Verwijderingsverzoek persoonsgegevens XS4ALL

Afbeelding: de vuilnisbelt van Marco Raaphorst | Licentie: CC BY

Nu ik al even geen klant meer ben bij XS4ALL, is er voor de internetaanbieder geen noodzaak meer voor het vasthouden van mijn gegevens.

Deze zomer stuurde ik internetaanbieder XS4ALL een verzoek tot inzage in de persoonsgegevens die zij van mij verwerken. Het antwoord bestond uit één pagina met informatie over mij als relatie en de door mij afgenomen  pakketten, één pagina met een overzicht van de contactmomenten en vier pagina’s met informatie over een tweetal orders.

De Wet bescherming persoonsgegevens is erg helder. Persoonsgegevens mogen niet langer bewaard worden dan nodig is. Artikel 10 zegt:

Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.

Het lijkt me dat er voor XS4ALL geen reden is om de notities over mijn telefoongesprekken met de helpdesk nog langer te bewaren nu ik al een paar jaar geen klant meer ben. Daarom stuurde ik, na mijn verzoek tot inzage, ook een verzoek tot verwijdering van mijn gegevens. Ik schreef XS4ALL:

Voor in ieder geval een deel van de gegevens, zoals de gegevens uit SUISite, geldt dat er geen grond voor verwerking meer bestaat. Met een beroep op artikel 36 van de Wet bescherming persoonsgegevens, verzoek ik u vriendelijk om alle persoonsgegevens die op mij betrekking hebben te verwijderen. Mocht u van mening zijn dat u de gegevens niet kunt verwijderen, verzoek ik u om deze beslissing te motiveren.

Het antwoord verbaasde me: de internetaanbieder die privacy serieus neemt lijkt te zijn vergeten haar systemen zo in te richten dat gegevens ook weer verwijderd kunnen worden. Een medewerker van de afdeling Bemiddeling en Advies reageerde op mijn verzoek:

Dankzij uw verzoek tot verwijdering van persoonsgegevens (op grond van artikel 36 WBP) heeft de  omgang, en met name de termijn van opslag van gegevens, de bijzondere aandacht van de collega’s van systeembeheer. Tot op dit moment heeft XS4ALL nog geen mogelijkheid om gegevens ‘automatisch’ uit onze databases te verwijderen. Inmiddels zijn stappen ondernomen om zo’n automatisch’ systeem in te richten.

Uw gegevens waarvoor geen juridische grond meer voor opslag bestaat, zullen handmatig uit onze systemen verwijderd worden. Vandaag is de kwestie met betrokken partijen (onze privacyofficer, securityofficer en de medewerkers die voor het beheer van onze systemen verantwoordelijk zijn) besproken. Ik ga er daarom vanuit dat op korte termijn aan uw verzoek tot verwijdering voldaan zal zijn.

Dat XS4ALL er niet op ingericht is om gegevens die niet meer verwerkt mogen worden ook echt te verwijderen, is al langer bekend. In het Privacy Jaarverslag 2003 – 2004 schrijft de toenmalige Functionaris voor de Gegevensbescherming:

Een punt waarop XS4ALL het, net als veel computerbedrijven, slecht doet, is dat van gegevensverwijdering. […] Een volledige elektronische administratie maakt dat er geen technische noodzaak is voor gegevensverwijdering; elektronische gegevens nemen vrijwel geen plaats in, en niet-relevante gegevens kunnen gemakkelijk uitgefilterd worden. Hoewel de technische logbestanden bij XS4ALL automatisch gewist worden, worden de administratieve gegevens die niet meer van toepassing zijn, nog niet routinematig vernietigd of onherkenbaar gemaakt.

Om er zeker van te zijn dat gegevens ook echt verwijderd worden heb ik gevraagd om een bevestiging van welke gegevens op welk moment verwijderd (zullen) zijn.  Met de toezegging op zak is het nu wachten.