N.a.v. de Odido hack ben ik al mijn accounts aan het langs gaan.
In mijn
vorige post heb ik daarover aangegeven dat ik eerst kijk of ik het account van de webshop of website überhaupt nog gebruik.
Ongemerkt heb ik de afgelopen ca. 25 jaar behoorlijk wat accounts opgebouwd.
Eerst even wat statistieken.
Van de opgebouwde accounts (excl Digid) blijkt dat:
- 2,5% is overgenomen of onder andere naam is doorgegaan, maar het account niet is meegegaan
- 7,5% niet meer bestaat (vrijwel altijd failliet).
- 10% het account zelf heeft verwijderd door inactiviteit, of het is vervallen door een update/migratie van hun online omgeving
- 80% bestaat en werkt nog.
Opheffen accounts
Om diverse, in mijn vorige post genoemde redenen waarom ik deze accounts niet meer wil gebruiken, ben ik nu vergevorderd om ca. de helft van de resterende, nog werkende accounts op te heffen.
Zoals beloofd hierbij mijn ervaringen met “het recht om vergeten te worden” (artikel 17 AVG).
LET OP:
Het verwijderen van een account via een optie in het online account kan, maar hoeft zeker niet altijd hetzelfde te zijn als het uitoefenen van je recht om vergeten te worden conform artikel 17 AVG.
Lang niet alle websites geven bij de online optie tot verwijderen van het account aan of hierbij daadwerkelijk alle informatie wordt verwijderd die het bedrijf over je heeft. Het zou best kunnen zijn dat alleen de online toegang tot het account uitgeschakeld wordt.
Dit uiteraard nog los van wettelijke verplichtingen dat bepaalde informatie bewaard moet worden voor bijvoorbeeld de belastingdienst.
Ik ben hier zelf pragmatisch mee omgegaan door bij accounts waar niet duidelijk is wat verwijderd wordt, en/of het om bepaalde info gaat, alsnog een verzoek per e-mail in te dienen op basis van artikel 17.
Indienen verzoek- Vooral de echt grote, internationale/wereldwijd opererende (dienstverlenende) bedrijven hebben in de online omgeving gebruiksvriendelijke en geautomatiseerde mogelijkheden om je AVG-rechten uit te oefenen, waaronder het opvragen van de informatie en het verwijderen.
- Sommige hiervan hebben een aparte Privacy-omgeving, los van je reguliere account, om verzoeken te doen en de status te volgen.
- Vrijwel geen enkel Nederlands bedrijf biedt een online mogelijkheid tot verwijderen. Je zult het Privacy-statement in moeten duiken om contactgegevens te zoeken. In vrijwel alle gevallen is dit makkelijk te vinden.
- In veel gevallen wordt het verzoek door de eerstelijns klantenservice afgehandeld.
- In enkele gevallen wordt het verzoek door de eerstelijns doorgezet naar een specifieke (privacy)afdeling.
- In enkele gevallen moet rechtstreeks naar de privacy officer gemaild worden.
- Ik heb nog nooit een kopie ID hoeven mailen om aan te tonen dat ik het was. Ik benoemde wel zoveel mogelijk gegevens zoals klantnummer en/of adres, voor zover bekend bij de webshop.
- Tip: neem gelijk in je verzoek op dat je akkoord bent dat alle persoonlijke gegevens gewist worden en dat je beseft dat dit onomkeerbaar is. In het begin had ik dit niet en kreeg ik dus de vraag terug om verwijdering te bevestigen. Dat scheelt weer een mail en doorlooptijd.
Reactiesnelheid- De grotendeels geautomatiseerde systemen van de grote bedrijven zorgen ervoor dat e.e.a. snel is afgehandeld. Vaak zit er nog wel een bedenktermijn aan gekoppeld voordat je account/gegevens echt verwijderd worden.
- De snelheid van reactie op en afhandelen van verzoeken heeft mij overwegend positief verrast. Ik heb vrijwel altijd reactie gekregen. Veelal werd het verzoek binnen enkele dagen afgehandeld. Een enkele keer werd aangegeven dat dit langer kon duren maar nog wel binnen de maand volgens AVG. Of werd aangegeven dat men langer de tijd nodig had (de AVG voorziet in verlenging van 1 maand).
- In een enkel geval leek het verzoek wel uitgevoerd, maar geen bevestiging gemaild. Inloggen was in ieder geval niet meer mogelijk. Aannemelijk heeft men niet meer geantwoord omdat men ook je mail met verzoek verwijderd en dus je gegevens niet meer heeft om te antwoorden.
