Toon posts:

Persoonsgegevens laten vernietigen: hoe in de praktijk?

Pagina: 1
Acties:

maandag 22 oktober 2018 21:28

Acties:
  • 0Henk 'm!
  • RemcoDelft
  • Registratie: April 2002
  • Laatst online: 17:31

RemcoDelft

Topicstarter
In het kort: Een organisatie heeft ongevraagd persoonlijke gegevens opgeslagen. Ze hebben ondertussen door dat dit niet correct is, en ze bieden aan het dossier te vernietigen.

De recente privacywetgeving heeft het over "vernietigen", en de organisatie moet z'n processen zo inrichten dat ze dat kunnen. Echter: deze organisatie heeft hun eigen privacyreglement al meerdere keren overtreden, dus ik heb er weinig vertrouwen in dat ze dit wel goed kunnen afhandelen. Gewoon "delete" lijkt me onvoldoende gezien de aard van de gegevens. DIN 66399 heeft het bijvoorbeeld over een het versnipperen van gegevensdragers. (en hoewel het me nu voornamelijk om mijn eigen gegevens gaat, lijkt het me interessant om te weten hoe hier mee omgegaan moet worden. Ik vermoed dat de meeste bedrijven hier nog geen implementatie voor hebben).

Ik wil eigenlijk dat elk spoor van gegevens vernietigd wordt, en dan denk ik aan:
Members only:
Alleen zichtbaar voor ingelogde gebruikers. Inloggen


Zoals ik de wetgeving interpreteer, zou de organisatie zelf bovenstaande lijst al moeten aflopen en alles vernietigen. Ik kan me echter niet voorstellen dat ze dat doen (ik verwacht dat ze alleen "delete" drukken en het dossier verwijderen).
Mijn vraag: hoe ver kan ik gaan in het stellen van eisen, en wie heeft hier ervaring mee?

maandag 22 oktober 2018 21:45

Acties:
  • 0Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

RemcoDelft schreef op maandag 22 oktober 2018 @ 21:28:
...Mijn vraag: hoe ver kan ik gaan in het stellen van eisen, en wie heeft hier ervaring mee?
Je zult het bedrijf moeten vertrouwen als ze beweren dat ze jouw data hebben vernietigd.
Tussen de regels door lees ik dat je dat niet doet ;o)
De enige optie die je dan hebt is ze betrappen op het moment dat ze jouw gegevens gebruiken

QnJhaGlld2FoaWV3YQ==

maandag 22 oktober 2018 22:09

Acties:
  • +1Henk 'm!
  • burnedhardware
  • Registratie: Januari 2001
  • Laatst online: 14:24

burnedhardware

Formeel gezien kan je het bij de rechter afdwingen, maar je zal eerst een melding meten maken bij de AP (art 77). Zij hebben onderzoeksplicht en moeten je op de hoogte houden van de voortgang (en veel te weinig mensen)

Op de manier zoals je het beschrijft lijkt het meer een wraakoefening dan een redelijke eis. Het vergeetrecht en de GDPR is minder uitgebreid dan je denkt. Het dekt namelijk alleen gestructureerde papieren dossiers (overweging 15) en niet het notitieblok. Daarnaast dekt het nagenoeg alle bestanden.

Bovendien gaat het alleen om de gegevens die over jou gaan, en die bewerkt worden zonder juiste grondslag. Dus niet alle gegevens en logbestanden waar je naam in staat (belhistorie van het bedrijf wordt bewaard op de grondslag “gerechtvaardigd belang”, de aanbieder van de mobiele contracten moet de factuur kunnen onderbouwen) en al je klachten vallen onder gegevens die ze mogelijk nodig zullen hebben in een juridische zaak. (Art 17,3e)...

Wat backups betreft, ik ben nog geen collega tegengekomen die het aandurft om backups gedeeltelijk te wissen. Bijna iedereen heeft een procedure om bestanden te verwijderen na het terugzetten van een backup, want het belang van de organisatie tegen on-omkeerbare fouten weegt hierbij op tegen het belang van degene die gewist wil worden.

