Recht op vergetelheid - hoe vergeten moet het zijn?

Als je hostingpartij niet bekend wil maken
Moet je de laatste 2 afbeeldingen aanpassen.

Haha je hebt het logo en url in de laatste twee gifjes niet geblurd
Inhoudelijk inderdaad niet correct, ook een herkeidbaar emailadres is gewoon een persoonsgegeven. Klacht indienen bij AP is de way to go

[ Voor 8% gewijzigd door F_J_K op 11-04-2020 14:06 . Reden: Doet de TS duidelijk zijn best niet aan naming and shaming te doen, doe jij het alsnog 8)7 ]

sanzut schreef op zaterdag 11 april 2020 @ 13:41:
Haha je hebt het xxxxx logo en url in de laatste twee gifjes niet geblurd
Inhoudelijk inderdaad niet correct, ook een herkeidbaar emailadres is gewoon een persoonsgegeven. Klacht indienen bij AP is de way to go

Waarom zelf de naam noemen? Nu zijn de GIF's aangepast en staat dit er nog.

ViezeVis schreef op zaterdag 11 april 2020 @ 13:53:
Screenshots weggehaald en gevraagd naam weg te halen. AP all the way to Go is juist een probleem omdat zij graag een bron willen.

Je eerste plaatje bevat nog de naam links onder

Als alle persoonsgegevens zouden zijn verwijderd uit de account, zijn het niet meer jouw persoonsgegevens. Ook kunnen er redenen zijn om je gegevens nog te verwerken alleen 'in de backoffice', zoals de fin. afhandeling etc. Maar hier lijkt dat alles niet aan de orde nee, en lijkt het 'simpelweg fout'. Althans voor zover er obv toestemming is gewerkt of je gegronde redenen hebt te laten verwijderen.

Maar als er geen gevolg wordt gegeven aan je verzoek en je zelfs geen contact kan krijgen met de FG, dan is https://autoriteitpersoon...n/klacht-melden-bij-de-ap toch de weg om te nemen..



Edit:
de concrete redenen waar recht op vergetelheid voor geldt:

quote: https://autoriteitpersoon...ten/recht-op-vergetelheid

In de volgende situaties moet een organisatie uw persoonsgegevens wissen:

Niet meer nodig
De organisatie heeft uw persoonsgegevens niet meer nodig voor het doel waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.
Toestemming ingetrokken
U heeft eerder toestemming gegeven aan de organisatie voor het gebruik van uw gegevens, maar trekt die toestemming nu in.
Bezwaar
U maakt bezwaar tegen het gebruik van uw gegevens.
Onrechtmatige verwerking
De organisatie houdt zich niet aan de privacyregels bij het gebruik van uw persoonsgegevens. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
Wettelijk bepaalde bewaartermijn verlopen
De organisatie is wettelijk verplicht om uw gegevens na bepaalde tijd te wissen.
Apps en websites bij kinderen
Uw kind is jonger dan 16 jaar en zijn of haar persoonsgegevens zijn verzameld via een app of website. Of uw eigen gegevens zijn op die manier verzameld toen u jonger was dan 16 jaar.

En bezwaar kan bij: https://autoriteitpersoon...rechten/recht-van-bezwaar

[ Voor 54% gewijzigd door F_J_K op 11-04-2020 14:17 . Reden: Wat, leven we niet in 2022? ]

ViezeVis schreef op zaterdag 11 april 2020 @ 14:50:
Ik heb de GIFs met namen weggehaald. Ik wil niet aan Naming & Shaming doen. Het doen van een nieuwe melding bij het AP zal dan denk ik weer moeten, maar ik noem niks over bronnen wellicht.

Waarom niet de bedrijfsnaam noemen naar de AP? Of andersom, wat kan je er dan bereiken anders dan dat je hun tijd claimt die ze dan niet kunnen besteden aan een concreet geval?

Waarschijnlijk heb je jouw bevindingen net iets te spectaculair gebracht bij AP door het noemen van zogenaamde bronnen die je anoniem wil houden. Klinkt leuk natuurlijk, alsof je een groot geheim met je meedraagt, maar maakt dat voor het verhaal uit? Je hebt toch al bewijs van jezelf dat gegevens niet worden verwijderd, omdat je nog steeds kan inloggen? Ik zou zoals je al aangeeft niks zeggen over 'bronnen' bij je nieuwe melding.

