeslagen. Die informatie gaat niet naar Bits of Freedom.

Zie ook de FAQ:
Wat doen jullie met mijn contactgegevens?
Zo min mogelijk. De contactgegevens die je opgeeft worden tijdelijk in je browser (en dus op jouw computer) opgeslagen voor de duur dat je één of meerdere verzoeken genereert. We bewaren deze gegevens niet op onze servers.
Als je ervoor kiest om een herinnering per e-mail te ontvangen en hiervoor je e-mailadres opgeeft, zullen we de volgende informatie tijdelijk op onze servers opslaan om je de herinnering te kunnen sturen:
  • je e-mailadres;
  • het type verzoek dat je hebt gegenereerd (bijvoorbeeld: inzageverzoek);
  • de organisatie naar wie je het verzoek hebt gestuurd (bijvoorbeeld: Spotify);en
  • de datum dat je verzoek is gegenereerd.
Deze gegevens worden automatisch gewist na het versturen van de e-mail met de herinnering.

De source code van de tool is overigens open source en zal snel toegankelijk zijn.

David (Bits of Freedom)
Nee, ze hebben een procedure-tool gemaakt om je data op te vragen. Ze hebben hiervoor de gegevens van zo’n 1.000 bedrijven verzameld: ik gok de privacy ingangen waar je dit soort verzoeken kunt doen. Scheelt je zoeken en de tool kan blijkbaar reminders sturen en je helpen met je aanvraag.

Leuk bedacht, zie bij mijn klanten tot nu toe alleen wat aanvragen van mensen die er nog weinig van begrijpen binnenkomen - als dit daarin helpt is dat mooi meegenomen.
Je kunt ook eenmalig, sinds AVG uiteraard, een gratis inzage doen bij de BKR, hier in't durp. Mocht je dat interesseren.

Maar mogen bedrijven en instanties hier wel geld voor vragen?
? Waar lees je dat? Wat er volgens de bron in de database achter My Data Done Right staat zijn de contactgegevens van enkele duizenden Nederlandse [b][bedrijven en organisaties/b] voor GDPR verzoeken. Deze tool helpt je met het aanmaken en tracken van GDPR verzoeken, that's it.
Vanuit de bron:
Met My Data Done Right kan je eenvoudig een inzage-, correctie- of verwijderverzoek opstellen, of een verzoek om je gegevens over te dragen.
Zoals ik het lees maken ze het alleen makkelijker om het verzoek op te stellen, en hebben ze verder geen directe toegang tot de daadwerkelijke data.

edit:
Voor ruim 1000 organisaties hebben wij die gegevens alvast verzameld.
Ik snap nu wat je bedoelt. Ik denk dat ze alleen de contactgegevens van bedrijven bedoelen, en niet de informatie van Nederlanders zelf. Zou wel goed zijn om dat iets duidelijker te vermelden.

[Reactie gewijzigd door kw4h op 25 oktober 2018 08:18]

Volgens mij wordt er alleen een verzoek naar de debetreffende organisatie gestuurd.
"is via de tool een verzoek in te sturen de data te overhandigen"

De database die ze hebben bevat alleen bedrijven met hun gegevens.
Van de bron: "voor de database met organisaties"

[Reactie gewijzigd door Fonta op 25 oktober 2018 08:19]

Nee, het is een database met partijen en de manier waarop je je info kan opvragen. De informatie zelf kan je niet bij BoF opvragen.
Dat is niet het geval. De tool is enkel ter ondersteuning van de aanvraag voor inzage van gegevens. De organisatie stuurt vervolgens per post of via een e-mail de gegevens naar je op.
Dat is niet wat ik lees. Er staat dat ze contactgegevens hebben van meer dan 1000 organisaties, en op basis van jouw input wordt er automatisch een aanvraag gegenereerd
Ik ben altijd al benieuwd naar het verwijderen...weet iemand hoe deze verplichting om gegevens te verwijderen is gedefineerd in de wet? Betekend dit dat de gegevens echt gewist moeten worden of mag het bedrijf of organisatie in kwestie de gegevens ook anonimiseren?

[Reactie gewijzigd door ThePope90 op 25 oktober 2018 09:22]

Hoofdregel uit artikel 17 AVG is dat de gegevens werkelijk wég moeten, mits natuurlijk de gegevens voor wissing in aanmeringkomen. Zoals @WhatsappHack hierboven al zegt, soms hoeven gegevens nog helemaal niet gewist - facturatiegegevens moeten wettelijk 7 jaar bewaard worden, gegevens over actuele diensten natuurlijk ook en als mijn bedrijfsbelang zwaarder weegt dan jouw privacybelang bij de gegevens dan mag ik ze ook lekker behouden.

Anonimiseren in de zin van alle koppelingen met de persoon verbreken, is een manier van wissen. Echter, je moet dan wel écht helemaal anonimiseren. Vaak gaan mensen niet verder dan de namen vervangen door nummers, en dat is géén anonimiseren in de zin van de AVG. Die nummers zijn nog steeds identificerend. Je moet zo ongeveer alle potentieel identificerende data eraf slopen. In de praktijk houd je dan bijna niets over.
Ik zie inderdaad vaak "bedrijfsbelang" langskomen, maar dan is die hele wet toch tandloos? Bijvoorbeeld Facebook verdient bijna al het geld aan het verzamelen, analyseren en verkopen van de data die ze vergaren. Dan kunnen ze stellen dat ze geen geld meer verdienen als ze het verwijderen en dus niet je data hoeven te verwijderen.

Waar ligt die grens ongeveer? Zijn daar voorbeelden van?
Dat is inderdaad een legitiem belang, maar de tweede vraag is of dat belang opweegt tegen jouw privacybelang. Pas als die afweging in het voordeel van Facebook uitvalt, mogen ze het bewaren ondanks jouw wens tot wissen. Ik zou zeggen dat hun belang neerkomt op "ik wil het" en dat is te mager. Daar komt bij -maar dat is valsspelen- dat bij 'profileren' in de zin van de AVG je áltijd wint als je wissing eist.

De belangenafweging wordt moeilijker bij bijvoorbeeld een zwarte lijst van wanbetalers. Daar wil jij vanaf maar ik wil jou erop houden want stel je gaat morgen weer iets kopen en niet betalen. Wie moet er dan winnen? En als ik win, hoe lang mag ik jou nadragen dat je in 2014 een keer niet betaald hebt?
Een leuke is ook dat je in principe dan ook alle bestellingen van een klant los moet koppelen van elkaar, omdat een profiel van aankopen anders best wel uniek kan zijn.

Een profiel als 'kocht dit boek van Arnoud Engelfriet in oktober', met een paar andere gegevens kan al opleveren dat het nog maar één persoon kan zijn.

En zo'n profiel van gelinkte aankopen is natuurlijk gewoon een persoonsgegeven.
Af en toe komt het - hoewel uitzonderlijk - voor dat een bedrijf te maken heeft met dataverlies. Er wordt dan tijdelijk (onlangs github iirc) of permanent (verleden jaar gitlab iirc) een backup teruggezet.

Nu ben ik benieuwd wat de wet hierover te zeggen heeft.

Als klant denk ik: Ik wil ook niet meer in backups voorkomen. Dit is al dan niet een smoes die ik wel eens heb gehoord als reden waarom ik na verloop van tijd weer een nieuwsbrief ontvang nadat ik me heb uitgeschreven.
offtopic:
Dit gebeurt trouwens vaak, dat het na uitschrijven even stil is, en na n weken of maanden komen de nieuwsbrieven weer. Of het uitschrijven werkt gewoon niet. Onlangs KLM nog. Nu willen ze dat ik een DM stuur zodat ze me kunnen uitschrijven, maar eigenlijk moet dat unsubscribe linkje gewoon werken.

Maar als ondernemer denk ik: Dat is bijna niet te doen. Hardware bij elkaar zoeken, incremental backups extracten, images terugzetten, oude database benaderen, record verwijderen, images opnieuw wegschrijven.

