Wat is recht op vergetelheid?

In de AVG / GDPR is in Artikel 17 een belangrijk nieuw recht voor betrokkenen opgenomen: het recht op vergetelheid. Dit geeft betrokkenen het recht op verwijdering van al zijn of haar persoonsgegevens. Dit is een van de manieren waarop de EU haar burgers meer controle en zeggenschap wil geven over hun privacygevoelige data.

Lees meer

Recht van vergetelheid

Wanneer is dit recht van toepassing? Wat is het verschil met de ‘oude’ privacywetgevingen? Wat moet ik doen op het moment dat ik een verwijderingsverzoek krijg? Mag ik een verwijderingsverzoek weigeren? Op welke termijn moet ik aan een verwijderingsverzoek voldoen? Wat heeft dit voor gevolgen voor mijn back-ups? YourSafetynet geeft antwoord.

Wanneer is dit recht van toepassing?

Het recht op vergetelheid is in een aantal gevallen van toepassing:

1. Aanvraag/bezwaar betrokkene

Onder de AVG / GDPR kan de betrokkene te allen tijde verzoeken tot stopzetten van de verwerking van zijn of haar persoonsgegevens. In zo’n geval trekt de betrokkene de eerder gedane toestemming voor de verwerking in. De organisatie moet hieraan gehoor geven en alle aanwezige persoonsgegevens die betrekking hebben op de aanvraag verwijderen en verdere verwerking staken.

Noemenswaardig is ook de rol van direct marketing. Dat is bijvoorbeeld het rechtstreeks benaderen van personen met een nieuwsbrief of mailing. Wanneer de betrokkene bezwaar maakt tegen deze vorm van gegevensverwerking, moet de organisatie hieraan gehoor geven.

2. De persoonsgegevens zijn niet meer relevant

Wanneer de aanwezige persoonsgegevens niet meer nodig zijn voor het eerder beoogde doel, dan moeten deze worden verwijderd. Dit noemen we de verwijderingsplicht. Het is een soort voorzorgsmaatregel: persoonsgegevens die in onbruik zijn geraakt, dragen namelijk een risico met zich mee. Ze kunnen op straat belanden, of zonder toestemming voor andere doeleinden worden verwerkt.

3. De verwerking is niet rechtmatig

Wanneer de verwerking nooit rechtmatig is geweest, geldt altijd het vergetelheidsprincipe. Hier is geen actie van de betrokkene voor vereist. Deze persoonsgegevens moeten altijd worden verwijderd.

4. De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn via een app of website verkregen

In deze gevallen zijn de persoonsgegevens onrechtmatig verkregen. De betrokkene heeft in dit geval recht op vergetelheid: de organisatie moet deze gegevens dus verwijderen.

Wat is het verschil met de ‘oude’ privacywetgevingen?

Onder de Wet bescherming persoonsgegevens (Wbp) en Wet Verwerking Persoonsgegevens (WVP) moesten persoonsgegevens die niet meer ter zake deden ook worden verwijderd. Het recht op vergetelheid gaat echter verder. Organisaties moeten op verzoek van de betrokkene alle betreffende persoonsgegevens kunnen verwijderen en aan dit verzoek onverwijld voldoen.

Wat moet ik doen op het moment dat ik een verwijderingsverzoek krijg?

Allereerst moet de organisatie reageren op het verwijderingsverzoek. Het moet de betrokkene laten weten of het verzoek wordt ingewilligd. Wordt het verzoek digitaal gedaan (via bijvoorbeeld e-mail), dan moet de communicatie hierover ook digitaal plaatsvinden.

De organisatie heeft bij akkoord vervolgens een maand de tijd om het verzoek in te willigen. In uitzonderlijke gevallen mag dit worden opgerekt naar twee maanden (zie vraag ‘Op welke termijn…

De organisatie mag geen kosten in rekening brengen voor het verzoek. Wanneer er sprake is van externe verwerkers die de betrokken persoonsgegevens verwerken, dan moeten zij de opdracht krijgen van de verwerkingsverantwoordelijke (doorgaans de organisatie die het verzoek heeft ontvangen) om de verwerking te stoppen en de gegevens te verwijderen.

Wanneer gegevens op een website zijn vermeld, dan volstaat het niet om de website aan te passen. Ook zal de organisaties zoekmachines moeten informeren over de wijziging, zodat ze de pagina zo snel mogelijk opnieuw kunnen indexeren. De zoekmachine is in dit voorbeeld een externe verwerker.

Mag ik een verwijderingsverzoek weigeren?

Ja, dat mag. Maar alleen als het verzoek betrekking heeft op een uitzonderingsgeval, en verwijdering dus niet wettelijk verplicht is. Bij buitensporig veel verwijderingsverzoeken geldt het redelijkheidsbeginsel. Een organisatie kan dan onder het mom van onuitvoerbaarheid een verzoek weigeren.