Droefsnoet schreef op zaterdag 11 april 2020 @ 15:44:
Waarschijnlijk heb je jouw bevindingen net iets te spectaculair gebracht bij AP door het noemen van zogenaamde bronnen die je anoniem wil houden. Klinkt leuk natuurlijk, alsof je een groot geheim met je meedraagt, maar maakt dat voor het verhaal uit? Je hebt toch al bewijs van jezelf dat gegevens niet worden verwijderd, omdat je nog steeds kan inloggen? Ik zou zoals je al aangeeft niks zeggen over 'bronnen' bij je nieuwe melding.

Ik vind ook beetje stellig wat TS wil. Je zou zowat idee krijgen dat hij een site beheerde waar strafbare feiten mee gepleegd zijn. Anders zie ik zo ook geen reden om:
A. Volledig je gelijk te halen en je totaal om traceerbaar te maken bij een hostingbedrijf
B. Bij AP ook de hosting anoniem wil houden.

Hoe komen jullie erbij dat TS het hostingbedrijf niet noemt? Hij doet dat hier niet, omdat dat niet wenselijk is. Zoals ik het begrijp heeft TS een 'bron', wellicht een medewerker van Hostingbedrijf X, die hij niet wil noemen. Lijkt me sterk dat TS een melding stuurt naar AP zonder te noemen welk bedrijf de wet overtreed.

AP wimpelt TS zijn melding waarschijnlijk af omdat die zich vastbijten op een bron die niet ter zake zou moeten doen aangezien TS zelf (inmiddels) ook al bewijs heeft dat zijn gegevens nog bekend zijn bij Hostingbedrijf X,

Dat AP zonder bron niet verder wil met het onderzoek, zal te maken hebben met het feit dat iedereen wel een paar screenshots kan photoshoppen en ze niet zonder bewijs zomaar een bedrijf onder de loep kunnen/willen nemen met alle gevolgen van dien. Vind dat niet zo raar eerlijk gezegd. Als de screenshots het enige bewijs zijn wat TS kan leveren en hij/zij de 'bron' niet gewoon in contact wil brengen met AP, dan stel ik voor dat hij/zij nog even verder graaft naar wat meer bewijs (of het gewoon laat rusten). Nogmaals met hetzelfde bewijs contact opnemen zal imho niet resulteren in een ander resultaat. En nee, het feit dat je niet voorbij de support-medewerker komt voor een uitleg is imho niet genoeg extra bewijs

[ Voor 8% gewijzigd door naitsoezn op 11-04-2020 16:41 ]

Als je over het plaatje heen hoovert, zie je een URL met jouw voor en achternaam. Dit lijkt me toch ook niet helemaal de bedoeling. mis ik iets?

Ondanks dat je bepaalde gegevens desgevraagd moet verwijderen, als bedrijf, zullen ze ook informatie moeten bewaren. informatie over betalingen bijvoorbeeld.

[ Voor 37% gewijzigd door bert pit op 11-04-2020 17:02 ]

Ik wil mijn account volledig hebben verwijderd, maar wil ook dat het bedrijf gehoor geeft aan het recht op vergetelheid. Rondom mijn omgeving heb ik geïnformeerd en zij komen tot dezelfde bewering dat accounts bij Hostingbedrijf X niet volledig worden verwijderd. Hoe nu verder?

Start een verzoekschriftprocedure bij de rechtbank. Let wel op de termijnen, ik denk dat je eerst opnieuw een verwijderverzoek moet indienen.

naitsoezn schreef op zaterdag 11 april 2020 @ 16:39:
Dat AP zonder bron niet verder wil met het onderzoek, zal te maken hebben met het feit dat iedereen wel een paar screenshots kan photoshoppen en ze niet zonder bewijs zomaar een bedrijf onder de loep kunnen/willen nemen met alle gevolgen van dien. Vind dat niet zo raar eerlijk gezegd. Als de screenshots het enige bewijs zijn wat TS kan leveren en hij/zij de 'bron' niet gewoon in contact wil brengen met AP, dan stel ik voor dat hij/zij nog even verder graaft naar wat meer bewijs (of het gewoon laat rusten). Nogmaals met hetzelfde bewijs contact opnemen zal imho niet resulteren in een ander resultaat. En nee, het feit dat je niet voorbij de support-medewerker komt voor een uitleg is imho niet genoeg extra bewijs

Hoeveel meer bewijs moet je dan hebben als je kan inloggen en daar nog steeds je klantgegevens kan zien? Het AP moet hier toch achteraan, het moet toch niet zo zijn dat je als consument het onderzoek gaat doen en op een presenteerblaadje aan AP geeft, zodat die alleen nog een waarschuwing/boete uit hoeven te delen.

