AVG: inzageverzoek geweigerd en dossier vernietigd

RemcoDelft schreef op vrijdag 10 mei 2019 @ 11:17:
Een organisatie heeft ongevraagd persoonlijke gegevens opgeslagen. Eerder deze week heb ik ze verzocht om een kopie van mijn dossier, en ik ben met name benieuwd met wie ze mijn gegevens hebben gedeeld:

Members only:

Alleen zichtbaar voor ingelogde gebruikers. Inloggen

Als reactie kreeg ik dit:

Members only:

Alleen zichtbaar voor ingelogde gebruikers. Inloggen

De vraag waarop ik online zo gauw geen antwoord kan vinden is: mag dit? Nu kan ik niet weten met wie mijn gegevens zijn gedeeld, en het komt over alsof ze zichzelf indekken door het in de doofpot te stoppen.

"en ik ben met name benieuwd met wie ze mijn gegevens hebben gedeeld:"
die vraag hebben ze niet beantwoord met hun reactie, dus ik zou die vraag opnieuw stellen.

Als ze ontdekken dat ze onrechtmatig je gegevens hebben bewaard en daar direct op gehandeld hebben, lijkt me dat prima.

Allereerst: artikel 15 AVG geeft je geen recht op een kopie van je dossier. Het geeft je het recht op een overzicht van wat er van je wordt verwerkt en waarom. http://www.privacy-regula...-de-betrokkene-EU-AVG.htm

Interessant aan de reactie van de organisatie is dat zij klaarblijkelijk wel weten wie je bent; want ze delen je mede dat het dossier is vernietigd. Dat wil zeggen dat zij toch over persoonsgegevens van je beschikken. Die hadden ze op grond van dit verzoek moeten verstrekken.

Wanneer er wordt besloten een dossier te vernietigen en de gegevens zijn verstrekt aan derden, dan zal de organisatie dat redelijkerwijs ook aan die derden door moeten geven. Dus moet het bij de organisatie bekend zijn of zij dit hebben gedaan en bij welke derde partijen.

Of er sprake is van onrechtmatig handelen door de organisatie, is weer afhankelijk van de vraag of de verwerking van jouw persoonsgegevens op zichzelf onrechtmatig was. Als dit het geval is, zou de organisatie tenminste een dossier moeten hebben over de aard van de onrechtmatige verwerking; immers is dit dan een datalek.

Verder is het de vraag in hoeverre de verwerking mogelijk ernstig nadelige gevolgen voor jou zou kunnen hebben. Want in dat geval heeft de organisatie een meldingsplicht bij de Autoriteit Persoonsgegevens en bij jouzelf.

Transparant is het in ieder geval niet. En dat is wat een organisatie - ook al zou er formeel geen meldingsplicht zijn - altijd mee moet nemen in de afweging.

Hoe dan ook niet men weigeren.
Men kan het niet ontvankelijk verklaren
- je hebt je niet gelegitimeerd/identificeert
- je komt niet voor in hun database.

Je kunt het verzoek nogmaals (met verwijzing naar vorige) doen of.

Melding maken bij AP met alle relevante gegevens. En verzoek tot handhaving en onderzoek.

Heb wel geduld, ik wacht al 7 maanden en dat terwijl ik gelijk heb (dit is mijn werk).

Killjoy schreef op vrijdag 10 mei 2019 @ 12:09:
Allereerst: artikel 15 AVG geeft je geen recht op een kopie van je dossier. Het geeft je het recht op een overzicht van wat er van je wordt verwerkt en waarom. http://www.privacy-regula...-de-betrokkene-EU-AVG.htm

Interessant aan de reactie van de organisatie is dat zij klaarblijkelijk wel weten wie je bent; want ze delen je mede dat het dossier is vernietigd. Dat wil zeggen dat zij toch over persoonsgegevens van je beschikken. Die hadden ze op grond van dit verzoek moeten verstrekken.

