Data brokers je gegevens laten verwijderen: zo doe je dat

Databrokers verzamelen je persoonlijke gegevens, analyseren ze en verkopen je gegevens daarna door. Het probleem daarvan is dat je niet weet wie jouw gegevens in handen heeft en hoe diegene daarmee omgaat. Deze bedrijven kunnen je volledige naam, adres en telefoonnummer hebben. Zo kun je slachtoffer worden van een datalek, maar kun je ook ongewilde reclames en spam ontvangen. Je kunt echter zelf actie ondernemen. Wij vertellen je hoe.
Inhoudsopgave

In een eerder artikel gingen we dieper in op databrokers en hun werkwijze.

Gelukkig kun je er wel iets aan doen. In de Algemene Verordening Gegevensbescherming (AVG) staat dat je het recht hebt om vergeten te worden. Als je dat wilt, moeten databrokers dus je gegevens verwijderen. Tijd om databrokers het vuur aan de schenen te leggen en ze je persoonlijke gegevens te laten verwijderen. Om dat te kunnen doen, moeten we eerst een aantal gegevens verzamelen:

  1. Wie we aan moeten spreken;
  2. Wat we aan de databrokers gaan schrijven;
  3. Wat we gaan antwoorden als de databrokers het verzoek afwijzen.

Contact opnemen met data brokers

Er zijn duizenden data brokers en het handmatig aanvragen van verwijdering van je data kan dan ook een full time job zijn. Je bent er zo weken en maanden mee bezig. Dat is expres zo bedacht, want dan heeft niemand er zin in om erachteraan te gaan. Je kunt online diensten vinden die beloven de verzoeken voor je in te dienen, maar meestal met weinig of teleurstellende resultaten. Je inbox zit straks vol met allemaal verzoeken, maar je data is nog steeds niet verwijderd.

Daarom is het een goed idee om zelf data brokers aan te schrijven. In principe kun je het best beginnen met de grootste data brokers. Dat zijn namelijk de partijen die je gegevens klakkeloos doorverkopen. Als je kunt voorkomen dat je data wordt doorverkocht, heeft dat een grote impact op je privacy. Dit zijn de grootste aanbieders die je alvast kunt aanschrijven:

Online is ook een complete lijst van data brokers te vinden.

Wat stuur je aan data brokers?

Hoe begin je nu een e-mail aan een data broker? Er is een grote kans dat je e-mail gewoon wordt weggegooid omdat het niet dwingend genoeg is. Hoe cru het ook klinkt: je zult ze met juridische kennis om de oren moeten slaan. Niet iedereen is een jurist en maar weinig mensen hebben kennis van hun privacyrechten. Daarom hebben we alvast een voorbeeldbrief voor je opgesteld. Omdat de data brokers vooral buitenlandse partijen zijn, is de brief uiteraard in het Engels.

(Belangrijk: vergeet je naam niet te veranderen)


“Subject: Data removal request

Dear All,

I hereby submit a request for implementation of the following rights under Articles 7(3), 17 and 21 of GDPR and other applicable privacy legislation which grant individuals certain rights in relation to the protection of their personal data (information):

1) To obtain erasure (deletion) of personal data (information) without undue delay;

2) To withdraw any consent given to the processing of personal data (information);

3) To object to the processing of personal data (information) concerning the below individual, including but not limited to profiling and direct marketing.

The information necessary to confirm the identity of the individual on behalf of which this request is submitted:

Name: [Naam]

Address: [Adres]

E-mail address: [E-mailadres]

Please confirm your compliance with the request without undue delay and in any event within 45 (forty-five) days of receipt of this request.

Thank you.”


Als data brokers je gegevens niet willen verwijderen

Verrassend genoeg is niet iedereen in de data-industrie erop uit om je tegen te werken en je gegevens te verkopen. Voor veel partijen is een dergelijk mailtje genoeg om je gegevens te verwijderen en verwijderd te houden. De data brokers hebben helemaal geen zin er rechtszaken over te voeren. Dat kost bovendien te veel geld.

Helaas zijn er ook partijen die het niet zo nauw nemen met de wet- en regelgeving. Je krijgt dan een antwoord dat je verzoek is afgewezen. De data broker komt met onbegrijpelijke redenen om je verzoek af te wijzen. Ze weten heel goed dat jij en ik niet gespecialiseerd zijn in juridische zaken en dat de meeste mensen er geen advocaat voor inschakelen. Om het nog wat lastiger te maken, is de e-mail geschreven in onbegrijpelijke juridische taal. Dat doen data brokers omdat ze hopen dat je het dan opgeeft. Gelukkig geef jij niet op, want we helpen je graag verder. Dit is wat je kunt antwoorden in deze gevallen:

Meer informatie verschaffen

Het klinkt echt belachelijk, maar data brokers vragen vaak nog meer gegevens van je, als je je gegevens wilt verwijderen. Je vraagt je bijna af: ‘Ze weten toch al alles van me, wat moeten ze nog meer weten?’ Maar eigenlijk is het logisch. In sommige gevallen hebben ze geen e-mailadres bij persoonlijke informatie. Toch moeten ze weten wie de aanvraag indient. De data broker moet bovendien zeker weten dat de juiste gegevens bij de juiste persoon horen.

Helaas zijn er ook data brokers die deze manier misbruiken om geen actie te hoeven ondernemen. Ze vragen bijvoorbeeld om een kopie van een rijbewijs of een kopie van een factuur om je identiteit te verifiëren. Dat is volstrekte flauwekul. Je hebt niet te maken met een bank of een overheidsinstantie, die sowieso al spaarzaam zijn met het vragen naar dit soort gegevens. Dit is gewoon een willekeurig bedrijf dat er alle voordeel bij heeft om je gegevens gegijzeld te houden. Je hoeft dit soort gegevens dan ook niet af te geven.

