Consumentenbond: kwart van bedrijven reageert niet goed op AVG-inzageverzoek

Een kwart van de bedrijven reageert niet goed op een inzageverzoek onder de AVG, stelt de Consumentenbond op basis van een steekproef. De bond deed honderd inzageverzoeken bij verschillende organisaties, maar kreeg in veel gevallen te laat of een onvolledig antwoord.

De Consumentenbond voerde de steekproef uit in het najaar van 2022. De bond deed bij honderd willekeurige, Nederlandse bedrijven en instellingen een inzageverzoek over persoonlijke gegevens. Het ging om onder andere banken, winkelketens, energieleveranciers, telecomproviders en de Belastingdienst. Onder artikel 15 van de AVG kan iedere Europese burger een inzageverzoek indienen bij bedrijven of overheidsinstellingen om te zien welke informatie er over hem of haar bekend is. De Consumentenbond beriep zich in de steekproef op dat recht.

Bij zeventien van de honderd bedrijven werd het inzageverzoek van de Consumentenbond niet binnen een maand beantwoord. Bedrijven moeten binnen een maand in ieder geval reageren op een inzageverzoek, al mogen ze ook aangeven daarna nog twee maanden nodig te hebben voor het verzoek. Naast de zeventien bedrijven die niet reageerden, kreeg de Consumentbond van zes bedrijven een verkeerd antwoord terug. "Bij zes organisaties wordt de vraag verkeerd begrepen. We krijgen alleen een beschrijving van onze gegevens en niet de gegevens zelf. Of er ontbreken belangrijke zaken", schrijft de bond. Daarnaast ging er bij vier bedrijven iets technisch mis.

Bij elkaar waren er dus 27 bedrijven die niet adequaat op het inzageverzoek reageerden. De Consumentenbond heeft op zijn website ook een lijst geplaatst met daarop de bedrijven die te laat of niet reageerden.

IT-banen

Reacties (68)

WouterL 1 maart 2023 19:31

“ We krijgen alleen een beschrijving van onze gegevens en niet de gegevens zelf.”
Tja dit is toch een interpretatie fout van de Consumentenbond. Artikel 15 AVG strekt niet tot de verplichting om een integraal kopie; een overzicht/beschrijving van de gegevensverwerkingen volstaat ook in bepaalde gevallen.
Althans, dat is hoe Nederlandse rechters het interpreteren.
Zie ook:
https://uitspraken.rechts...s?id=ECLI:NL:RVS:2022:649

Tldr: artikel 15 AVG verplicht verwerkingsverantwoordelijken niet zonder meer tot het verstrekken van alle integrale documenten, mits een beschrijving/overzicht voldoende aanknopingspunten met zich meebrengt om te controleren of de gegeven conform AVG zijn verzameld/verwerkt.

[Reactie gewijzigd door WouterL op 23 juli 2024 04:19]

TimvandenBelt @WouterL • 1 maart 2023 20:32

Volgens mij wordt de uitspraak nu verkeerd geïnterpreteerd.

De verplichting een 'kopie van de persoonsgegevens’ te verstrekken op grond van artikel 15, derde lid, van de AVG, betekent dus niet dat een bestuursorgaan verplicht is een kopie te verstrekken van de documenten waarin die persoonsgegevens voorkomen. Een bestuursorgaan mag dat doen, maar het mag ook voor een andere vorm kiezen waarin de kopie van de persoonsgegevens wordt verstrekt, mits met de gekozen wijze van verstrekking maar aan het doel van artikel 15, derde lid, van de AVG wordt voldaan (zie ook Richtsnoeren 01/2022 van het Europees Comité voor gegevensbescherming, paragrafen 23, 150 en 153).

De rechter zegt dat als je om persoonsgegevens vraagt die bijvoorbeeld in documenten staan, je het document zelf niet hoeft te overhandigen. Dat laat onverlet dat je het persoonsgegeven an sich wel moet doorgeven. Dus een lijstje van de soort ('beschrijving') persoonsgegevens die verwerkt worden is onvoldoende, je moet ook de specifieke persoonsgegevens overhandigen. Meer mag (bijv. documenten), maar is niet noodzakelijk.

[Reactie gewijzigd door TimvandenBelt op 23 juli 2024 04:19]

R4gnax

algemene verordening gegevensbescherming
Privacy

@TimvandenBelt • 1 maart 2023 20:37

Precies; de verwerkers en verwerkingsverantwoordelijken zijn verplicht de persoonsgegevens die zij verwerken te overhandigen; maar zijn niet verplicht de volledige context aan document- en ander data-materiaal te overhandigen waarbinnen zij die gegevens verwerken.

Dit is ook belangrijk voor een ander lid in artikel 15; namelijk dat jouw recht om te weten welke gegevens over jou verwerkt worden, niet een negatief effect mag hebben op de rechten van anderen. Waaronder dus hun rechten onder de AVG. Dwz. dat bedrijven dus ook vanuit de AVG zelf, al verboden zijn om een rauwe datadump te overhandingen waar toevalligerwijs naast jouw gegevens ook gegevens van anderen of koppeling met gegevens van anderen tussen zit.

[Reactie gewijzigd door R4gnax op 23 juli 2024 04:19]

WouterL @TimvandenBelt • 1 maart 2023 21:06

Dat is exact wat ik zeg. Een beschrijving van is dus niet het feitelijk overhandigen van het document, maar kan ook een beschrijving van de persoonsgegevens in die documenten bevatten. Ergo, een beschrijving.