[Reactie gewijzigd door Redsandro op 26 oktober 2018 15:33]

Als je een backup terugzet, lijkt het mij dat je daarmee terugkomt bij de huidige situatie. Mogelijk een dag of wat terug, maar verder niet. De bedoeling van een backup is immers terug te komen bij waar je was, zodat je weer door kunt. Daarmee komen bij het restoren weliswaar verouderde gegevens terug, maar ook alle oude afmeldingen. Heb je dus zo'n backupprocedure, dan is er niets aan de hand. De restore zorgt er voor dat óók de afmeldingen weer gerestored worden.

Wat jij schetst over KLM is vaak eerder het probleem dat men ergens een bestandje mailadressen heeft en weer uploadt. Dat is geen backup/restore maar gewoon een export vanaf hetzelfde bronsysteem ("hee jongens we hebben een nieuwe nieuwsbriefsoftware, wie heeft er nog relaties die erin moeten").
Daar is eigenlijk geen eenduidig antwoord op te geven, "dat ligt eraan". Meerdere situaties waar verschil in kan zitten. Het kan zelfs voorkomen dat het helemaal niet verwijdert hoeft te worden (als daar een geldige grondslag voor is) en dan is er ook nog het type data dat ze minstens 7 jaar van je moeten bewaren i.v.m. belasting regels. Je kan dan wel verzoeken al het overige te verwijderen natuurlijk.

Maar simpel gesteld, als het bedrijf zegt de data te verwijderen: dan moeten ze dat naar mijn weten ook doen. Anders moeten ze zeggen dat ze het anonimiseren ipv verwijderen, voor zover dat toegestaan is/niet weer herleidbaar gemaakt kan worden. Het is dus afhankelijk van het type data en wat er zoal in de privacy policy over staat. Als ze zeggen het te verwijderen en het blijkt dat ze dat niet doen, dan lijkt dat me een overtreding.
Het zou fijn zijn als ik mijn gegevens zou kunnen deleten uit klantenbestanden, maar daar heb je natuurlijk nooit garantie op. Terwijl de veiligheid te wensen overlaat zoals als de hack bij Cathay Pacific deze week weer met de gegevens van9.4 miljoen klanten op straat.
Prima tool lijkt me, ga zeker ff kijken wat het doet.

Ik heb via de tool gevraagd aan de AH of ze al mijn gegevens willen verwijderen. Ben benieuwd wat er nu gebeurd. Heb niet veel vertrouwen in de uirkomst

Edit: Binnen 3 dagen krijg ik antwoord. Ik heb geen idee wat de AH van mij weet, maar ik krijg natuurlijk geen inzage in de analyse data van mijn koopgedrag. Mijn koopgrdrag is gekoppeld aan mijn pinpas (niet aan de bonuskaart), dus wat er precies verwijderd wordt.... geen idee.

Edit 2 de reactie van AH:
Om dit voor je te mogen regelen hebben wij van jou als kaarthouder een kopie van je rijbewijs, identiteitskaart of paspoort nodig. Dat kun je samen met een schriftelijk verzoek tot inzage van hetgeen dat je wil zien, opsturen per post naar:
Albert Heijn
afdeling Klantenservice
Postbus 3000
1500 HA Zaandam

Later is toegevoegd dat ze de gegevens zullen verwijderen. Dus opgeven kan zonder legitimatie, verwijderen niet.

[Reactie gewijzigd door tw_gotcha op 25 oktober 2018 16:42]

Garantie heb je inderdaad nooit, bedrijven hebben zich aan de wet te houden, maar als consument kun je het niet controleren.