De privacywet bepaalt dat de vraag om verificatie proportioneel moet zijn. Met andere woorden: de data broker mag niet onredelijk zijn in het antwoord en in de vraag naar meer gegevens. Dit is wat je kunt antwoorden (in het Engels):


“Please note that I have already provided all the information necessary to identify the principal to identify myself. Therefore, I am not obliged to provide any further information.

Your request to initiate manual research on users’ side is excessive and requires disproportionate effort.”


Je kunt dat antwoord gebruiken wanneer je vindt dat het bedrijf iets onredelijks van je vraagt.

Vul het opt-out formulier in

Data brokers verdienen veel geld aan andermans gegevens. Het is hun dagelijkse handel. Ze zitten er dan ook niet op te wachten dat mensen willen dat gegevens verwijderd worden. Als iedereen zou vragen om verwijdering van gegevens, kan het bedrijf niet bestaan. Daarnaast is het duur om een afdeling op te zetten die de verwijderingen regelt. Daarom krijg je meestal een geautomatiseerd antwoord met een formulier dat je moet invullen.

Ook dat hoeft niet: bedrijven zijn onder de privacywet verplicht om aan je verzoek te voldoen. Je hoeft geen extra formulieren in te vullen en allerlei extra werkzaamheden uit te voeren om je gegevens verwijderd te krijgen.
Je kunt twee dingen doen: of het formulier toch invullen en zo goodwill kweken, of ze een juridisch standje geven. Dan mail je terug:


“In response to your request to fill in some kind of form, please note that I do not have such an obligation.

If there is any legal obligation to do that, please send me a link to a relevant legal act.

On the other hand, you have an obligation to erase my personal information/data without further delay. Therefore, I repeatedly hereby request to erase all my personal information/data. You can treat this letter as withdrawal of my consent on which the processing is based.

Please confirm by email that my personal information/data has been completely erased.”


Welke data moet verwijderd worden?

Soms hangen data brokers de onschuld zelve uit. Ze stellen een stomme vraag: “Welke gegevens moeten verwijderd worden?” Alsof ze geen idee hebben van welke gegevens ze hebben verzameld. Soms vragen ze ook om een link te sturen van waar je de gegevens hebt gevonden.

Dat is handig voor hen: zij hebben er geen werk van en jij bent ondertussen al dagen bezig om je gegevens verwijderd te krijgen. Dat hoeft juridisch niet. De data broker moet gewoon aan je verzoek voldoen. Daar hoef jij geen moeite voor te doen. Dit is wat je terug kunt sturen: 


“Please note that I have already provided all the information necessary to identify me.

Therefore, I am not obliged to provide any further information and find your requirements excessive. Therefore, your request to initiate manual research is disproportionate to my side.

As well as, even if I could do that, there is no guarantee that your system has avoided errors, typos or other mistakes in association with my data.”


Je data wordt verwijderd

Je krijgt een mailtje dat je data wordt verwijderd. Je denkt dat je een overwinning hebt behaald, maar eigenlijk valt dat tegen. Het mailtje met de tekst: ‘Your data has been removed’, ‘You have been opted out’ of ‘Your request has been completed’ blijkt een standaard mail te zijn, waarin om nog meer actie wordt gevraagd. Dat zie je pas als je de e-mail echt opent. Nog meer formulieren om in te vullen. Nog meer actie te ondernemen. Die bedrijven doen dat omdat ze niet verwachten dat je erop zult reageren. Daarom is het zaak om slim te zijn en dat wel te doen. Stuur daarom de reactie die we je eerder als voorbeeld hebben gegeven bij: ‘Wat te antwoorden?’

Wat als het niet heeft gewerkt?

Data brokers verdienen ontzettend veel geld. Er zit een enorme industrie achter. Persoonsgegevens zijn goud waard en dat weten ze maar al te goed. Tegelijkertijd is het wel een beetje pervers, want er zijn allerlei wetten die ons moeten beschermen tegen dit soort partijen. Data brokers voelen zich dan ook aangevallen als we gebruikmaken van onze rechten. We vallen immers hun broodwinning aan. Ga er gerust vanuit dat het een robbertje vechten wordt voordat je data is verwijderd. Loop je vast in het mailverkeer? Dan kun je dit soort dingen naar de bedrijven terugsturen:


  1. Please confirm that you refuse to proceed with our data removal request despite the fact that I have provided all the necessary information to identify myself.
  2. Please be advised that since you’re refusing to exercise my right to have my personal data removed, I will be issuing a complaint detailing this situation with request to review your business practices.

Wordt het nog niks? Dan is het tijd om juridisch met bommen te gooien. Verwittig de Autoriteit Persoonsgegevens van de praktijken van de weigerende data broker. De data broker overtreedt de wet en kan daarvoor flinke boetes krijgen. De Autoriteit kan een onderzoek starten en vaak kiest de data broker dan wel eieren voor z’n geld. Het is goed om te weten dat digitale privacywetten nog een beetje in de kinderschoenen staan. Daarom zoeken dit soort partijen vaak de randjes op. Als we laten zien dat we ons niet laten wegsturen en als we laten zien waar de wetten tekortschieten, kunnen we gezamenlijk onze privacy een stuk verbeteren.

In de EU: https://edps.europa.eu/data-protection/our-role-supervisor/complaints_en

Categorieën: Privacy

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *