Data brokers negeren verwijderverzoeken. Jouw AVG-risico is groter dan je denkt.
Data brokers negeren verwijderverzoeken. Massaal. Dat is niet alleen een schending van privacy voor individuen. Het vormt ook een direct risico voor elke Nederlandse organisatie die data van deze partijen afneemt. Het bewijs is er. En het raakt jouw DPIA.
Ik herinner me een gesprek met een risicomanager bij een zorgverzekeraar. Ze gebruikten een externe datafeed voor fraudedetectie. Toen ik vroeg of die broker AVG-verwijderverzoeken honoreert, bleef het stil. "Dat moeten we nog uitzoeken," zei ze. Dat is het punt. Als jouw databron niet compliant is, ben jij dat ook niet.
Het onderzoek: brokers negeren de wet
Het paper "Let My Data Go: Data Brokers' Compliance with Opt-Out and Deletion Requests" (arXiv:2607.04552) laat duidelijk zien wat er gebeurt. Onderzoekers dienden opt-out- en verwijderverzoeken in bij honderden data brokers. Veel partijen reageerden niet. Anderen vroegen om paspoortkopieën, selfies met handgeschreven briefjes of notariële aktes. Die eisen zijn zo hoog dat ze in de praktijk neerkomen op een weigering.
Het onderzoek richtte zich niet alleen op Amerikaanse brokers. Ook partijen die onder de AVG vallen, bleken tekort te schieten. Voor consumenten is dat onaanvaardbaar. De AVG verbiedt het opleggen van onredelijke obstakels bij een verzoek tot verwijdering. Dat is precies wat hier gebeurt.
Waarom dit jouw probleem is
Veel Nederlandse organisaties gebruiken data van brokers. Denk aan KYC-processen bij banken, adresverificatie bij verzekeraars of risicoprofielen bij overheden. Die data komt vaak van partijen die persoonsgegevens verzamelen en doorverkopen. Als die bron verwijderverzoeken negeert, verwerk jij gegevens van mensen die daar nooit toestemming voor gaven. Of gegevens die al lang verwijderd hadden moeten zijn.
De Autoriteit Persoonsgegevens handhaaft steeds strenger. Een boete voor het gebruik van een niet-compliante databron is geen uitzondering. Er zijn al boetes uitgedeeld voor onrechtmatige doorgifte. Onder de NIS2-richtlijn wordt supply chain security een expliciet toezichtsterrein. Jouw databroker maakt daar onderdeel van uit.
De AVG en de verantwoordingsplicht
Artikel 5 van de AVG zegt dat persoonsgegevens juist en rechtmatig verwerkt moeten zijn. Artikel 17 geeft het recht op verwijdering. Artikel 24 legt de verantwoordingsplicht bij de verwerkingsverantwoordelijke. Dat ben jij, ook als je data inkoopt. Je moet kunnen aantonen dat de hele keten voldoet.
Voor overheidsorganisaties voegt BIO2 daar nog een laag aan toe. BIO2 eist dat gegevensverwerkingen aantoonbaar rechtmatig zijn. En dat risico's in de toeleveringsketen beheerst worden. Een databroker die verwijderverzoeken negeert, is een onbeheerst risico.
DPIA: bewijs van upstream-schending
In een DPIA beoordeel je de risico's van gegevensverwerking. Vaak blijft de herkomst van de data onvoldoende onderzocht. Dit paper levert hard bewijs dat data brokers structureel niet voldoen aan verwijderverplichtingen. Dat bewijs kun je niet negeren.
Als jouw DPIA uitgaat van de aanname dat de databroker compliant is, dan is die aanname fout. Het gevolg is dat je extra maatregelen moet nemen. Denk aan contractuele afspraken, periodieke audits of een andere databron. Soms is de enige juiste keuze: stoppen met het gebruik van die data.
Vijf vragen voor je volgende DPIA
Voeg deze vijf vragen toe aan je DPIA-checklist voor externe databronnen. Ze dwingen je om verder te kijken dan het contract.
- Heeft de broker een aantoonbaar proces voor opt-out- en verwijderverzoeken? Vraag niet om een beleidsdocument, maar om bewijs van werking.
- Wordt dat proces periodiek getest? Laat je niet afweren met een audit van drie jaar geleden.
- Welke identiteitsverificatie vraagt de broker van betrokkenen?
- Hoe lang houdt de broker gegevens vast na een verzoek tot verwijdering?
- Worden derden geïnformeerd als gegevens alsnog verwijderd worden?
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.