Wanneer er wordt besloten een dossier te vernietigen en de gegevens zijn verstrekt aan derden, dan zal de organisatie dat redelijkerwijs ook aan die derden door moeten geven. Dus moet het bij de organisatie bekend zijn of zij dit hebben gedaan en bij welke derde partijen.

Of er sprake is van onrechtmatig handelen door de organisatie, is weer afhankelijk van de vraag of de verwerking van jouw persoonsgegevens op zichzelf onrechtmatig was. Als dit het geval is, zou de organisatie tenminste een dossier moeten hebben over de aard van de onrechtmatige verwerking; immers is dit dan een datalek.

Verder is het de vraag in hoeverre de verwerking mogelijk ernstig nadelige gevolgen voor jou zou kunnen hebben. Want in dat geval heeft de organisatie een meldingsplicht bij de Autoriteit Persoonsgegevens en bij jouzelf.

Transparant is het in ieder geval niet. En dat is wat een organisatie - ook al zou er formeel geen meldingsplicht zijn - altijd mee moet nemen in de afweging.

Artikel 15 misschien niet, maar je zou het op artikel 20 - Recht op dataportabiliteit kunnen gooien.

In de AVG (artikel 20) heet dit het 'recht om gegevens over te dragen'. Het houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Bij een verzoek om inzage moet de organisatie u een kopie van uw persoonsgegevens verstrekken. Dit kan bijvoorbeeld een overzicht zijn van de persoonsgegevens die van u worden verzameld en wat die precies zijn, of een kopie van een document waarin deze staan opgenomen. Met het afschrift dat u ontvangt, moet u in ieder geval kunnen controleren of uw gegevens kloppen. En of de organisatie uw gegevens op de juiste manier verwerkt.

Wat jij noemt in je reactie (Het geeft je het recht op een overzicht van wat er van je wordt verwerkt en waarom.) heeft betrekking op het verwerkingsregister wat bedrijven over betrokkenen moet bijhouden. Dat is iets anders dan een afschrift van de persoonsgegevens die ze van jou hebben.

[ Voor 27% gewijzigd door Bonerhead op 10-05-2019 12:41 ]

Is duidelijk hoe ze tot die conclusie komen? Is het er gewoon niet meer? Is er een logging van het verwijderen? Hebben ze op delete gedrukt nadat ze je mailtje kregen?

RemcoDelft schreef op vrijdag 10 mei 2019 @ 12:50:
[...]

Het is niet duidelijk, mijn vermoeden is dat ze inderdaad op delete gedrukt hebben na mijn brief.

Zeggen ze.

Hoe weet jij dat jou data daadwerkelijk is verwijderd en nooit naar voren kan komen bij een toekomstig data lek?

RemcoDelft schreef op vrijdag 10 mei 2019 @ 12:56:
[...]

Dat kan je bij geen enkele organisatie controleren.

Je zou om een getekende brief kunnen vragen dat de data verwijderd is, waardoor ze echt hangen zodra je data toch lekt, wat geen probleem zou moeten zijn aangezien ze het verwijderd hebben.

Als je bij mijn organisatie zou vragen om een kopie van hun data, kan ik ook zeggen dat het weg is, om maar van dat gezeur af te zijn, en ik dus geen moeite hoef te steken in alles bij elkaar te zoeken, of oomdat ik bijvoorbeeld weet dat het geen zuivere koffie is, en ik wil niet al die data afgeven omdat ik meer verzamel dan jij op dat moment denkt.

@RemcoDelft ik moest hier aan denken: https://blog.iusmentis.co...verlies-data-ook-datalek/

Wie data laat wissen of vernietigen zonder toestemming of andere wettelijke grondslag, verwerkt ze onrechtmatig en schendt daarmee zijn beveiligingsplicht uit artikel 13. Daarmee kom je in het vizier van de datalekmeldplicht en moet je bepalen of dat wissen “ernstige nadelige gevolgen” heeft of kan hebben. Zo ja, dan moet het worden gemeld.

