In de AVG / GDPR is in Artikel 17 een belangrijk nieuw recht voor betrokkenen opgenomen: het recht op vergetelheid. Dit geeft betrokkenen het recht op verwijdering van al zijn of haar persoonsgegevens. Dit is een van de manieren waarop de EU haar burgers meer controle en zeggenschap wil geven over hun privacygevoelige data.
Recht van vergetelheid
Wanneer is dit recht van toepassing? Wat is het verschil met de ‘oude’ privacywetgevingen? Wat moet ik doen op het moment dat ik een verwijderingsverzoek krijg? Mag ik een verwijderingsverzoek weigeren? Op welke termijn moet ik aan een verwijderingsverzoek voldoen? Wat heeft dit voor gevolgen voor mijn back-ups? YourSafetynet geeft antwoord.
Wanneer is dit recht van toepassing?
Het recht op vergetelheid is in een aantal gevallen van toepassing:
1. Aanvraag/bezwaar betrokkene
Onder de AVG / GDPR kan de betrokkene te allen tijde verzoeken tot stopzetten van de verwerking van zijn of haar persoonsgegevens. In zo’n geval trekt de betrokkene de eerder gedane toestemming voor de verwerking in. De organisatie moet hieraan gehoor geven en alle aanwezige persoonsgegevens die betrekking hebben op de aanvraag verwijderen en verdere verwerking staken.
Noemenswaardig is ook de rol van direct marketing. Dat is bijvoorbeeld het rechtstreeks benaderen van personen met een nieuwsbrief of mailing. Wanneer de betrokkene bezwaar maakt tegen deze vorm van gegevensverwerking, moet de organisatie hieraan gehoor geven.
2. De persoonsgegevens zijn niet meer relevant
Wanneer de aanwezige persoonsgegevens niet meer nodig zijn voor het eerder beoogde doel, dan moeten deze worden verwijderd. Dit noemen we de verwijderingsplicht. Het is een soort voorzorgsmaatregel: persoonsgegevens die in onbruik zijn geraakt, dragen namelijk een risico met zich mee. Ze kunnen op straat belanden, of zonder toestemming voor andere doeleinden worden verwerkt.
3. De verwerking is niet rechtmatig
Wanneer de verwerking nooit rechtmatig is geweest, geldt altijd het vergetelheidsprincipe. Hier is geen actie van de betrokkene voor vereist. Deze persoonsgegevens moeten altijd worden verwijderd.
4. De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn via een app of website verkregen
In deze gevallen zijn de persoonsgegevens onrechtmatig verkregen. De betrokkene heeft in dit geval recht op vergetelheid: de organisatie moet deze gegevens dus verwijderen.
Wat is het verschil met de ‘oude’ privacywetgevingen?
Onder de Wet bescherming persoonsgegevens (Wbp) en Wet Verwerking Persoonsgegevens (WVP) moesten persoonsgegevens die niet meer ter zake deden ook worden verwijderd. Het recht op vergetelheid gaat echter verder. Organisaties moeten op verzoek van de betrokkene alle betreffende persoonsgegevens kunnen verwijderen en aan dit verzoek onverwijld voldoen.
Wat moet ik doen op het moment dat ik een verwijderingsverzoek krijg?
Allereerst moet de organisatie reageren op het verwijderingsverzoek. Het moet de betrokkene laten weten of het verzoek wordt ingewilligd. Wordt het verzoek digitaal gedaan (via bijvoorbeeld e-mail), dan moet de communicatie hierover ook digitaal plaatsvinden.
De organisatie heeft bij akkoord vervolgens een maand de tijd om het verzoek in te willigen. In uitzonderlijke gevallen mag dit worden opgerekt naar twee maanden (zie vraag ‘Op welke termijn…
De organisatie mag geen kosten in rekening brengen voor het verzoek. Wanneer er sprake is van externe verwerkers die de betrokken persoonsgegevens verwerken, dan moeten zij de opdracht krijgen van de verwerkingsverantwoordelijke (doorgaans de organisatie die het verzoek heeft ontvangen) om de verwerking te stoppen en de gegevens te verwijderen.