Inhoud reactie- Ondanks mijn expliciete verzoek om aan te geven welke informatie niet verwijderd is en om welke reden, werd dit slechts in een enkel geval expliciet gedaan. Meestal ontvang je een korte standaard reactie, waarin een voorbehoud wordt gemaakt voor de “wettelijke bewaartermijnen” , meestal met als voorbeeld facturen, zonder de specifieke informatie te omschrijven en/of naar de specifieke relevante wetgeving te verwijzen. Dit valt op bij accounts waar de meest recente bestelling al meer dan 7 jaar geleden is, overduidelijk wordt er een standaard sjabloon gebruikt voor de reactie.
- Bij een Duitse eenmanszaak werd op mijn verzoek om vergeten te worden in het antwoord, naast de bevestiging, ook een PDF met al mijn gegevens gemaild (vergelijkbaar wat je bij een verzoek om informatie zou krijgen). Dit is het enige geval waarin dit gedaan werd. Bovendien werd hier door de beste man een ernstige fout gemaakt en de gegevens van een andere klant met een enigszins vergelijkbare naam naar mij gemaild (!). Dit werd direct door hem opgemerkt en hersteld, maar het kwaad was natuurlijk geschied. Wel opvallend dat het juist bij een Duits bedrijfje gebeurd, daar waar Duitsers nogal op hun privacy gesteld zijn.
- Bij een financiële dienstverlener/prijsvergelijker werd gereageerd met de wettelijke bewaartermijnen, die nog niet verstreken waren. LET OP: een beroep op artikel 17 AVG werd hier niet geïnterpreteerd als verzoek om het online account te verwijderen. Een online klantaccount lijkt mij niet nodig om aan hun wettelijke bewaartermijnen te kunnen voldoen. Verwijdering van mijn account heb ik daarna alsnog verzocht. Dit loopt nog, omdat ik nog steeds kon inloggen, zelfs na bevestiging van hun kant van verwijdering van het account. In reactie geeft men aan dat dit hoort omdat het account na een inlogpoging weer geactiveerd wordt, omdat zij nog gegevens van mij moeten bewaren…. Zucht. Kortom een vaag verhaal waar ik hier ook nog wel eens apart over zal posten om een juridische brief te sturen.
Bijzonderheden- Bij twee banken/financieel dienstverleners waar ik een aantal jaren geleden mijn rekening had opgezegd bleek ik in de online omgeving te kunnen inloggen, en daar o.a. mijn NAW en geboortedatum te kunnen zien. Na mijn verzoek heeft men het online account gedeactiveerd.
- Ook bij energiebedrijven en internetproviders is het blijkbaar gebruikelijk dat je account actief blijft, ook al heb je opgezegd. Eigenlijk raar want je bent geen klant meer, maar In je online profiel zijn NAW, e-mail, telefoonnummer, geboortedatum te vinden, meestal ook facturen en heb je vaak nog een klantnummer.
- Bij energiebedrijven viel mij op dat sommige nog meer informatie in het dashboard hebben staan zoals historische gebruiksgegevens. Overigens lijkt hier wel een positieve ontwikkeling in te zijn, bepaalde gegevens die ik eerder zag is er nu niet meer te vinden. Alhoewel dat ook zou kunnen komen doordat er meer tijd is verstreken sinds moment van opzegging.
- Ik heb nog verzoeken lopen bij een internetprovider (reageert niet inhoudelijk) en een energieleverancier dus kan hier nog geen conclusies trekken.
Controle- Ik heb gecontroleerd of aan mijn verzoek is voldaan door simpelweg proberen in te loggen.
- Ik heb geen aanvullende AVG-verzoeken gedaan, om te toetsen of ze daadwerkelijk geen informatie meer van mij hebben. Wellicht ga ik dat, in de toekomst als steekproef bij een paar accounts doen.
Een paar zaken lopen momenteel nog:
- een financiële dienstverlener in NL houdt online omgeving toegankelijk in het kader van wettelijke bewaartermijn. Toegang tot deze omgeving lijkt mij niet noodzakelijk voor de wettelijke bewaarplicht.
- Een internetprovider heeft, na uitstel, nog niet inhoudelijk gereageerd.
- Een NL crowdfunding platform heeft überhaupt niet gereageerd op e-mail en herhalingsmail, ook niet op mail gericht aan het moederbedrijf. (Gelukkig hier geen investeringen lopen).
- Een buitenlandse shop heeft überhaupt niet gereageerd op e-mail, ook niet na herinnering.
Digid:
- Ik heb nog niet naar accounts met inlog via Digid gekeken (bv oude zorgverzekeraars (ivm jaarlijks overstappen)
TL;DR
Samenvattend is mijn ervaring met artikel 17 AVG “recht om vergeten te worden” verzoeken overwegend positief. Bij grote (internationale) bedrijven makkelijk via een online omgeving, bij webwinkels en overige per e-mail. Geen noodzaak tot opsturen kopie ID.
Bij banken/financiële instellingen, energieleveranciers, internetproviders opletten: online account blijft mogelijk actief en toegankelijk en vraagt expliciet verzoek tot uitschakelen.