My Data Done Right: hoe werkt het?

Je kunt een organisatie altijd vragen welke persoonsgegevens ze van je hebben. En ze laten aanpassen of zal laten verwijderen. Dat zijn je rechten volgens de privacywet AVG. Je moet het verzoek wel in de juiste juridische bewoordingen doen en aan het juiste e-mailadres richten. MyDataDoneRight.eu neemt je dit werk uit handen.

De dienst genereert een tekst op maat voor duizenden organisaties. En hij vertelt aan welk e-mailadres je het verzoek moet richten. 

Wij probeerden My Data Done Right 3 jaar geleden al eens. Toen reageerden veel organisaties onwennig op de verzoeken. De meeste bedrijven reageren nu wél vlot met praktische instructies hoe je gegevens opvraagt of verwijdert. Bedrijven kunnen overigens pas op je verzoek ingaan als je je op een of andere manier hebt geïdentificeerd. Die instructies sturen ze mee. 

Helaas reageren bij onze nieuwste steekproef 2 organisaties niet binnen de wettelijke termijn van 30 dagen: Wehkamp en XS4All.  

Halfautomatisch

Hoe enthousiast we ook zijn over de dienst:  MyDataDoneRight.eu is niet volautomatisch. Je moet nog zelf een paar zaken uitvoeren: 

1. Geef de organisatienaam op.
2. Geef enkele van je eigen gegevens (waarmee het bedrijf jou als klant kan herkennen).
3. Kies 'Open e-mailclient' om het verzoek te mailen.

Werkt de laatste stap niet? Dan 'weet' je browser niet welke e-mailprogramma je gebruikt. Kopieer dan de gegenereerde tekst en het mailadres zelf naar je e-mailprogramma. 

Onjuiste adressen

We kregen een aantal keren antwoord dat het door My Data Done Right vermelde e-mailadres niet (meer) klopt. We kregen dan meestal een nieuw adres getipt. 

Behalve een verzoek tot inzage kun je ook een verzoek opstellen die om correctie of verwijdering vraagt van je gegevens. Of zelfs het overdragen van je gegevens aan een andere organisatie.   

Handig: je kunt met My Data Done Right ook een herinnering genereren voor als een organisatie niet op je verzoek reageert. 

Nieuwe steekproef 

Bij een nieuwe steekproef met My Data Done Right in augustus 2021 hebben we 5 inzageverzoeken en 4 verwijderverzoeken verstuurd. De meeste bedrijven stuurden binnen een dag praktische instructies hoe je gegevens opvraagt of verwijdert. Meestal werden we doorverwezen naar een speciale webpagina op de site van het bedrijf. Via die weg kun je je persoonsgegevens opvragen of laten verwijderen. 

Gegevens opvragen 

Wij stuurden een inzageverzoek aan 5 bedrijven: 

• KLM: KLM vroeg als enige om een kopie van onze ID om onze identiteit te kunnen verifiëren (tip: maak die ID-kopie op een veilige manier). Hierna kregen we 2 mails waarvan 1 met een beveiligingscode om bij onze gegevens in de KLM-database te kunnen.
• Booking.com: Booking.com vroeg om een oude boekingscode om de identiteit te kunnen verifiëren. Hierna meldde het bedrijf geen gegevens (meer) van ons te bewaren.
• NLE: Het e-mailadres dat My Data Done Right opgaf voor NLE bleek verouderd. We vonden zelf het juiste contactadres op de site van het energiebedrijf. NLE gaf in zijn reactie 'algemene' uitleg over hoe het bedrijf persoonsgegevens verwerkt. NLE heeft het verzoek dus niet goed gelezen, of niet goed begrepen.
• Facebook: Facebook behandelde geen verzoeken meer via het e-mailadres dat My Data Done Right opgaf. We kregen wel een link naar een pagina om zelf de gegevens te beheren (downloaden, verwijderen). Dit werkte goed, voor zover we dat konden checken.
• Bol.com: Een dag na het indienen van het inzageverzoek kregen we een mail waarin we het overzicht van persoonsgegevens konden downloaden. Lekker vlot.

Gegevens verwijderen

We stuurden een verwijderverzoek aan 4 bedrijven:

• Easyjet: De luchtvaartmaatschappij behandelde geen verzoeken meer via het e-mailadres dat My Data Done Right opgaf. Het bedrijf stuurde wel een link om de gegevens te beheren. We kregen direct een bevestiging dat het account was verwijderd en dat alle informatie ouder dan 6,5 jaar was verwijderd. Gegevens van jongere datum blijven dus wél bewaard. Dit hoeft geen onwil te zijn. Er kunnen boekhoudkundige redenen zijn klantgegevens langer dan 1 à 2 jaar te bewaren.
• Ryanair: Dit bedrijf behandelde geen verzoeken meer via het e-mailadres dat My Data Done Right opgaf. Ryanair verwees door naar een webpagina om de gegevens te beheren. In een extra controlemail moesten we ons verzoek bevestigen.
• XS4All: Dit bedrijf gaf een persoonlijke reactie in plaats van een geautomatiseerde. We kregen van de provider te horen dat het verzoek in behandeling wordt genomen. Helaas wachtten we 4 weken later nog steeds op opvolging. 
• Wehkamp: Ook hier kregen we een persoonlijke reactie: de webwinkel meldde dat het verzoek in behandeling zal worden genomen. Maar een inhoudelijke reactie bleef verder uit. 

Herinneringsmail 

Waar de reactie op je inzageverzoek of verwijderverzoek uitblijft, kun je een herinneringsmail sturen.