Niet voorbij de supportmedewerker komen valt wat mij betreft onder deze voorwaarde van AP om een klacht in te dienen:

Heeft u uw klacht al ingediend bij de organisatie waar uw klacht over gaat? De AP gaat pas met uw klacht aan de slag als u deze eerst heeft ingediend bij de organisatie zelf. Bent u niet tevreden met de reactie van de organisatie op uw klacht? Of heeft de organisatie na 4 weken nog niet gereageerd? Dan kunt u uw klacht indienen bij de AP.

Om een tip in te dienen bij AP heb je zelfs slechts enkel een vermoeden nodig. Nergens wordt geschreven dat je eerst in parkeergarages contact moet hebben met mannen in regenjassen die je bruine enveloppen geven met bewijs, voordat je een melding kan doen.

Er zijn heel wat redenen te bedenken waardoor het wel degelijk mogelijk is dat bepaalde gegevens van jou bewaard blijven, waaronder precies wat je zelf noemt: betalingsgegevens.

Andere zaken die wel degelijk gewoon bewaard blijven zijn bijvoorbeeld opgenomen telefoongesprekken. Die mogen worden opgenomen en als er dwingende redenen zijn die te bewaren, kun jij wel aangeven dat je wil dat ze verwijderd worden, maar blijven ze tóch bewaard. (Bijvoorbeeld omdat er een zwaarwegend belang is in de vorm van een product dat je telefonisch hebt besteld, waar controlevragen in zitten en waarbij juist het antwoord op die controlevragen belangrijk kan zijn.)

Ander ding is dat een bedrijf backups mag maken van haar data. Je kunt uit de actieve dataset worden verwijderd, maar kunt niet verlangen dat je ook uit de backups word verwijderd. Daar stopt je redelijkheid.

Wat ik me in dit geval afvraag is: Waarom wil je dit? Waarom is het belangrijk dat het bedrijf jou dusdanig uit hun administratie moet verwijderen, dat niet eens meer te achterhalen is dat je ooit diensten hebt afgenomen bij ze?

ViezeVis schreef op zaterdag 11 april 2020 @ 17:36:
[...]
Omdat het bedrijf is overgenomen en ik niks van doen heb met het nieuwe achterliggende bedrijf.

Vergeet niet dat het bedrijf zelf dus ook zwaarwegende belangen kan hebben waardoor ze wel degelijk jouw gegevens mogen bewaren.

Het bedrijf is overgenomen, maar dat betekend ook dat jij als klant over gaat naar het nieuwe bedrijf. Je kunt je diensten opzeggen, de verantwoordelijkheid voor de administratie, klanten, historische gegevens, etc, ligt gewoon bij de nieuwe eigenaar. (Ze *mogen* ook werkelijk niet al jouw gegevens verwijderen. Hoe gaat het bedrijf belastingaangifte doen, als opeens al jouw facturen uit de administratie verdwenen zijn? Alleen al die gegevens zijn onderhevig aan wettelijk verplichte bewaartermijnen en je kunt dus als klant niet eisen dat die gegevens verwijderd worden. Dat is nog maar een van de voorbeelden die ik kan noemen...)

unezra schreef op zaterdag 11 april 2020 @ 17:32:
Er zijn heel wat redenen te bedenken waardoor het wel degelijk mogelijk is dat bepaalde gegevens van jou bewaard blijven, waaronder precies wat je zelf noemt: betalingsgegevens.

Andere zaken die wel degelijk gewoon bewaard blijven zijn bijvoorbeeld opgenomen telefoongesprekken. Die mogen worden opgenomen en als er dwingende redenen zijn die te bewaren, kun jij wel aangeven dat je wil dat ze verwijderd worden, maar blijven ze tóch bewaard. (Bijvoorbeeld omdat er een zwaarwegend belang is in de vorm van een product dat je telefonisch hebt besteld, waar controlevragen in zitten en waarbij juist het antwoord op die controlevragen belangrijk kan zijn.)

Dat heeft niets te maken met type gegevens. Of dat nou een telefoongesprek of een e-mailtje of wat anders is. Voor sommige gegevens bestaan geldige redenen om die te bewaren. Voor andere gegevens niet. Die moeten alsnog gewoon verwijderd worden als je daarom verzoekt.