[Reactie gewijzigd door WouterL op 23 juli 2024 04:19]

PjotterP @WouterL • 1 maart 2023 21:09

Nee, een beschrijving volstaat niet, het gaat om de gegevens zelf, al dan niet geextraheerd van documenten waarin die gegevens zijn opgenomen. Maar de gegevens zelf dienen worden te verstrekt lijkt me. De context daarom heen en andere informatie die niet ziet op de persoongegevens zelf hoeft uiteraard niet te worden verstrekt (althans niet in dit kader).

[Reactie gewijzigd door PjotterP op 23 juli 2024 04:19]

WouterL @PjotterP • 1 maart 2023 21:14

Denk niet dat je begrijpt wat ik bedoel met omschrijving

Je zou bijvoorbeeld een kopie kunnen verstrekken met passages zwart gelakt van het originele document/dossier of een overzicht maken van de persoonsgegevens die je verwerkt in een overzicht (beschrijving). Althans, dat vind ik beschrijvend (toch?)
In praktische zin zou een helder overzicht meer inzicht bieden dan een klakkeloos rijtje met willekeurige persoonsgegevens, te meer om te controleren of conform artikel 5/6 AVG is verwerkt.

Stel ik verwerk uw gezondheidsgegevens in een willekeurig fictief dossier, dan is het volgende overzicht een stuk meer verhelderend dat losse stukjes persoonsgegevens:

In welk document?
…
…
Welke persoonsgegevens?
…
…
Welk doel en welke grondslag?

[Reactie gewijzigd door WouterL op 23 juli 2024 04:19]

McBacon @WouterL • 2 maart 2023 09:12

Iedereen begrijpt prima wat je bedoelt met omschrijving, het lijkt er eerder op dat jij niet snapt wat een "kopie" inhoudt. ;] Met het overzicht wat jij voorstelt weet je nog steeds niet exact welke data ze van je hebben, alleen wat voor gegevens ze bijhouden. Moeten de grondslag en wat voor soort gegevens ze verwerken sowieso niet van te voren al duidelijk zijn, dus voordat je de aanmelding definitief afrondt?

Anyway.

We verzamelen deze persoonsgegevens van je:
Naam
E-mailadres

Is dus niet correct, en het lijkt erop dat de Consumentenbond zo'n soort overzicht kreeg.

Dit zijn de persoonsgegevens die we van je hebben:
Naam: WouterL
E-mailadres: w@ut.er

Zoiets zou het minimaal moeten zijn. Toch wel belangrijk dat je weet wat de exacte data is die ze van je hebben.

[Reactie gewijzigd door McBacon op 23 juli 2024 04:19]

WouterL @McBacon • 2 maart 2023 09:18

Je zou denken dat een “kopie” helder is ja, maar dat rechters er nog steeds niet helemaal over eens zijn, zegt denk ik genoeg. Te meer omdat “kopie” nergens exact wordt omschreven. Dan blijft de vraag over: wat is dan voldoende omschreven? Ik denk dat jouw overzicht inderdaad in de buurt komt. In mijn voorbeeld heb ik overigens geen categorieën benoemd, maar zou je dus ook de exacte persoonsgegevens kunnen benoemen. Als de verwerking voldoende voorzienbaar is, dan zouden er geen verrassingen moeten zijn nee.

[Reactie gewijzigd door WouterL op 23 juli 2024 04:19]

McBacon @WouterL • 2 maart 2023 16:23

Ik heb net ook even de tijd genomen om de gelinkte uitspraak door te nemen, en daar staat het toch echt anders dan wat jij zei.

Het college heeft besloten overzichten te verstrekken van de verwerkte persoonsgegevens van [appellante]

Dit betekent dus: de gegevens zoals die uiteindelijk ergens zijn opgeslagen (het 2e lijstje uit mijn eerdere comment). Je kunt dit niet echt interpreteren als "wat voor gegevens verwerken we" (1e lijstje).

Het Gerechtshof concludeerde in rechtsoverweging 4.19 dat de verweerster in de zaak niet zonder meer recht heeft om door middel van de gegeven afschriften inzage te verkrijgen in de integrale documenten waarin haar persoonsgegevens zijn opgenomen.

Je moet het een beetje zien als: er is bijvoorbeeld iets opgeslagen waarin adressen van meerdere (ongerelateerde) personen staan, laten we even zeggen dat het gaat om een lijst met mensen met interesse voor een glasvezelaansluiting in een bepaalde wijk. Als jij om een kopie van jouw persoonsgegevens vraagt dan is het enige relevante van die hele lijst dus alleen jouw adres. De onduidelijkheid die benoemd wordt in de uitspraak komt dus neer op: welke vorm moet de kopie hebben (en niet of "we verwerken je adres" misschien ook al goed genoeg is)? Telt een simpel opsommingslijstje van jouw daadwerkelijke adresgegevens ook als kopie, of moeten ze dus die hele lijst doorsturen? Er is dus besloten dat dat laatste niet zonder meer van toepassing is, in dit voorbeeld ook logisch want jij hebt sowieso niks te maken met andermans gegevens. Was het nu zo dat je adres ergens los opgeslagen stond met een markering "interesse in glasvezel", dan mogen ze zelf kiezen of ze je gewoon het hele "ding" sturen.

Dat is toch heel wat anders dan:

een overzicht/beschrijving van de gegevensverwerkingen volstaat ook in bepaalde gevallen

WouterL @McBacon • 2 maart 2023 16:27

Ik zei niet wat voor, ik zei welke

Daar zou je m.i toch prima de exacte persoonsgegevens in kunnen zetten. Je zou daar bijvoorbeeld een tabel van kunnen opmaken. De vorm staat immers vrij, mits voldoende om aan te kunnen tonen dat de verantwoordelijke de gegevens rechtmatig heeft verwerkt.

[Reactie gewijzigd door WouterL op 23 juli 2024 04:19]

Arnoud Engelfriet @WouterL • 2 maart 2023 08:43

Leest niemand dan lid 3 van artikel 15 "De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt."? Dit is toch gewoon aanvullend op lid 1 waar je "uitsluitsel" krijgt.

Klopt dat je geen integrale documenten kunt krijgen omdat op pagina 18 je naam staat, maar bij bv IP-adressen zeggen "uw ip-adres wordt gelogd voor securitydoeleinden" is volgens mij dus geen adequate respons.

WouterL @Arnoud Engelfriet • 2 maart 2023 09:04

De vraag is dan, wat wel? Het IP adres zelf? Een willekeurig kopie of dump met daarin het IP? Oprecht een interessante vraag: hoe ga je daar op een manier mee om, dat betrokkene er daadwerkelijk ook iets aan heeft?

Arnoud Engelfriet @WouterL • 2 maart 2023 09:23

Ik zou zeggen: het IP-adres is pas een persoosngegeven in combinatie met tijd van toekenning en afname, dus de chronologische log van die tupels. Wat je eraan hebt? Het kan zeer handig zijn als een ander zegt dat jij toen en toen iets deed en daarbij met "jouw" IP-adres zwaait.

WouterL @Arnoud Engelfriet • 2 maart 2023 09:34

Waarom is een IP adres dan pas een persoonsgegevens? Ik dacht dat met de introductie van de AVG we dit contextvereiste hebben achtergelaten omdat de verordening persoonlijke identificatienummers expliciet heeft opgenomen in de definitie? Niettemin zal de door jou beschreven context zeker aanvullend noodzakelijk zijn in dit geval.
Althans, dat schrijf je in je blog van 6 februari 2018. Of is dat achterhaald?

Arnoud Engelfriet @WouterL • 2 maart 2023 11:03

Zonder datum/tijd is het gegeven toch niet aan iemand te verbinden? Ik ben vandaag online vanaf 192.168.1.1, morgen krijg jij dat adres van Ziggo en heb ik ineens 172.16.254.254. Dan is dus "192.168.1.1" geen IP-adres, maar {192.168.1.1, 02Mar23} is dat wel want dat gaat over mij.

WouterL @Arnoud Engelfriet • 2 maart 2023 11:21

Hier schrijf je wat anders:
https://blog.iusmentis.co...soonsgegeven-en-kenteken/

“ Dus niet “deze persoon is te herkennen door NAW-gegevens op te vragen voor het IP-adres 192.168.1.1” maar “deze persoon héét 192.168.1.1”. Het doet er dan dus niet meer toe of je ook nog andere identificerende gegevens te pakken kunt krijgen en hoe moeilijk dat is.”

[Reactie gewijzigd door WouterL op 23 juli 2024 04:19]

Arnoud Engelfriet @WouterL • 2 maart 2023 11:53

Dat gaat over de vraag of er meer nodig is voordat het een persoonsgegeven is. Nee: het IP-adres ís het persoonsgegeven, zo héét jij op internet. Maar zonder datum/tijd is een adres niet aan een persoon te koppelen. Maar ik heb 't aangepast.

WouterL @Arnoud Engelfriet • 2 maart 2023 11:55

Je snapt de strijdigheid van het geschrevene. Koppelbaarheid blijft dus wel een element om te bepalen of een IP een persoonsgegeven is. Helder!

Arnoud Engelfriet @WouterL • 2 maart 2023 12:37

Ja maar wacht: je hoeft niet aan een paspoort-naam te koppelen vooraleer sprake is van een persoonsgegeven. Iedere identifier is goed, dus { 127.0.0.1, 20230302:1236 } is een persoonsgegeven omdat ik nu dit IP-adres gebruik. Of jij weet wat in mijn paspoort staat of wat mijn T.net usernaam is, is irrelevant.

PjotterP @WouterL • 1 maart 2023 20:13

JIj hebt het over een 'interpretatiefout', maar deze Nederlandse rechterlijke interpretatie is zeer wonderlijk gelet op de letterlijke tekst van artikel 15 GDPR. Als een partij jouw persoonlijke data verwerkt, heb je recht op die persoonlijke data zelf (en niet alleen een overzicht of samenvattend uittreksel daarvan).

Ik vraag me in zoverre dus af of deze rechterlijke interpretatie op de langere termijn houdbaar is. Naar mijn bescheiden opvatting is deze interpretatie namelijk niet richtlijn-conform en wellicht meer een pragmatische doelredenering.

[Reactie gewijzigd door PjotterP op 23 juli 2024 04:19]

WouterL @PjotterP • 1 maart 2023 21:08

Het is inderdaad niet helemaal in lijn met bijvoorbeeld het Nowak EU arrest.

CivLord

@WouterL • 3 maart 2023 08:36

Een omschrijving kan op verschillende niveaus.