Ik heb de AH ook verzocht mij informatie te verschaffen, ben benieuwd, heb namelijk een klein half jaar geleden mijn account verwijderd via mijn ah-profiel.
Diezelfde wetgeving die hen vaak ook verplicht om een hoop data bij te houden.
En welke wetgeving vereist AH dan klantinformatie te bewaren?
https://www.belastingdien..._uw_administratie_bewaren

Iedere ondernemer is wettelijk verplicht zijn administratie 7 jaar te bewaren (fiscale bewaarplicht). Wij streven echter naar zo min mogelijk administratieve lasten en hanteren soms kortere bewaartermijnen. Hoe lang u uw administratie moet bewaren, hangt af van het belang dat wij hebben bij de verschillende soorten gegevens in uw administratie. Bepaalde onderdelen van uw administratie worden aangemerkt als basisgegevens. Daarbij moet u denken aan:

het grootboek
de debiteuren- en crediteurenadministratie
de voorraadadministratie
de in- en verkoopadministratie
de loonadministratie
De basisgegevens moeten 7 jaar bewaard blijven.


Dit is trouwens er van uitgaande dat iemand een aankoop heeft gedaan via de ah webwinkel, hoe dat zit als je in de supermarkt wat koopt en dan een mijn ah account aanmaakt weet ik niet. Denk dat dan dat ze de bewaarplicht niet kunnen gebruiken..

[Reactie gewijzigd door Watisdat op 25 oktober 2018 22:33]

ik ben toch wel benieuwd welke wet een supermarkt verplicht om informatie van je vast te houden? Ik kan me voorstellen dat ze moeten weten voor de in en verkoop wat er verkocht is en dat daar de juiste belasting voor afgedragen moet worden, maar waarom zijn ze verplicht mijn informatie vast te houden?
Je bent als bedrijf verplicht 7 jaar lang alle betaalgegevens (eg: factuur) te bewaren. Dus spullen die je online koopt bij de AH zullen denk ik tenminste die periode bewaard blijven. Overige zaken kan, voor zover van toepassing, je wel laten verwijderen.

Grappig is dat een factuur uitschrijven aan consumenten niet verplicht is; er is geen facturatieplicht. Maar doe je het wel, dan moet je ze naar mijn weten bewaren ook.
Je koopgedrag in de winkel is niet gekoppeld aan je pinpas, de pinautomaat geeft namelijk geen compleet rekening nummer door, alleen maar de laatste aantal karakters (zie je ook op de pinbon), en ook in de batch overboeking naar de retailer gebeurt dit niet.
volgens een analyst van AH die ik een keer tegenkwam wel, maar misschien heb ik dat verkeerd begrepen. wat je koopt wordt gekoppeld aan je pas maar ik weet niet precies aan welke gegevens. Ik dacht dat de kortings/klantenkaart daarvoor was maar dat is niet zo.
De bonus kaart is daar zeer zeker wel voor bedoeld en ingericht. Daarom krijg je, als je je bonuskaart serieus registreert, ook “persoonlijke aanbiedingen”.
De bonuskaart wel ja, maar je pinpas niet.
een vlag "verwijderd" en daarbij de volgende keer zeggen we weten niks van jou is natuurlijk altijd een optie.

Tenzij je uiteraard echt inzicht kan krijgen. En/of dit door derden gecontroleerd wordt.
Heel erg jammer dat deze tool niet voor België werkt ook. Ik kan echt maar weinig informatie vinden over hoe je als belg een juiste vraag stuurt die geldig is voor de GDPR.
Het meest gedetailleerde dat ik kon vinden voor België staat op de website van gegevensbeschermingsautoriteit.
Maar daar heb je dan niet de voorbeeldbrieven etc. zoals op de Nederlandse sites.
Fijn, als je cookies weigert op de website van de gegevensbeschermingsautoriteit, mag je de site niet meer op. Na een reload krijg ik een fijne redirect naar https://www.gegevensbeschermingsautoriteit.be/install.php en "Forbidden" _/-\o_