Wanneer gegevens op een website zijn vermeld, dan volstaat het niet om de website aan te passen. Ook zal de organisaties zoekmachines moeten informeren over de wijziging, zodat ze de pagina zo snel mogelijk opnieuw kunnen indexeren. De zoekmachine is in dit voorbeeld een externe verwerker.
Mag ik een verwijderingsverzoek weigeren?
Ja, dat mag. Maar alleen als het verzoek betrekking heeft op een uitzonderingsgeval, en verwijdering dus niet wettelijk verplicht is. Bij buitensporig veel verwijderingsverzoeken geldt het redelijkheidsbeginsel. Een organisatie kan dan onder het mom van onuitvoerbaarheid een verzoek weigeren.
Ook zijn niet alle verzoeken tot vergetelheid rechtsgeldig. In zo’n geval mag de organisatie de verwijdering weigeren. Een aantal uitzonderingen zijn bijvoorbeeld:
1. De verwijdering is in strijd met de vrijheid van meningsuiting en nieuwsgaring.
Zo kan een betrokkene een dagblad niet altijd sommeren om een voor hem of haar wellicht schadelijk artikel te verwijderen, wanneer dit volgens de wetten van de vrije nieuwsgaring en meningsuiting tot stand is gekomen.
2. De verwerking is volgens de wet verplicht
Betrokkenen kunnen geen bezwaar maken tegen verwerkingen die volgens de wet verplicht zijn. Denk aan de verwerking van persoonsgegevens door de Belastingdienst.
3. De verwerking is van belang voor de handhaving van openbare orde
Denk hierbij aan de verwerking van persoonsgegevens door politiecorpsen. Daar kan doorgaans geen bezwaar tegen worden gemaakt.
4. De verwerking is in het belang van de volksgezondheid
Het algemene belang van de volksgezondheid gaat boven het recht op vergetelheid. Wanneer verwijdering/stopzetting van de gegevens de volksgezondheid kan schaden, hoeft een organisatie hier dan ook geen gehoor aan te geven.
5. De verwerking is noodzakelijk voor een rechtsvordering
Stopzetting en/of verwijdering van persoonsgegevens mag de rechtstaat niet in gevaar brengen. Zo kan een voorgeleide verdachte niet verzoeken tot stopzetting van zijn of haar persoonsgegevens bij de rechtbank.
6. Er is sprake van een uitzonderlijk geval
In sommige gevallen is een organisatie niet tot actie verplicht wanneer een betrokkene zich beroept op het recht op vergetelheid. Denk aan een crimineel die met een dergelijk verzoek wil voorkomen dat een witwasactie zijn sporen nalaat. De organisatie moet het belang kunnen aantonen van de weigering van de opdracht.
Op welke termijn moet ik aan een verwijderingsverzoek voldoen?
Voor de verwijdering van persoonsgegevens staat in principe een maand. Alleen bij complexe aanvragen mogen organisaties deze termijn oprekken naar twee maanden. Wel moet in zo’n situatie de betrokkene worden ingelicht.
Wat heeft dit voor gevolgen voor mijn back-ups?
De meeste organisaties maken van al hun relevante data een back-up op tape, disk of in de cloud. Daar vallen vrijwel in alle situaties ook persoonsgegevens onder. Wanneer de organisatie persoonsgegevens moet verwijderen, bijvoorbeeld omdat de betrokkene dit verzoekt, dan geldt dat ook voor de persoonsgegevens die in de back-up (of back-ups) aanwezig zijn.
Dit betekent dat de IT-afdeling binnen redelijke termijn (zie vraag over verwijderingstermijn) toegang tot individuele bestanden in de back-ups moet kunnen krijgen, en deze moet kunnen verwijderen. Back-upoplossingen en/of de externe back-updienstverlener moeten hierin technisch kunnen voorzien.
Alle berichten