Je kan niet als omschrijving geven: "We gebruiken uw gegevens zoals naam, adres en geboortedatum in onze ledenadministratie."

Je kan wel zeggen:
"Deze gegevens hebben we van u geregistreerd:
Naam: Pietje Puk
Adres: Dorpstraat 1, 12345 AB Ons Dorp
Geboortedatum: 01-01-2000"

En vervolgens de omschrijving geven: "Deze gegevens van u hebben wij geregistreerd in onze ledenadministratie en hebben wij teruggevonden in uw brief van 1-1-2023 en onze brief van 1-2-2023."

Er hoeft geen printje uit de ledenadministratie vertsrekt te worden en ook geen kopiën van de brieven.

WouterL @CivLord • 3 maart 2023 08:44

Dat bedoelde ik inderdaad te zeggen:)

dasiro 1 maart 2023 19:13

wacht maar eens af tot ze weten hoeveel er niet kunnen voldoen aan het verwijderen van je gegevens en hoeveel van jouw data er alsnog in hun systemen achterblijft (bvb in backups).

Het probleem is dat die wetgeving is opgesteld los van de realiteit dat data enorm verspreid en niet geïndexeerd wordt opgeslagen/gebruikt vaak zonder dat bedrijven er zelf weet van hebben.

MenN @dasiro • 1 maart 2023 20:52

Wetgeving is ook een mooie manier om juist hier een verandering in te forceren. De tijd dat het bedrijfsbelang boven basale privacy voor je klanten staat kan niet snel genoeg voorbij zijn. Dit soort wetten dwingt bedrijven om hier gewoon rekening mee te houden als je weer iets nieuws gaat optuigen.

dasiro @MenN • 1 maart 2023 20:57

tja, het probleem voor het merendeel is dat de wetgeving niet enkel voor grote bedrijven van toepassing, maar élke "dataverwerker", zelfs je lokale turnkring of scouts die bestelde koekjes rondbrengen of nog maar gewoon een ledenadministratie hebben dienen er aan te voldoen.

Snow_King

@dasiro • 2 maart 2023 06:43

Precies. Het klinkt van achter het toetsenbord allemaal heel mooi om te roepen dat bedrijven zich moeten aanpassen, maar het geld voor echt van alles.

Een ledenadministratie met een Excel file waar ergens nog een oudere versie van staat valt hier ook onder. Om die processen allemaal strak te trekken gaat veel werken in zitten: Voor wat precies?

Iemand bij een club heeft er dan al snel geen zin in meer in om dit 'nutteloze' werk te doen terwijl hij/zij zich gewoon met de club bezig wil houden.

Bedrijven kiezen ook de makkelijkste route en weg van de minste weerstand. AVG/GDPR staat gewoon niet op 1 en zal het ook nooit worden. Als we dat wel gaan doen moet een bedrijf daar heel veel tijd (=geld) in steken en dan ben je of niet meer competitief of wordt je te langzaam/duur.

Nee, het is echt een utopie om te denken dat dit allemaal perfect geregeld gaat worden. Het idee van GDPR is goed en leuk, maar in de praktijk gaat het gewoon zo niet werken.

Arnoud Engelfriet @Snow_King • 2 maart 2023 08:46

"Voor wat precies"? Nou, voor de bescherming van die leden. Datalekken, misbruik van gegevens of gewoon slordigheden. Dat willen we niet meer als maatschappij dus daar gaat die club maar eens wat aan doen.

Bij financiële administraties heeft er ook vast niemand zin in, maar toch worden de bonnetjes bewaard en een jaarrekening gemaakt. Bij steeds meer verenigingen is een VOG nodig, of kopie ID, en dat gaat men dan ook regelen. Waarom is dat fundamenteel anders dan "gebruik een administratieprogramma en gooi oud-lidgegevens weg"?

En natuurlijk, als bedrijf A of club B het wél doet en C niet, dan heeft C een voordeel. Daarom moet iedereen het ook doen en moet er toezicht/handhaving komen dat iedereen het ook echt doet. Want als C een boete krijgt en een verwerkingsverbod (no tracking for you) dan staan ze juist op achterstand ten opzichte van B.

Snow_King

@Arnoud Engelfriet • 2 maart 2023 09:18

Ik snap jouw insteek helemaal en ben het er ook niet mee oneens.

Wat wel zien is dat het AP besloten heeft zich (nu) niet te richten op kleine organisaties en clubs, omdat het voor hen ook gewoon complexe materie is.

Ik ben niet tegen de AVG/GDPR, maar wel tegen de regeldruk die maar blijft toenemen voor ondernemers en verenigingen. Je moet met zo ontzettend veel rekening houden, dat maakt het er allemaal niet makkelijker op.

Ik kan gewoon heel goed begrijpen dat mensen (on)bewust niet zo bezig zijn met deze wetgeving.

CivLord

@Snow_King • 3 maart 2023 08:02

Je kan natuurlijk beginnen met zorgen dat elk programma voor leden/ klanten/ bedrijfsadministratie standaard een AVG-export en -wis functie krijgt. Dat lost al een hoop problemen op voor de kleineren bedrijven/ verenigingen.

PjotterP @MenN • 1 maart 2023 22:06

Precies!

mijsk1974 @MenN • 2 maart 2023 14:04

Het vervelende is dat iedereen aanneemt dat het inherent is aan ergens klant worden. Dat ze je gegevens nodig hebben.
Stel ik koop wat online. Men heeft mijn naam & adresgegevens nodig. Op het afschrift wat ze krijgen staat ook doorgaans mijn rekeningnummer of anders de gegevens van het medium wat ik heb gebruikt om te betalen. Die gegevens moet men opslaan omdat men simpelweg een administratie moet voeren.
Voor de boekhouding, de BTW afdracht, de belastingcontrole, om mijn recht op garantie of service te bewaken. Een beetje bedrijf heeft daarbij dan ook nog eens een backup van die data.
En dat is slechts een simpel voorbeeldje. En dat vinden wij normaal. Maar dat is het niet.
Mijn adres heeft men alleen nodig voor de bezorging. Na gebruik wissen.
Mijn e-mail en telefoonummer heeft men ook niet nodig, niet opvragen of na gebruik wissen.
Mijn naam... tja en dan? Wat moeten ze daar mee? Als bewijs van verkoop? Dacht het niet.

Opa schraapt zijn keel: vroegah liep ik een winkel in. Koos ik een artikel, betaalde ik contant en kreeg ik een bonnetje mee. RMA proces was beperkt tot "zonder bon niet ruilen en geen garantie". Kocht je een groot product met meerdere jaren garantie dan moest je even een kaartje insturen met je gegevens. Daar hoorde je nooit meer wat van, met uitzondering van wellicht een keertje een aanbod om extra garantie te kopen.

Het is alleen naar de kl

te gegaan toen alles perse in een computer moest. Dat zou het makkelijker maken. Kijk eens hoe makkelijk een spreadsheet is (de eerste ja, die hadden hooguit 5 kolommen). En voor een IT-er is er niets zo opwindend als een leeg vakje. Hoe meer hij er kan vullen hoe meer opgewonden hij raakt. Want dan heeft hij data waarmee hij lekker kan freubelen. En data is fijn want dan kan je makkelijk kopiëren en verspreiden en het geeft betekenis aan de kleurtjes van je dashboard.
En als er opeens ook nog een verdienmodel aan data wordt gehangen dan is hij niet de enige meer die opgewonden raakt want dan komt de marketing afdeling ook lekker aan z'n trekken.

Men moet eens goed bepalen welke data eigenlijk nodig is alvorens een systeem te bouwen want de knoop ontwarren van de huidige systemen gaat niemand lukken. En dan een separaat systeem bouwen voor de data die je gebruiken wil als commercieel middel.

Ze hadden beter een verbod op de handel van data kunnen regelen. Vroeger was jouw data van jou en de belastingdienst, basta. Nu is jouw data een commodity en moet je zelfs moeite doen/betalen om die privé te houden, wat je nooit lukt als je ook nog aan het maatschappelijke leven wenst deel te nemen.

Die AVG wet is onnodig complex en ontworpen om ons een gevoel van schijnveiligheid te geven.
Ondertussen zitten we met z'n allen elke keer op dezelfde sites aan te geven dat ze onze gegevens niet moeten opslaan en ze geen cookies mogen plaatsen (ironisch genoeg omdat we dat doen krijgen we ook constant de vraag).

CivLord

@mijsk1974 • 3 maart 2023 08:26

NAW gegevens blijven nog minimaal 7 jaar nodig voor controle door de fiscus. Zolang een boekjaar nog gecontroleerd kan worden door de Belastingdienst, moeten verstuurde facturen geverifieerd kunnen worden. Een factuur van € 10.000 voor het aanleggen van een straatje moet geverifieerd kunnen worden bij de opdrachtgever, wanneer er bijvoorbeeld een vermoeden bestaat dat de onderneming een alternatieve, illegale, inkomstenbron heeft, die met nep-facturen witgewassen wordt.

xMuchux

@dasiro • 1 maart 2023 22:57

Niet geheel oneens, maar zoals MenN ook al aangeeft het forceert ook kleinere ondernemers/bedrijven om eens anders te denken over data. Waarom zou je als ondernemer of klein bedrijf niet weten hoe je data verwerkt van klanten via jou of via een partij die jij mee in zee bent gegaan.

Zelf vind ik het een beetje makkelijk denken dat je “niet van af weet”, educatie speelt hier een grote rol, maar het is ook een kwestie van interesse. Want als je het zelf niet weet, dan kun je vast wel iemand vinden (of inhuren) die er vast wel iets meer van weet.

dasiro @xMuchux • 2 maart 2023 08:31

Vroeger had je bij ons in België een vak bedrijfsbeheer, waarvoor je een apart diploma kreeg. Had je dit niet, dan kon je geen bedrijf starten. Ondertussen is dat niet meer nodig en kan iedereen die handelsbekwaam is er eentje starten. Er is geen enkele vormingsvereiste meer (zelfs niet de taal machtig zijn of lezen&schrijven), terwijl de regels waaraan je moet voldoen enorm complex zijn, dus ja educatie speelt een grote rol, maar tegelijk is de vorming veel ingewikkelder en ontoereikender dan ooit. quasi de hele economie zou stilvallen als de vereisten worden enforced.

