Inzage persoonsgegevens datacenter DCG

Gedurende een bepaalde tijd heb ik een contract bij TransIP voor de colocatie van een server gehad. Het contract is beëindigd per eind december 2008. Deze server was ondergebracht bij het datacenter DCG Amsterdam. Dit datacenter maakt gebruik van biometrische toegangscontrole. Om precies te zijn, vingerafdrukken.

Hoe wordt mijn vingerafdruk bewaard?

Wie is eigenlijk de verwerker van het persoonsgegeven "vingerafdruk"? Is dat het datacenter DCG, of is dat (ook) TransIP? Hoeveel persoonsgegevens zijn nog opgeslagen, een halve maand na beëindiging van het contract?

Op 15 januari stuurde ik dan ook het volgende verzoek:

Op basis van de Wet Bescherming Persoonsgegevens artikel 35 lid 1 verneem ik graag welke persoonsgegevens van mij door u worden verwerkt. Zoals in artikel 35 lid 2 is vermeld, verwacht ik dat deze mededeling een volledig overzicht van deze gegevens bevat.

Ik ben klant van TransIP.

Op 19 januari wordt ik door DCG gebeld voor een mondeling toelichting: DCG bewaart slechts een hash van de vingerafdruk, gekoppeld aan een nummer. De koppeling tussen dat nummer en de klantgegevens gebeurt enkel bij DCG's klant, in dit geval TransIP. Op mijn verzoek volgde ook een schriftelijke toelichting:

Naar aanleiding van uw verzoek om inzage te krijgen in de persoonsgegevens die wij van u bewaren kan ik u het volgende melden;

De vingerprint die bij u is afgenomen wordt opslagen als een zogenaamd "hash" bestand. Vanuit dit "hash" bestand kunnen wij geen vingerprint herleiden. Het eerder genoemde "hash" bestand is in onze database gekoppeld aan het reserveringsnummer wat u van TransIP B.V. heeft gekregen.

Wij kunnen het reserveringsnummer niet koppelen aan uw persoonsgegevens welke bij TransIP B.V. zijn opgeslagen. Zodra u een aanvraag voor toegang tot het datacenter DCG doet in het klantbeheersysteem van TransIP wordt er een zogenaamde "Access request" naar ons verzonden via een e-mail. In deze e-mail staat het reserveringsnummer en uw naam die u heeft opgegeven in het klantbeheersysteem. Deze e-mail wordt door ons opgeslagen.

Ik hoop u zo voldoende geinformeerd te hebben en mochten er nog vragen zijn dan kunt u altijd contact met mij opnemen.

Dat lijkt me een goed ingericht systeem – vanuit het oogpunt van de bescherming van de persoonsgegevens. De vingerafdruk is niet uit de hash te herleiden en de klantgegevens zijn niet te achterhalen op basis van het reserveringsnummer (zonder medewerking van TransIP). Wat je niet hebt – als bedrijf aan persoonsgegevens – hoef je ook niet te beschermen.