Ook zijn niet alle verzoeken tot vergetelheid rechtsgeldig. In zo’n geval mag de organisatie de verwijdering weigeren. Een aantal uitzonderingen zijn bijvoorbeeld:

1. De verwijdering is in strijd met de vrijheid van meningsuiting en nieuwsgaring.

Zo kan een betrokkene een dagblad niet altijd sommeren om een voor hem of haar wellicht schadelijk artikel te verwijderen, wanneer dit volgens de wetten van de vrije nieuwsgaring en meningsuiting tot stand is gekomen.

2. De verwerking is volgens de wet verplicht

Betrokkenen kunnen geen bezwaar maken tegen verwerkingen die volgens de wet verplicht zijn. Denk aan de verwerking van persoonsgegevens door de Belastingdienst.

3. De verwerking is van belang voor de handhaving van openbare orde

Denk hierbij aan de verwerking van persoonsgegevens door politiecorpsen. Daar kan doorgaans geen bezwaar tegen worden gemaakt.

4. De verwerking is in het belang van de volksgezondheid

Het algemene belang van de volksgezondheid gaat boven het recht op vergetelheid. Wanneer verwijdering/stopzetting van de gegevens de volksgezondheid kan schaden, hoeft een organisatie hier dan ook geen gehoor aan te geven.

5. De verwerking is noodzakelijk voor een rechtsvordering

Stopzetting en/of verwijdering van persoonsgegevens mag de rechtstaat niet in gevaar brengen. Zo kan een voorgeleide verdachte niet verzoeken tot stopzetting van zijn of haar persoonsgegevens bij de rechtbank.

6. Er is sprake van een uitzonderlijk geval

In sommige gevallen is een organisatie niet tot actie verplicht wanneer een betrokkene zich beroept op het recht op vergetelheid. Denk aan een crimineel die met een dergelijk verzoek wil voorkomen dat een witwasactie zijn sporen nalaat. De organisatie moet het belang kunnen aantonen van de weigering van de opdracht.

Op welke termijn moet ik aan een verwijderingsverzoek voldoen?

Voor de verwijdering van persoonsgegevens staat in principe een maand. Alleen bij complexe aanvragen mogen organisaties deze termijn oprekken naar twee maanden. Wel moet in zo’n situatie de betrokkene worden ingelicht.

Wat heeft dit voor gevolgen voor mijn back-ups?

De meeste organisaties maken van al hun relevante data een back-up op tape, disk of in de cloud. Daar vallen vrijwel in alle situaties ook persoonsgegevens onder. Wanneer de organisatie persoonsgegevens moet verwijderen, bijvoorbeeld omdat de betrokkene dit verzoekt, dan geldt dat ook voor de persoonsgegevens die in de back-up (of back-ups) aanwezig zijn.

Dit betekent dat de IT-afdeling binnen redelijke termijn (zie vraag over verwijderingstermijn) toegang tot individuele bestanden in de back-ups moet kunnen krijgen, en deze moet kunnen verwijderen. Back-upoplossingen en/of de externe back-updienstverlener moeten hierin technisch kunnen voorzien.

Wat is dataminimalisatie?

De AVG / GDPR kent een regelmatig terugkerend begrip: dataminimalisatie. Dit houdt in dat je als organisatie niet meer gegevens mag verzamelen dat strikt noodzakelijk voor het beoogde doel. Of zoals in de wettekst officieel gesproken wordt: Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.

Lees meer
Wat is privacy by design?

Wat is privacy by design?

Privacy by design wil zeggen dat je tijdens de ontwikkeling van een product of dienst zo goed mogelijk rekening houdt met de privacy van de gebruiker. In het Nederlands wordt dit principe ook wel aangeduid met ‘Gegevensbescherming door ontwerp en door standaardinstellingen’.

Wat is pseudonimiseren?

Wat is pseudonimiseren?

Pseudonimisering is een manier persoonsgegevens te beschermen tegen privacyinbreuk. Wanneer je een persoonsgegeven pseudonimiseert, dan zorg je ervoor dat een persoonsgegeven zonder aanvullende informatie niet meer te herleiden is naar een persoon.

YourSafetynet Q&A (YourSafetynet geeft antwoord)

De ontwikkelingen rondom dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen gaan razendsnel en er worden veel nieuwe termen geïntroduceerd. Onze Q&A geeft inzicht in deze nieuwe terminologieën.

Op Weg Naar De GDPR - Whitepaper YourSafetynet

Whitepaper:
Op weg naar de GDPR

Inmiddels is de nieuwe privacywetgeving AVG een feit. Wat moet je weten? Wat moet je regelen? Onze uitgebreide whitepaper vertelt je alles.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

YourSafetynet Folder

De 4 pijlers van YourSafetynet

Voldoen aan de AVG duur, tijdrovend en ingewikkeld? Niet met YourSafetynet. Onze totaaloplossing maakt jouw organisatie 100% AVG-proof. Zonder ingewikkeld gedoe. Download de 4 pijlers van YourSafeynet.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

Share This