Het is dus inderdaad makkelijk om er "niet van af te weten", maar tegelijk is het extreem moeilijk om er wél van af te weten.

voorbeeld 1 de opzet: Je zou al een centrale relationele database met tombstoning en een access/export-log moeten hebben met data loss prevention waar al je communicatie op gebaseerd is.

voorbeeld 2 melding: Als je nog maar een sms/whatsapp stuurt dat je wat later bent of een bedankje stuurt en je verliest je telefoon tijdens een avondje uit, dan zou je al een melding moeten doen aan al je klanten die je ooit iets hebt gestuurd en bij de AVG/GDPR-instantie moeten melden.

zie je die 2 al gebeuren door iemand die taartjes verkoopt of mensen helpt om hun tuintje te onderhouden? Die gaan ook niet op dezelfde manier een GDPR-manager inhuren zoals ze nu een boekhouder vinden.

xMuchux

@dasiro • 2 maart 2023 13:42

Eens met alles wat je zegt en het zal altijd een balans moeten zijn. Sowieso is controle op naleving toch niet mogelijk op iedereen en alles.

Toch ben ik van mening dat mensen anders over data dienen te denken (of huren ze een IT-er in die daar iets van af weet), ook kleine ondernemers, want als ze dat niet doen, doen klanten uiteindelijk geen zaken meer met deze personen (of accepteren ze het risico). Hetzelfde geldt voor toen wanneer ondernemers de boekhouding niet goed deed.

Al met al, educatie, educatie, educatie is het enige wat helpt hier. Via een diploma, overheidscampagnes of zelfs beter, medeondernemers!

CivLord

@dasiro • 3 maart 2023 08:10

In Nederland had je het Ondernemersdiploma.
Daar kon je een aparte opleiding voor volgen waarin je de beginselen van administratie, boekhouden etc. leerde.

Je hebt tegenwoordig veel kleine bedrijven die goed zijn in hun core-business (of denken goed te zijn), maar totaal geen kaas gegeten hebben van ondernemen (alles wat er nodig is om van die business een bedrijf te maken).

mijsk1974 @CivLord • 3 maart 2023 11:19

Jong volwassenen worden voor part-time baantjes gemotiveerd om zich in te schrijven als ZZP.
Soms met een hoog bruto uurloon maar in ieder geval als schijn zelfstandige.
Velen gebruiken hun bruto inkomen als netto... tot de belastingdienst komt en ze zich realiseren dat meer dan de helft niet van hen is. Geen benul van belanstingwetten, gek genoeg wel als de kippen erbij wanneer ze kosten kunnen afschrijven, dat dan weer wel.
Maar goed, opa raakt off-topic.

supersnathan94

@dasiro • 2 maart 2023 09:09

Anonimiseren van data is dan ook iets wat gewoon simpelweg niet kan omdat systemen daar gewoon niet voor gebouwd zijn. Het is vaak makkelijker om alles te houden zoals het is en er een fake user aan te hangen, maar ook dan heb je misschien nog inhoudelijke zaken (zoals verstuurde brieven) die je niet zomaar aan kunt passen (want PDF op een write once filesystem) en bijvoorbeeld facturen waar je sowieso 7 jaar bewaartermijn op hebt zitten.

peewee. 2 maart 2023 08:36

Hoe zit dat eigenlijk met zaken als een ip-adres? Als ik bij mijn provider een verzoek om inzage opvraag, zou ik dan ook al mijn ip-adressen moeten kunnen inzien voor zolang als de bewaartermijn is (of langer, als ze langer bewaard blijken te zijn)?

Arnoud Engelfriet @peewee. • 2 maart 2023 08:41

Een IP-adres is een persoonsgegeven dus als ze die logs nog hebben dan moeten ze jou daar inzage in geven.

Blacklight447 1 maart 2023 18:36

Ik heb zo'n gevoel dat veel bedrijven ook domweg niet weten hoe ze zouden moeten reageren. Grote bedrijven hebben privacy officers en what not, maar in het MKB of bij ZZPers is de kennis er vaak gewoon niet.

We zullen moeten blijven hammeren op voorlichting.

Oon

@Blacklight447 • 1 maart 2023 18:49

Ook grote bedrijven voldoen vaak niet aan de wetgeving, er zijn genoeg bedrijven die een paar miljoen per jaar aan omzet doen maar waar je nog niet automatisch je gegevens kunt opvragen. Die moet je dan via hun support mailen, wijzen op de wet, en dan krijg je met geluk een paar werkdagen later een handmatige export van de gegevens die de betreffende supportmedewerker heeft kunnen opgraven.

Snow_King

@Oon • 2 maart 2023 06:47

Waarom zou je dit hele proces automatiseren als bijna niemand hier om vraagt? Dan is het via de support laten verlopen gewoon het makkelijkste.

Kosten-baten gaat ook hier op. Als niemand om de gegevens vraagt, dan ga je ook geen tijd steken in dit proces.

wiseger @Snow_King • 2 maart 2023 11:07

Nou nee, via support laten lopen is extreem lastig. Het probleem zit hem in de eerdere verdere verwerking van de gegevens. Bij bedrijven zijn die zelden op één medium opgeslagen. Gegevens worden vaak naar verschillende systemen gerepliceerd.

Verder komen de gegevens vaak in back-ups terecht. Die regelmatig voor langere tijd bewaart worden en soms teruggezet worden, waardoor de gegevens weer opduiken.

Het automatiseren van het proces is eigenlijk meestal de enige mogelijkheid om aan een verzoek te voldoen.

Snow_King

@wiseger • 2 maart 2023 12:00

Backups is sowieso een uitdaging, want daar kan je niets uit verwijderen. Je gegevens zijn bij een bedrijf die jou een factuur stuurt sowieso nog 7 jaar aanwezig omdat een bedrijf zo lang zijn facturatie gegevens moet bijhouden.

Maar dan kom ik weer terug op het nut van het volledig automatiseren: Er komen amper zulke verzoeken binnen, waarom zou een bedrijf dat volledig gaan automatiseren dan?

Het is altijd kiezen waar je je tijd aan besteed, een dergelijk proces zal zeker niet op #1 staan bij bedrijven.

wiseger @Snow_King • 2 maart 2023 12:40

Als er een factuur verstuurt is, dan is de retentie 7 jaar. Maar als er nimmer een factuur verstuurd is, dan is er geen retentie en zullen de gegevens op verzoek verwijderd moeten worden.

Heel veel bedrijven bewaren de gehele database back up als retentie back up inclusief de gegevens van personen waar geen wettelijke bewaartermijn op van toepassing is.

Het nut is dat manuele verwerking bijna onmogelijk is omdat de helpdesk waarschijnlijk helemaal niet begrijpt waar alle gegevens bewaart worden. Inzicht in alle datastromen is erg lastig, zeker bij grotere bedrijven. En dan heb ik het nog geeneens over de business die in e-mails en Excel sheets gewoon AVG relevante gegevens opslaat.

Automatiseren kan je dan veel hoofdpijn besparen. Is het eenmaal goed ingeregeld, dan is het verwerken van verzoeken een fluitje van een cent.

Snow_King

@wiseger • 2 maart 2023 16:22

Maar nog steeds: Data uit backups verwijderen is gewoon niet te doen. Daar zal het dus altijd nog in staan. Als een bedrijf besluit een backup een jaar te bewaren staat daar je data dus gewoon nog in. Die ga je er niet uit krijgen.

Excel sheets in mailboxes idem. Daar moet je mensen op wijzen dit niet te doen, maar toch gebeurd het nog en zal het ook blijven gebeuren.

Maar de vraag nog steeds: Waarom zou een bedrijf de moeite er in steken dit proces te automatiseren voor die enkeling die er om vraagt?

HakanX @Oon • 1 maart 2023 20:57

Grote kans dat zo'n bedrijf ook niks met je gegevens doet blijkbaar, anders hadden ze al wel een automatisering klaarstaan.

PjotterP @HakanX • 1 maart 2023 21:23

Dat een bedrijf de automatisering heeft om gegevens voor bedrijfsdoeleinden te verwerken (en dat doet) betekent niet dat het bedrijf ook de processen ingericht heeft om snel en efficient gegevens aan personenen te verstrekken die daarom vragen.

Tortelli

@Blacklight447 • 1 maart 2023 19:51

Grootste probleem voor mkb is dat er zo waanzinnig veel regels zijn dat ze onbewust ongetwijfeld ergens niet van op de hoogte zijn. Dit soort zaken vallen daar absoluut onder.

[Reactie gewijzigd door Tortelli op 23 juli 2024 04:19]

CivLord

@Tortelli • 3 maart 2023 07:45

Grootste probleem van MKB (vooral de kleinere bedrijven) is dat ze wel goed zijn in hun core-business, maar vaak erg slecht in ondernemen (alles buiten die core-business wat nodig is om van een bedrijf een bedrijf te maken). Alles waarvan ze weten dat het nodig is besteden ze vaak uit aan een administratiekantoor/ arbodienst/ incassobureau. Er is echter geen enkele dienst die je in kan huren om een AVG-verzoek voor je af te handelen.
En tenzij er flink hebt geïnvesteerd is in een bedrijfsbrede alles-in-één oplossing voor klantcontact, orderbonnen en facturering zal iemand handmatig alle relevante systemen door moeten spitten op jacht naar persoonsgegevens.

Diagoras @Blacklight447 • 1 maart 2023 23:15

Je kunt de lijst van de consumentenbond dus gewoon inzien, zoals in het artikel staat. Daar staan gewoon grote bedrijven en instanties in, zoals ASN bank, Blokker, VodafoneZiggo, Eneco, T-Mobile, etc.

Daar zit ook de focus op vanuit het AP, kleine bedrijfjes en ZZP'ers worden momenteel nog met rust gelaten (En gezien de beperkte capaciteit van het AP, zal dat nog wel even zo blijven).

Snow_King

@Diagoras • 2 maart 2023 06:44

En terecht dat het AP dat doen. Kleine bedrijven hebben zich echt al om genoeg druk te maken.

Noshi 1 maart 2023 19:05

Bekend verhaal.

Bedrijven die mij opeens/ongewenst inschrijven voor de nieuwsbrief krijgen standaard een vergeet verzoek. Er zijn al meerdere bedrijven die ik via de AP heb moeten aansporen om hun werk goed uit te voeren.

SPee @Noshi • 1 maart 2023 19:56

Er zijn al meerdere bedrijven die ik via de AP heb moeten aansporen om hun werk goed uit te voeren.

Laat me raden: recruiters.

Ondanks de "verwijder mijn gegevens" wordt ik elk half jaar wel eens gebeld (door dezelfde firma).

M.l. @SPee • 1 maart 2023 20:39

1 keer aangifte stalken en het gebeurt niet meer

WybrenPC @SPee • 1 maart 2023 21:31

Als student wordt je zo nu en dan nog wel is verplicht om je telefoonnummer achter te laten bij een recruiter voor bepaalde activiteiten (die dan door de desbetreffende recruitment instantie gesponsord wordt).
Gelukkig heb je met een beetje speurwerk op linkedin zo het 06 nummer van hun eigen secetaresse te pakken, of die van een andere recruiter.

Altijd leuk wanneer je dan een paar weken later opeens mailtje krijgt met de vraag of je telefoonnummer niet is gewijzigd.

vickypollard @WybrenPC • 1 maart 2023 22:58

Mijn 06-nummer is over het algemeen 0612345678 als deze onnodig gevraagd wordt

bbr 1 maart 2023 19:38

Zou toch wat zijn als elk van ons paar miljoen klanten dit verzoek deed,. dat zou veel te veel tijd en geld kosten. Of mag je daar onderzoekskosten voor rekenen?

[Reactie gewijzigd door bbr op 23 juli 2024 04:19]

R4gnax

algemene verordening gegevensbescherming
Privacy

@bbr • 1 maart 2023 20:42

Voor de eerste kopie die een betrokkene verzoekt, niet. Voor een vervolgkopie mag een bedrag gerekend worden corresponderend met de werkelijk gemaakte administratieve kosten voor die kopie.

Het opstellen en verstrekken van deze kopietjes is een verwerking; waarvan dus bij gratie van andere artikelen uit de AVG op datum in een log vastgelegd moet zijn welke gegevens er voor welk doeleinde verwerkt zijn. Dwz. die log is een uitdraai van alle gegevens an sich. Hierdoor zou het overhandigen van een vervolgkopie dus van rechtswege altijd een relatief triviale handeling moeten zijn waar maar zeer weinig kosten mee gemoeid kunnen zijn.

'Onderzoekskosten' kunnen dus niet als afschrikmiddel gebruikt worden.

[Reactie gewijzigd door R4gnax op 23 juli 2024 04:19]

SRI 1 maart 2023 18:45

Wat ik me ook altijd afvraag is, hoe weet je zeker of je alle gegevens krijgt?

Met grote bedrijven zoals Meta en Alphabet gaat het om zoveel data. En krijg je dan ook de informatie die zij 'gegenereerd' hebben of blijft dat geheim. Het is gewoonweg niet te controleren dat je daadwerkelijk alles krijgt.

Cowamundo @SRI • 1 maart 2023 20:35

Niet, net als dat je niet kan controleren of een bedrijf wel echt al jouw gegevens heeft verwijderd na verzoek daartoe en niet nog ergens een (dan wel “geanonimiseerde”) kopie heeft.

HakanX @SRI • 1 maart 2023 21:01

Die krijg je zeker niet. In het begin kreeg je bij bedrijven als Facebook/Meta ook gegevens (foto's) die "verwijderd" waren. Wordt natuurlijk niet echt verwijderd, krijgt alleen een flag invisible for user. Was een oops moment dat ze "gefixt" hebben, nu ontvang je verwijderde content niet meer bij gegevens opvragen, maar die staan nog altijd rustig op de servers.

CivLord

@SRI • 3 maart 2023 07:56

De meeste bedrijven gebruiken alleen je NAW gegevens en leeftijd.
Bestelgeschiedenis is strikt genomen geen persoonsgegeven en hoeft dus niet afgegeven te worden bij een inzageverzoek.
Wanneer je deze gegevens dus krijgt na een inzageverzoek bij Bol.com, hebben ze aan hun verplichting voldaan.

Je gegevens kunnen wel in verschillende systemen gebruikt worden en als je ook verzoekt om je te zeggen voor welke doeleinden je gegevens gebruikt worden, zullen ze dat ook moeten doen.

Bij sociale media is het probleem wat groter, omdat posts persoonsgegevens kunnen bevatten. Daarom geven ze je vaak een dump van alles wat jij ooit gepost hebt. Ik vermoed echter dat alle informatie die ze via tracking cookies over je verzameld hebben en via derden hebben gekregen voor zichzelf zullen houden.

Roel1966

1 maart 2023 19:28

Voor grote bedrijven is er eigenlijk geen echt excuus dat men niet echt weet hoe ze moeten reageren op een AVG-inzageverzoek. Deze bedrijven hebben of horen in elk geval genoeg bekwaam personeel in dienst te hebben die weten hoe dat moet. Maar vooral voor kleine MKB'rs en ZZP'ers of kleine verenigingen en stichtingen is het een heel ander verhaal.

Ik zit zelf in het bestuur van een relatief kleine vereniging en heb mij moeten verdiepen in het hele AVG gebeuren. Dit is geen gemakkelijke taak en soms is het zelfs zeker al binnen een vereniging soms onwerkbaar. En tja je loopt ook vaak tegen onbegrip op wanneer je mensen duidelijk moet maken dat je niet zomaar info mag verschaffen. Zo van heb je even het mailadres van die en die en dan moet ik helaas nee verkopen zonder toestemming van die persoon. Ergens is dan een AVG-Inzageverzoek nog het meest gemakkelijke.

Frame164 1 maart 2023 19:49

Dus statistisch werken 2 van de 8 reageerders hierboven bij een bedrijf dat er niet goed mee om gaat.

Sando 1 maart 2023 23:25

Kan dit bij Tweakers.net inmiddels geautomatiseerd en digitaal? Of krijg je nog steeds een duur pak papier in de brievenbus?

Op dit item kan niet meer gereageerd worden.

Consumentenbond: kwart van bedrijven reageert niet goed op AVG-inzageverzoek

Lees meer

IT-banen

Reacties (68)

Sorteer op:

Weergave: