Uw naam is vanaf nu “ex-klant”

Afbeelding: Backup Stacks van Jaymis Loveday | Licentie: CC BY

Na 4,5 maand is de bevestiging binnen. Mijn persoonsgegevens zijn uit de systemen van mijn voormalige internetprovider verwijderd.

Verwijdering: traag, onvolledig en niet helder

Na een verzoek tot inzage in mijn persoonsgegevens, stuurde ik eind augustus XS4ALL ook een verzoek tot verwijdering van die persoonsgegevens die niet meer relevant zijn. Omdat op mijn eerste verzoek tot verwijdering niet gereageerd werd, stuurde ik het verzoek op 25 september opnieuw. In oktober reageerde XS4ALL en schreef:

Uw gegevens waarvoor geen juridische grond meer voor opslag bestaat, zullen handmatig uit onze systemen verwijderd worden. Vandaag is de kwestie met betrokken partijen (onze privacyofficer, securityofficer en de medewerkers die voor het beheer van onze systemen verantwoordelijk zijn) besproken. Ik ga er daarom vanuit dat op korte termijn aan uw verzoek tot verwijdering voldaan zal zijn.

Om zeker te zijn vroeg ik om een bevestiging van welke gegevens op welk moment verwijderd (zullen) zijn. Meer dan drie maanden na mijn initiële verzoek had ik nog altijd geen bevestiging van de verwijdering. Mijn twee navragen per e-mail bleven onbeantwoord, en begin december stuurde ik een brief met het verzoek om alsnog tot verwijdering over te gaan.

Een dag nadat ik op een nieuwjaarsborrel een systeembeheerder van XS4ALL spreek ontvang ik een e-mail van de afdeling die mijn inzageverzoek behandeld:

Van een collega vernam ik dat we tot op dit moment hebben verzuimd om je te informeren dat we per 16 december j.l. aan je verwijderingsverzoek hebben voldaan. Dat is een fout mijnerzijds en dat spijt me. Wanneer je aangaande je verwijderingsverzoek ook een schriftelijke bevestiging wenst dan verneem ik dat graag. Ik zal deze dan per omgaande naar je sturen.

Omdat daarmee nog niet helder is welke gegevens verwijderd zijn (en belangrijker) welke gegevens bewaard blijven vraag ik om een expliciete bevestiging. Die volgt, een paar dagen later:

We hebben uw naam uit onze databases verwijderd. Dat is gebeurd door uw naam te veranderen in ‘Ex Klant’. De ordergegevens hebben we nog wel, maar deze zijn door de naamswijziging geanonimiseerd. Ordergegevens kunnen nu alleen nog teruggevonden met behulp van de postcode van het (voormalig) aansluitadres, of met het relatienummer dat aan u toegekend is geweest. Er is geen koppeling tussen uw relatienummer en uw naam.

In de bijlage van de brief zijn enkele schermafdrukken opgenomen van de registraties in het systeem. Voor zover ik het kan beoordelen zijn daarmee een deel van mijn persoonsgegevens bij XS4ALL verwijderd. Of mijn gegevens ook uit het systeem van de helpdesk is verwijderd, is niet duidelijk. Net als de correspondentie over het verzoek tot verwijderen. Naar facturen en de back-up heb ik al helemaal meer niet gevraagd. :)

Aan verwijderen is nooit gedacht

In het hypothetische geval dat XS4ALL inderdaad al mijn persoonsgegevens onherleidbaar verwijderd heeft, is het nog altijd vervelend dat het meer dan 4,5 maand heeft geduurd. Zeker bij een aanbieder die – naar eigen zeggen – mijn privacy belangrijk vindt.

Dat het allemaal zo lang duurt is ergens niet verrassend. Bij menig bedrijf zijn de systemen en processen enkel gericht op het verzamelen en bewaren van persoonsgegevens. Door het ontbreken van een technische noodzaak is er nooit aan gedacht om die gegevens ook weer te verwijderen. Dat maakt de afhandeling van een dergelijk verzoek lastig: er moet handmatig ingegrepen worden in verder grotendeels automatische systemen, zonder dat altijd helder is wat het effect van die interventie is.

Uit een onderzoek uit 2009 blijkt dat de gemiddelde Nederlander in honderden tot duizenden databanken is geregistreerd. Dat aantal zal in tussentijd alleen maar gegroeid zijn. Hoog tijd om ook aandacht te besteden aan verwijdering van gegevens die herleidbaar zijn tot een individu.