Anyway, je kan deze tool perfect ook voor België gebruiken. Zoals wordt aangegeven: het enige wat verandert door de landkeuze, is de lijst met bedrijven. En je kan perfect ook manueel gegevens van bedrijven ingeven. Het resultaat blijft exact hetzelfde...
Oh bedankt, dat had ik niet door.
Interessant: Ik probeerde Rabobank te vinden, en die zit er nog niet in, lijkt het. Maar toen probeerde ik de ING te vinden; ook niet te vinden. En dat terwijl ING als shortcut wordt weergegeven.
Dus óf ik doe iets verkeerd óf er gaat iets niet helemaal goed.
Vervelend dat mijn browser geblockt wordt. (Ik zit op dit moment op een werk PC, waar enkel IE 11 op geïnstalleerd staat.)
Er wordt gevraagd naar Firefox of Chromium. Gebruikers van andere browsers zijn blijkbaar niet welkom.
De website is ook bereikbaar via andere browsers zoals Chrome, Safari en Edge. We raden alleen twee open source alternatieven aan. :) IE wordt helaas niet ondersteund.
En wat mag de reden zijn om IE uit te sluiten? Dat lijkt me nog een veelgebruikte browser.
Je maakt een grapje? Naast het feit dat IE11 prehistorisch is, komt het gecombineerde totaal van IE én Edge nog niet aan 4% van het marktaandeel... https://www.w3schools.com/browsers/default.asp
MyDDR dus?

Grappige afkorting, in het perspectief van Privacy :)
Met de tool kan je niet alleen je gegevens opvragen, je kan ze ook laten aanpassen, verplaatsen of laten verwijderen.

[Reactie gewijzigd door OrangeTux op 25 oktober 2018 08:22]

Met de tool kan je niet alleen je gegevens opvragen, je kan ze ook laten aanpassen, verplaatsen of laten verwijderen.
Jammer dat de optie "bevriezen" er niet tussen staat. Er zijn voorbeelden waarin ik wel wil dat mijn gegevens in de DB blijven staan, maar zeker niet 'doorverkocht' mogen worden. Dit moet je volgens de AVG ook bij bedrijven kunnen melden.
Ja en de maker van de tool kan zo eenvoudig toegang krijgen tot privacy gevoelige informatie 😏
Volgens mij heb je de tool niet gezien. De tool genereert enkel tekst die je kan opsturen. Je moet zelf emailen of posten in de brievenbus. Er is geen enkel contact met de organisatie waar je het opvraagt.
Ik denk dat de verwarring ontstaat door "Daarnaast kunnen gebruikers met de tool hun gegevens corrigeren, verwijderen en exporteren.". Ik las dat ook met een idee van "Ohwww... Hoe dan?", want dat lijkt wel te suggereren dat je dus alle informatie te zien krijgt en die dan kan downloaden of zeggen "nee, dit moet aangepast worden". Zeker als je de tool zelf nog niet gezien hebt.

Als het enkel een tekstgenerator is (en je evt. na opvragen gegevens weer tekst kan laten genereren om zaken aan te passen) dan zou dat denk ik beter verduidelijkt kunnen worden in het artikel, want zo snap ik goed dat mensen het idee krijgen dat BOF die gegevens krijgt en je het daar dan kan inzien/wijzigen e.d.. (Dat leek me ook al raar van zo'n organisatie en quite the red flag. ;))

[Reactie gewijzigd door WhatsappHack op 25 oktober 2018 09:14]

Ah, ja, ik begrijp je.

Ik heb via RTL nieuws de tool gevonden, daar wordt het duidelijker uitgelegd.

Ik heb vanmorgen een aantal aanvragen verstuurd. Tevens geeft de tool bij organisaties die een systeem hiervoor ,hebben wat automatisch de gegevens bij elkaar raapt(zoals google), de link naar die pagina.
Ik denk dat als dat zo is, en dit naar buiten komt, dat het einde isvan BOF.
En het staat zover af van waar ze voor staan dat ik me dit niet voor kan stellen
Ligt het aan mij of is het enkel mogelijk om "Netherlands" te selecteren?
Uit de Contact pagina:
'At the moment there is only a version in the Netherlands that is managed by Bits of Freedom. You can contact Bits of Freedom at info@mydatadoneright.eu.'
Nee, heb ook enkel die optie. Zelfs voor de verandering mijn blockers eens afgezet maar neen..

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True