Dus eerst verzamelen ze gegevens van je zonder dat je daarvoor toestemming gaf c.q. weet waarom ze dat deden. Daarna vernietigen ze die gegevens op het moment dat jij er om vraagt. Ik snap de reflex als ze zelf ontdekken dat ze die gegevens niet hadden mogen hebben, maar ik vind de oplossing om het dan maar direct te verwijderen vreemd. Ik zou juist aangeven dat het verzamelen onrechtmatig was, waarom dit zo was, excuus aanbieden en voorstellen de data te verwijderen. Nu blijf jij met de vraag zitten wat ze over je wisten en waarom ze dit niet met je wilden delen.

RemcoDelft schreef op vrijdag 10 mei 2019 @ 12:42:

Snel het dossier vernietigen zodra er een verzoek binnenkomt is inderdaad niet bepaald transparant.

RemcoDelft schreef op vrijdag 10 mei 2019 @ 12:50:
[...]

Het is niet duidelijk, mijn vermoeden is dat ze inderdaad op delete gedrukt hebben na mijn brief.

Ah, dan handelt de organisatie onrechtmatig

Je hebt een inzageverzoek ingediend op grond van art. 15 AVG. Dan moet de organisatie dat inzageverzoek ook behandelen. Dat de organisatie bij de behandeling tot de conclusie komt dat het dossier moet worden vernietigd, kan niet als argument worden gebruikt om het verzoek niet in behandeling te nemen. Immers bestond de verwerking van persoonsgegevens waarvan jouw dossier het gevolg was nog op de datum van ontvangst van jouw inzageverzoek.

Bovenstaande kun je teruggeven aan de organisatie als motivatie waarom ze het verzoek alsnog moeten behandelen. Doen ze dat niet, dien dan een gemotiveerde klacht (= handhavingsverzoek) in bij de Autoriteit Persoonsgegevens. https://www.autoriteitper...klacht-indienen-bij-de-ap

xoniq schreef op vrijdag 10 mei 2019 @ 12:59:
[...]

Je zou om een getekende brief kunnen vragen dat de data verwijderd is, waardoor ze echt hangen zodra je data toch lekt, wat geen probleem zou moeten zijn aangezien ze het verwijderd hebben.

Als je bij mijn organisatie zou vragen om een kopie van hun data, kan ik ook zeggen dat het weg is, om maar van dat gezeur af te zijn, en ik dus geen moeite hoef te steken in alles bij elkaar te zoeken, of oomdat ik bijvoorbeeld weet dat het geen zuivere koffie is, en ik wil niet al die data afgeven omdat ik meer verzamel dan jij op dat moment denkt.

Brief of niet; de organisatie hangt dan sowieso. Dit is een onrechtmatige daad en valt onder het boeteregime tot 20 miljoen Euro.

[ Voor 23% gewijzigd door Killjoy op 10-05-2019 13:17 ]

RemcoDelft schreef op vrijdag 10 mei 2019 @ 13:26:

Het probleem hiermee is dat ik niet kan bewijzen wanneer het dossier vernietigd was: voor of nadat ze mijn brief hadden ontvangen.
Maar doordat ze weten dat het dossier vernietigd is lijkt het me aannemelijk dat er nog een dossier was op het moment dat ze mijn inzageverzoek kregen.

Daarmee kom je weer terug op het inzageverzoek. Het feit dat men wéét dat er een dossier van jou is geweest, is al een persoonsgegeven. Want het is herleidbaar tot jou als persoon. De organisatie zal tenminste inzicht moeten geven welke gegevens men nog van jou heeft en wat de grondslag voor verwerking daarvan is. Daaronder vallen trouwens ook de persoonsgegevens die de organisatie verwerkt in het kader van de behandeling van jouw inzageverzoek.

Verder kan je nog expliciet refereren aan lid 1, d van artikel 15 AVG indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
Dus vraag wanneer de organisatie heeft geregistreerd dat er een vernietigd dossier is en hoe lang de organisatie dit gegeven zal bewaren.