Ten slotte mogen ze je vragen om je te identificeren, een aantal bedrijven vraagt daarvoor een kopie ID. Ik zou bij die bedrijven dat zeker niet geven. (Overigens bewijs je daarmee alleen dat je een ID van die persoon hebt of goed kan photoshoppen) O-)

maandag 22 oktober 2018 22:24

Acties:
  • 0Henk 'm!
  • TomsDiner
  • Registratie: November 2014
  • Laatst online: 16-07-2022

TomsDiner

In jou optiek zou je het nummer zelfs in het aanwezige papieren telefoonboek moeten wegkrassen?

Het is bij de GDPR niet de bedoeling om te doen of RemcoDelft nooit in het systeem heeft gezeten, maar om zijn persoonlijke gegevens -die herleidbaar zijn- te verwijderen. Maar zelfs van het verwijderen an sich blijft een bewijs achter, en ook wanneer RemcoDelft daarom verzocht heeft, plus alle correspondentie daarover.

Daarnaast zijn er dus bijvoorbeeld logfiles, recent gebelde nummers, en verzonden en ontvangen mailtjes... Die contacten hebben echt plaatsgevonden, en zal een bedrijf altijd in zijn systeem willen houden. Als daar later gedonder over komt kun je niet zeggen "Die hadden we maar vast gewist". En ga de telefoonboer maar eens bellen dat je wil dat het nummer van RemcoDelft niet op de facturen terecht mag komen.

Als je het goed doet is dat ook niet nodig, want als er geen dossier van RemcoDelft is, weet niemand dat nummer 06-72141618 gebeld om 08:37 voor de duur van 16 minuten bij RemcoDelft hoort. Maar de telefoonrekening klopt nog steeds. En in de map met "vergeetverzoeken" staat keurig gedocumenteerd de zaak RemcoDelft, en die blijft daar waarschijnlijk nog wel een jaar of 5-7 staan...

maandag 22 oktober 2018 22:28

Acties:
  • 0Henk 'm!
  • NMe
  • Registratie: Februari 2004
  • Laatst online: 22-05 17:03

NMe

Quia Ego Sic Dico.

Gegevens die je om zwaarwegende redenen bewaart hoef je onder de AVG niet te verwijderen. Backups vallen daar sowieso onder, logfiles mogelijk ook. Wel moet je ook dat soort data periodiek verwijderen. Logfiles zijn na een paar weken meestal niet relevant meer, backups na maximaal een maand of 3-6.

[Voor 34% gewijzigd door NMe op 22-10-2018 22:30]

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

maandag 22 oktober 2018 22:53

Acties:
  • 0Henk 'm!
  • RemcoDelft
  • Registratie: April 2002
  • Laatst online: 17:31