Ander ding is dat een bedrijf backups mag maken van haar data. Je kunt uit de actieve dataset worden verwijderd, maar kunt niet verlangen dat je ook uit de backups word verwijderd. Daar stopt je redelijkheid.

Niet helemaal. Dit mag alleen als er stappen genomen worden om te voorkomen dat jouw gegevens in het geval van het terugplaatsen van zo'n backup, terug in het systeem komen.

Wat ik me in dit geval afvraag is: Waarom wil je dit? Waarom is het belangrijk dat het bedrijf jou dusdanig uit hun administratie moet verwijderen, dat niet eens meer te achterhalen is dat je ooit diensten hebt afgenomen bij ze?

Iedere plek waar jouw gegevens staan is een potentieel privacy risico. Een bedrijf wat niets met die gegevens doet, heeft ze gewoon te verwijderen. Zéker als je daar expliciet om verzoekt. En het is ook gewoon jouw recht dat een bedrijf daar gehoor aan geeft. Het is strafbaar dat niet te doen.

mcDavid schreef op zaterdag 11 april 2020 @ 17:41:
[...]
Dat heeft niets te maken met type gegevens. Of dat nou een telefoongesprek of een e-mailtje of wat anders is. Voor sommige gegevens bestaan geldige redenen om die te bewaren. Voor andere gegevens niet. Die moeten alsnog gewoon verwijderd worden als je daarom verzoekt.

Precies. Dus heeft het met het type gegevens te maken. Niet de manier waarop die zijn opgeslagen.
(De verwarring zit misschien in dat "type" zowel voor een technisch "type", email, opgenomen telefoongesprekken, als voor een inhoudelijk "type" gebruikt kan worden.)

Maar goed, daarover zijn we het eens. Het gaat over wélke gegevens het zijn. Niet hoe die zijn opgeslagen. Daar geld dus geen universele dwang dat al die gegevens verwijderd moeten worden als iemand daarom verzoekt. Bepaalde gegevens mogen bewaard worden.

[...]
Niet helemaal. Dit mag alleen als er stappen genomen worden om te voorkomen dat jouw gegevens in het geval van het terugplaatsen van zo'n backup, terug in het systeem komen.

Eens.
Maar het kan dus niet worden afgedwongen dat die gegevens ook van de backups worden verwijderd.
In theorie heeft het bedrijf die gegevens dan nog gewoon in bezit. Het zit enkel niet meer in de actieve dataset.

[...]
Iedere plek waar jouw gegevens staan is een potentieel privacy risico. Een bedrijf wat niets met die gegevens doet, heeft ze gewoon te verwijderen. Zéker als je daar expliciet om verzoekt. En het is ook gewoon jouw recht dat een bedrijf daar gehoor aan geeft. Het is strafbaar dat niet te doen.

Dat hangt dus af van welk soort gegevens.

Het kan niet zo zijn dat een bedrijf op een andere manier weer strafbaar word. Als jij verzoekt alle betalingsgegevens te verwijderen, kan het bedrijf geen BTW aangifte doen.

Zo zijn er meer gegevens die een bedrijf gewoon mag bewaren en waarbij ze je verzoek die gegevens te verwijderen, mogen negeren. Het is niet zo zwartwit als TS stelt, namelijk dat op 1e verzoek, *alle* gegevens te allen tijde verwijderd moeten worden. Het is veel grijzer dan dat.

unezra schreef op zaterdag 11 april 2020 @ 17:47:

Dat hangt dus af van welk soort gegevens.

Het kan niet zo zijn dat een bedrijf op een andere manier weer strafbaar word. Als jij verzoekt alle betalingsgegevens te verwijderen, kan het bedrijf geen BTW aangifte doen.

Zo zijn er meer gegevens die een bedrijf gewoon mag bewaren en waarbij ze je verzoek die gegevens te verwijderen, mogen negeren. Het is niet zo zwartwit als TS stelt, namelijk dat op 1e verzoek, *alle* gegevens te allen tijde verwijderd moeten worden. Het is veel grijzer dan dat.

In de TS is duidelijk dat er op zijn minst een e-mail adres bewaard is. Daar is geen enkele noodzaak toe. Ja, het bedrijf mag facturen en bankgegevens bewaren voor de duur van de verplichte bewaartermijn, maar daar gaat dit niet over. Dit gaat over (onder andere) gegevens die gemakkelijk te verwijderen zijn.

mcDavid schreef op zaterdag 11 april 2020 @ 17:54:
[...]
In de TS is duidelijk dat er op zijn minst een e-mail adres bewaard is. Daar is geen enkele noodzaak toe. Ja, het bedrijf mag facturen en bankgegevens bewaren voor de duur van de verplichte bewaartermijn, maar daar gaat dit niet over. Dit gaat over (onder andere) gegevens die gemakkelijk te verwijderen zijn.

Moeten die facturen en bankgegevens niet herleidbaar zijn naar een unieke klant?

Wellicht gebruikt die klant het emailadres als unique identifier, klantnummer, dat wéten we niet, maar het zou volgens mij wel reden kunnen zijn om die gegevens op te slaan.

Plus, met de facturen en bankgegevens, hebben ze sowieso al de nodige gegevens van TS en laten ze volgens mij net die gegevens niet mogen verwijderen. (Want belastingdienst.)

TS verlangt van het bedrijf dat ze direct al zijn gegevens verwijderen. Volgens mij is precies dat in strijd met wet- en regelgeving op gebied van bewaartermijnen waar betreffende ISP aan moet voldoen.

unezra schreef op zaterdag 11 april 2020 @ 18:00:
[...]


Moeten die facturen en bankgegevens niet herleidbaar zijn naar een unieke klant?

Nee, dat hoeven ze niet. Je moet je omzet verklaren, je hoeft niet je klantenbestand te overleggen aan de belastingdienst.

Zolang er openstaande vorderingen zijn of kunnen komen (zoals storneringen) heb je verder wel een zwaarwegend belang om ook contactgegevens te bewaren, daarna is ook dat onzin.

Je hebt een verzoek ingediend voor verwijdering maar tot wanneer heb je betaald? Je hebt een juridisch gat als je nog wel betaald hebt voor een dienst waarvan je vraagt om de gegevens te verwijderen. Contractueel zijn ze verplicht een dienst te leveren tot einde contract. Gewoon een vraag en overnames kunnen de boel behoorlijk complex maken als in niemand weet meer hoe of wat. Zeker bij echt oude accounts kan dat echt problematisch zijn omdat niemand het weet. (vroeger was documentatie het geheugen van de systeembeheerder. Desondanks TS heb je gelijk dit te melden.

Melding

Grappig, de hostingpartij in het GIFje herken ik direct, ook al heb je het netjes geblurred. Ik ben zelf geen fan van ze, om het nog even subtiel uit te drukken. De manier hoe ze met jouw verzoek omgaan verbaasd mij helaas niet.

Ik denk dat anderen al voldoende hebben aangegeven dat het AP de partij is om je bij te melden. Echter, als je met hun niet wil delen welke partij het is, kunnen ze vrij weinig behalve je adviseren. Ook zou je advies kunnen vragen bij Arnoud Engelfriet die het dan toelicht op zijn geweldige blog.

Het is aan jou om te besluiten of je er iets mee wilt doen. Mocht je dat willen, is de eerste stap bij de partij zelf klagen (wat je al gedaan hebt). Als ze niet met een goede en degelijke oplossing komen, kun je naar het AP stappen. Je zult dan echter wel de partij in kwestie moeten noemen.

Er zijn twee manieren om het te melden. Een normale melding (een klacht). Deze pakken ze op en geven ook terugkoppeling met wat ermee gedaan wordt. De partij waarover de melding gaat kan wel opvragen wie de melding gedaan heeft - jij dus. Een tweede mogelijkheid is om een anonieme melding (een tip) in te dienen. De hoster weet dan niet wie de melding bij het AP gedaan heeft. Een nadeel hiervan is weer dat je ook geen update krijgt van het AP.

Algemeen

Het vervelende is dat de wetgeving elkaar wat tegenspreekt. De AVG eist dat partijen meewerken aan een verzoek om vergetelheid, wat echter niet volledig mogelijk is omdat andere wetgeving weer eist dat de administratie zeven jaar bewaard wordt voor fiscale redenen.

Gevoelsmatig is dat niet okay, als er binnen mijn bedrijf een verzoek om vergetelheid binnenkomt zou ik daar het liefste volledig aan voldoen, dus ook het verwijderen van facturen en andere zaken waar PII op staat. Helaas mag de tenaamstelling van de factuur ook niet worden aangepast; dus ik mag niet "Pietje Puk" vervangen door '[verwijderd wegens verzoek vergetelheid]".

Praktisch is de oplossing vrij makkelijk: je voldoet aan het verzoek door alle data te verwijderen die je kunt verwijderen, dus alles behalve de administratieve gegevens. De hoster voldoet daar - mijn inziens - niet aan. De prefix voor het emailadres is geen oplossing, geen workaround; het enige wat het doet is de toegang obfuscaten.

En eerlijkheidshalve: ze hebben meer dan vier jaar gehad om hier een goede oplossing in te vinden, want de AVG trad pas in werking op 25 mei 2018, maar was twee jaar eerder al aangekondigd. Dus: melden die hap!

EDIT

Oeps, ik had over je bericht heen gelezen dat je dit al gemeld hebt, sorry. Wel fijn dat je die stap genomen hebt, daarmee bescherm je eventueel andere klanten ook. Die prefix van dat mailadres moet je ook maar weten.

[ Voor 4% gewijzigd door jurroen op 25-08-2020 10:29 ]

jurroen schreef op dinsdag 25 augustus 2020 @ 10:26:
Het vervelende is dat de wetgeving elkaar wat tegenspreekt. De AVG eist dat partijen meewerken aan een verzoek om vergetelheid, wat echter niet volledig mogelijk is omdat andere wetgeving weer eist dat de administratie zeven jaar bewaard wordt voor fiscale redenen.

Waar zit die tegenspraak? AVG art. 17 laat ruimte voor het niet verwijderen van o.a. gegevens die nog nodig zijn. Het recht op vergetelheid is expliciet niet absoluut.

Bijv. de historie van betalingen zal in de backoffice nog moeten en mogen worden verwerkt. Dat neemt natuurlijk niet weg dat andere gegevens wel moeten kunnen worden verwijderd, als ze niet meer nodig zijn voor de doeleinden waar ze voor nodig waren. Zoals een support ticket: die support is niet meer nodig dus weg met die account.

jurroen schreef op dinsdag 25 augustus 2020 @ 10:26:

[...]

Praktisch is de oplossing vrij makkelijk: je voldoet aan het verzoek door alle data te verwijderen die je kunt verwijderen, dus alles behalve de administratieve gegevens. De hoster voldoet daar - mijn inziens - niet aan. De prefix voor het emailadres is geen oplossing, geen workaround; het enige wat het doet is de toegang obfuscaten.

Kan je als klant dit eigenlijk controleren? Hoe weet je nou dat een bedrijf echt je gegevens heeft verwijderd? Inloggegevens onklaar maken is natuurlijk veel makkelijker dan echt gegevens verwijderen. Kan me voorstellen dat systemen er niet op zijn gemaakt om maar deels gegevens te verwijderen. Dus wel klantgegevens en eventuele tickets, maar niet de facturen.

F_J_K schreef op dinsdag 25 augustus 2020 @ 11:52:
[...]

Waar zit die tegenspraak? AVG art. 17 laat ruimte voor het niet verwijderen van o.a. gegevens die nog nodig zijn. Het recht op vergetelheid is expliciet niet absoluut.

Bijv. de historie van betalingen zal in de backoffice nog moeten en mogen worden verwerkt. Dat neemt natuurlijk niet weg dat andere gegevens wel moeten kunnen worden verwijderd, als ze niet meer nodig zijn voor de doeleinden waar ze voor nodig waren. Zoals een support ticket: die support is niet meer nodig dus weg met die account.

Goed punt. Ik bedoelde het gevoelsmatig, dat komt uit mijn bewoording niet helemaal goed over.

Droefsnoet schreef op dinsdag 25 augustus 2020 @ 16:04:
[...]

Kan je als klant dit eigenlijk controleren? Hoe weet je nou dat een bedrijf echt je gegevens heeft verwijderd? Inloggegevens onklaar maken is natuurlijk veel makkelijker dan echt gegevens verwijderen. Kan me voorstellen dat systemen er niet op zijn gemaakt om maar deels gegevens te verwijderen. Dus wel klantgegevens en eventuele tickets, maar niet de facturen.

Dat kun je niet, helaas. Het blijft een kwestie van vertrouwen. De beste manier om dat te ondervangen is om te zorgen dat geen andere partij die gegevens heeft, door je infra zelf te draaien op hardware die jouw eigendom is, op een verbinding die op jouw naam staat. Maar dat is (helaas) niet iets wat Jip en Janneke doen of willen (of kunnen). En helemaal afvangen kun je nooit, je hebt altijd leveranciers nodig die je data hebben, bijvoorbeeld van domeinnamen.