Eind juni is er door de Deense toezichthouder een grote boete opgelegd wegens een oude bevroren database. Eigenaar was een boekenclub en in die database zaten persoonsgegevens van 685.000 oud leden, soms meer dan 10 jaar oud.
Inactieve records
De boekenclub had alle data van niet meer actief en uitgeschreven leden uit de actieve database gehaald. Die stap is logisch en het verkleind de kans op incidenten. Alleen was er bewust voor gekozen die 695.000 inactieve records in een andere database te stoppen. Die was schijnbaar wel leesbaar, maar niet meer beschrijfbaar. Een bevroren database dus.
Deze database bevatte data die gewist moest worden, omdat de oud leden en oud klanten daarom vroegen. Het recht op vergetelheid en het recht op correctie van onjuiste gegevens zijn twee belangrijke componenten van de AVG. De boekenclub voldeed niet aan verzoeken van oud klanten over die twee eisen. Men wees naar de database, die verhinderde het naleven van de AVG. Op de toezichthouder maakte dat argument weinig indruk. Dus een hoge boete volgde.
Tikkende tijdbom
Van deze case valt te leren. Om te beginnen is het bezitten van een bevroren database, als je naar de Deense zaak kijkt, niets anders dan een tikkende tijdbom. Data bewaren zonder valide reden mag gewoon niet onder de AVG. Als het gaat om persoonsgegevens is dat het geval. Als daarbij ook nog eens gevoelige data (uit aangeschafte of gelezen boeken kan veel over de voorkeuren van de lezer worden gehaald) in het geding zijn dan is een ingrijpen van de toezichthouder zoals in Denemarken is gebeurd volkomen voorspelbaar en logisch.
Het persbericht van de toezichthouder is hier te vinden