RemcoDelft

Topicstarter
Brahiewahiewa schreef op maandag 22 oktober 2018 @ 21:45:
Je zult het bedrijf moeten vertrouwen als ze beweren dat ze jouw data hebben vernietigd.
Tussen de regels door lees ik dat je dat niet doet ;o)
Ze hebben helaas genoeg reden gegeven om ze niet te vertrouwen.
De enige optie die je dan hebt is ze betrappen op het moment dat ze jouw gegevens gebruiken
Daar ging ik al een beetje vanuit.
burnedhardware schreef op maandag 22 oktober 2018 @ 22:09:
Op de manier zoals je het beschrijft lijkt het meer een wraakoefening dan een redelijke eis.
Opkomen voor mijn privacy is geen wraakoefening, en ik heb nog geen eis/verzoek neergelegd. Vandaar eerst dit topic :)
Het vergeetrecht en de GDPR is minder uitgebreid dan je denkt. Het dekt namelijk alleen gestructureerde papieren dossiers (overweging 15) en niet het notitieblok. Daarnaast dekt het nagenoeg alle bestanden.
Hiervoor open ik nou dit topic, dank je! Ik verwijder alles wat onredelijk is uit mijn uiteindelijke lijstje, maar wil wel zo compleet mogelijk blijven.
Edit: Ik lees dit toch niet terug in http://www.privacy-regula...-de-betrokkene-EU-AVG.htm
Bovendien gaat het alleen om de gegevens die over jou gaan, en die bewerkt worden zonder juiste grondslag. Dus niet alle gegevens en logbestanden waar je naam in staat (belhistorie van het bedrijf wordt bewaard op de grondslag “gerechtvaardigd belang”, de aanbieder van de mobiele contracten moet de factuur kunnen onderbouwen) en al je klachten vallen onder gegevens die ze mogelijk nodig zullen hebben in een juridische zaak. (Art 17,3e)...
Ik had bewust geen telefoonrekeningen in mijn lijstje gezet, wel nummers opgeslagen in telefoons.
Wat backups betreft, ik ben nog geen collega tegengekomen die het aandurft om backups gedeeltelijk te wissen. Bijna iedereen heeft een procedure om bestanden te verwijderen na het terugzetten van een backup, want het belang van de organisatie tegen on-omkeerbare fouten weegt hierbij op tegen het belang van degene die gewist wil worden.
Backups niet langer dan 3 maanden (de termijn die staat voor vernietiging) zou het oplossen. Maar hieronder meer over backups.
Ten slotte mogen ze je vragen om je te identificeren, een aantal bedrijven vraagt daarvoor een kopie ID. Ik zou bij die bedrijven dat zeker niet geven. (Overigens bewijs je daarmee alleen dat je een ID van die persoon hebt of goed kan photoshoppen) O-)
Zo nodig zou inzage genoeg moeten zijn, een kopie is niet perse nodig. En anders zou ik natuurlijk vragen die kopie ook te vernietigen.
NMe schreef op maandag 22 oktober 2018 @ 22:28:
Gegevens die je om zwaarwegende redenen bewaart hoef je onder de AVG niet te verwijderen. Backups vallen daar sowieso onder, logfiles mogelijk ook. Wel moet je ook dat soort data periodiek verwijderen. Logfiles zijn na een paar weken meestal niet relevant meer, backups na maximaal een maand of 3-6.
Ik had hier nog niet naar gezocht, maar https://www.linkedin.com/...epassing-roeland-de-korte zegt dit:
De nationale toezichthouder, de Autoriteit Persoonsgegevens (AP) schrijft op haar website over deze materie het volgende:

‘Vallen backups ook onder het recht op vergetelheid?

Ja. U moet het recht op vergetelheid ook toepassen op digitale back-upbestanden. Vraagt iemand u om zijn gegevens te wissen? Dan moet u zijn persoonsgegevens dus ook zo snel mogelijk uit uw back-ups verwijderen.
Maar de AP stelt zich ook coulant op, bij bijvoorbeeld tapes moet worden bijgehouden welke gegevens moeten worden vernietigd in het geval de backup wordt teruggezet.

maandag 22 oktober 2018 23:57

Acties:
  • 0Henk 'm!
  • NMe
  • Registratie: Februari 2004
  • Laatst online: 22-05 17:03

NMe

Quia Ego Sic Dico.

RemcoDelft schreef op maandag 22 oktober 2018 @ 22:53:
Ik had hier nog niet naar gezocht, maar https://www.linkedin.com/...epassing-roeland-de-korte zegt dit:

[...]

Maar de AP stelt zich ook coulant op, bij bijvoorbeeld tapes moet worden bijgehouden welke gegevens moeten worden vernietigd in het geval de backup wordt teruggezet.
Dat is niet voorbehouden aan tapes AFAIK maar op alle backups als het onredelijk is om te verwachten daar data uit te verwijderen. Je moet inderdaad wel bijhouden welke gegevens uit de backup verwijderd moeten worden als je die terugzet én je moet je gebruiker informeren welke afwijkende bewaartermijnen je hanteert.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee