Recht inzage persoonsgegevens wassen neus
Bedrijven blijken het recht op inzage van persoonsgegevens massaal te negeren. Dat blijkt uit onderzoek van Jaap-Henk Hoepman, wetenschapper bij TNO en professor beveiliging en toegepaste cryptografie aan de Radboud Universiteit. Hij liet zijn studenten de klantenservice van telecommunicatiebedrijven, verzekeringsmaatschappijen, webwinkels, supermarkten e.d. aanschrijven. De meerderheid (70%) van de bedrijven en organisaties reageerde helemaal niet. Van de bedrijven en organisaties die wel reageerden, schoot in veel gevallen de reactie ernstig tekort.
De OV-chipkaart maakt het volgens Hoepman het in eerste instantie het bontst. "De klantenservice stuurt als antwoord een email, zonder enige informatie. Wel staat aan het eind van deze korte email: Verder worden uw persoonsgegevens nooit vrijgegeven aan andere organisaties. U hoeft zich dus hierover geen zorgen te maken.”
De reactie wordt doorgestuurd naar Bits of Freedom en komt uiteindelijk bij Gerben Nelemans terecht, de directeur van TransLink Systems (TLS). Hij grijpt in en na een week ontvangen de onderzoekers een A4-envelop met werkelijk alle gegevens die bij de gevraagde OV-chipkaart horen. "We hebben niet getest of een nieuw verzoek meteen, zonder tussenkomst van de directeur, net zo’n gedetailleerd antwoord oplevert", merkt de professor op.
Teleurstellend
T-Mobile belt meerdere malen met de mededeling dat het verzamelen van de gegevens al een halve dag kost en dat ze de informatie eigenlijk niet willen geven. Albert Heijn lijkt de verzoeken om gegevens die geregistreerd staan op een bonuskaart verkeerd te begrijpen. De onderzoekers ontvangen een uitdraai van iets wat lijkt op een screenshot van een personeelsadministratiesysteem.
De enige twee organisaties die het goed doen zijn de Gemeentelijke Basis Administratie (GBA) en Bol.com. Het antwoord van de GBA komt na drie weken, maar bevat een uittreksel van alle gegevens die de GBA over de persoon in kwestie opgeslagen heeft, plus een overzicht van de gegevens die aan andere partijen zijn doorgegeven. Ook Bol.com reageert snel met een keurige brief met daarin alle gevraagde gegevens.
"Al met al een teleurstellend resultaat. Bedrijven zijn wettelijk verplicht binnen een redelijke termijn een verzoek tot inzage volledig te beantwoorden. Uit de onbeholpen reacties van de bedrijven die wel antwoorden blijkt dat van dit recht maar weinig gebruik gemaakt", zegt Hoepman. Hij adviseert consumenten om zelf bij een aantal bedrijven de persoonsgegevens op te vragen. "En doe uw beklag als geen of onvoldoende antwoord krijgt."
Als mensen die gegevens consequent (elke zes maanden?) opvragen wordt het opslaan van persoonsgegevens een flinke kostenpost. Dan denken bedrijven wel twee keer na voordat ze allerhande gegevens opslaan die ze eigenlijk niet nodig hebben.
Piet
Voor vier euro wil ik best een aantal bedrijven aan het werk zetten.
Een paspoortkopie opsturen ben ik ook niet zo blij mee. Aan de andere kant, ergens moet toch enige identificatie plaatsvinden. Je wilt immers niet dat Jan Alleman zonder enige moeite jouw gegevens krijgt. Maar goed, als je naw gegevens bekend zijn bij dat bedrijf, als je er ooit wat hebt gekocht, dan lijkt me dat ze daar hun reactie naartoe sturen.
En het is nu al verbden om gegevens langer op te slaan dan noodzakelijk is.
http://www.cbpweb.nl/downloads_inf/inf_va_bewaartermijnen.pdf
Volgens de wet moet de verwerker van de gegevens de identiteit van de aanvrager controleren. Anders zou jij gewoon even bij een bedrijf de opgeslagen gegevens van iemand anders kunnen aanvragen. Dat zou een hele makkelijke manier zijn om iemands identiteit over te nemen.
Artikel 37 Wbp, punt 2: "De verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker."
Als ik een account bij hen heb, wil ik informatie over de persoonsgegevens die ze in het kader van dat account hebben opgeslagen. Daar is echt geen paspoort voor nodig.
Aan de andere kant is het wel een mooie test. Je stuurt een kopie van je paspoort op en als die niet in de lijst met persoonsgegevens staat, kun je ze aanpakken voor achterhouden van gegevens.
P.S. Zet altijd duidelijk op de kopie van je paspoort het doel, zodat ze het niet ergens anders voor kunnen gebruiken. En maak je BSN onleesbaar.
Peter
https://www.bof.nl/2011/05/14/zo-vind-je-uit-wat-providers-met-je-internetverkeer-hebben-gedaan/
Piet
Als ik een account bij hen heb, wil ik informatie over de persoonsgegevens die ze in het kader van dat account hebben opgeslagen. Daar is echt geen paspoort voor nodig.
Aan de andere kant is het wel een mooie test. Je stuurt een kopie van je paspoort op en als die niet in de lijst met persoonsgegevens staat, kun je ze aanpakken voor achterhouden van gegevens.
P.S. Zet altijd duidelijk op de kopie van je paspoort het doel, zodat ze het niet ergens anders voor kunnen gebruiken. En maak je BSN onleesbaar.
Peter
Deze site http://www.mijnprivacy.nl geeft wat meer info over de rechten en plichten en meer van dien. Daar staat ook dat een bedrijf maximaal 4,50 eurootjes mag vragen voor het extra werk.
-
Dat klopt.
Alleen de overheid krijgt die info.
-
Dat klopt.
Alleen de overheid krijgt die info.
En de overheid wordt niet als "organisatie" gezien. Heel duidelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
