Op 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht geworden. Onderdeel van de AVG is het recht om vergeten te worden (artikel 17). Wanneer u als organisatie geen goede reden (meer) heeft om iemands persoonsgegevens nog langer te verwerken, dan is het belangrijk dat u deze gegevens wist. Maar betrokkenen hebben het recht op vergetelheid, dus dat u hen ‘vergeet’. Zij kunnen daarom vragen voordat uw eigen bewaartermijnen verlopen.
Waar heeft uw klant recht op?
Betrokkenen kunnen u in een aantal gevallen vragen om hun persoonsgegevens te verwijderen. In de volgende situaties moet u de persoonsgegevens van een betrokkene wissen:
- Niet meer nodig
U heeft de persoonsgegevens niet meer nodig voor het doel waarvoor u ze heeft verzameld of waarvoor u ze verwerkt. - Toestemming ingetrokken
Een betrokkene heeft u eerder toestemming gegeven voor het gebruik van zijn gegevens, maar trekt die toestemming nu in. - Bezwaar
Een betrokkene maakt bezwaar tegen het gebruik van zijn gegevens. Bijvoorbeeld vanwege een gewijzigde persoonlijke situatie. - Onrechtmatige verwerking
U verwerkt de persoonsgegevens van de betrokkene onrechtmatig. Bijvoorbeeld omdat u geen wettelijke grondslag heeft voor de verwerking. - Wettelijk bepaalde bewaartermijn verlopen
U bent wettelijk verplicht om de gegevens na bepaalde tijd te wissen. - Apps en websites bij kinderen
U heeft persoonsgegevens van een betrokkene jonger dan 16 jaar verzameld via een app of website.
Het recht om vergeten te worden geldt niet in een aantal uitzonderingsgevallen. U mag de gegevens bijvoorbeeld niet wissen als u wettelijk verplicht bent iemands gegevens te gebruiken of een bepaalde tijd te bewaren.
Hoe organiseert u het recht om vergeten te worden in uw organisatie?
Wanneer u naar aanleiding van een individueel verzoek iemands gegevens verwijdert, moet u ook uw verwerkers en derden aan wie u de persoonsgegevens heeft verstrekt laten weten dat zij bepaalde persoonsgegevens moeten wissen. Zorg ervoor dat u alles goed controleert. Zodat iemand bijvoorbeeld niet alsnog een reclamemail van u ontvangt terwijl u heeft bevestigd dat zijn/haar e-mailadres is gewist uit uw bestanden.
Mensen vragen organisaties soms om te bewijzen dat hun persoonsgegevens na een verzoek ook echt gewist zijn. Het is echter niet te bewijzen dat u persoonsgegevens niet (meer) heeft. Wel kunt u aangeven wat er is gedaan met specifieke persoonsgegevens. Volgens de wet bent u verplicht om mensen terugkoppeling te geven als zij een beroep doen op hun privacyrechten. Op basis van die reactie mag iemand ervan uitgaan dat uw bevestiging klopt. Geef de terugkoppeling bij voorkeur schriftelijk (bijvoorbeeld per e-mail). Wees zo specifiek mogelijk, bijvoorbeeld over welke gegevens u heeft gewist en wanneer. Geef ook met redenen aan welke persoonsgegevens u niet heeft gewist en eventueel wanneer u dat wel gaat doen.
Wanneer iemand twijfelt over de uitvoering van zijn verzoek, kan hij/zij een klacht indienen bij de Autoriteit Persoonsgegevens.
Anonimiseren
Wanneer de bewaartermijn van de persoonsgegevens verstreken is, moet u deze ook verwijderen op grond van het recht om vergeten te worden. In veel gevallen is het echter technisch niet mogelijk om gegevens daadwerkelijk uit systemen te verwijderen. Om dit te ondervangen, kunnen de gegevens worden geanonimiseerd. Dit wordt ook wel datamasking genoemd. Dit is een onomkeerbare methode waarbij de persoonsgegevens zodanig worden bewerkt dat deze niet meer gebruikt kunnen worden om een persoon te identificeren. Wanneer data geanonimiseerd zijn, is de AVG niet meer van toepassing omdat het op dat moment geen persoonsgegevens meer zijn.
Bijkomend voordeel is dat op deze manier gegevens bewaard kunnen blijven voor bijvoorbeeld statistische doeleinden. Het anonimiseren dient wel te gebeuren door daartoe geautoriseerde personen en binnen de geldende regels. Tot het moment dat de gegevens zijn geanonimiseerd zijn het immers nog persoonsgegevens waarop de AVG van toepassing is.
Methoden om gegevens te anonimiseren zijn:
- Gegevens kunnen geheel willekeurig in andere data worden vertaald.
- Gegevens binnen een dataset kunnen worden verschoven. Achternamen kunnen bijvoorbeeld worden verwisseld.
- Bepaalde gegevens, zoals de eerste cijfers van een nummer, kunnen worden gewist.
- Alle dag- of maandnummers kunnen worden vervangen door hetzelfde getal, bijvoorbeeld een nul of één.
- Gegevens kunnen (deels) worden vervangen door willekeurige, fictieve gegevens uit een andere gegevensverzameling.
- Gegevens kunnen via vooraf gedefinieerde regels worden vervangen.
Belangrijkste voorwaarde is dat het proces onomkeerbaar moet zijn. De sleutel die gebruikt is om gegevens te anonimiseren mag niet worden bewaard. Als die sleutel er nog wel is, gaat het om pseudonimiseren. De gepseudonimiseerde persoonsgegevens vallen nog steeds onder de AVG.
Is uw organisatie (nog steeds) AVG proof?
Privacybescherming is een continu proces dat bijdraagt aan het vertrouwen van mensen in uw organisatie. Toch blijkt dat veel organisaties vragen hebben over de implementatie van de AVG in de praktijk. Hoe faciliteert u als organisatie de privacyrechten van uw klant? Of hoe zit het met de gegevensverwerking van werknemers? En wanneer moet u een datalek melden bij de Autoriteit Persoonsgegevens?
De Autoriteit Persoonsgegevens heeft een checklist met 10 vragen beschikbaar gesteld die u kan helpen om te toetsen of uw organisatie (nog steeds) voldoet aan een aantal belangrijke AVG-verplichtingen. Is uw organisatie AVG proof, of moet u nog actie ondernemen? Download de epaper ‘Is uw organisatie AVG- proof?’.
Download e-paperMeer weten?
Meer weten over de AVG? Volg dan onze AVG Awareness training. Na afronding van de e-learning bent u bekend met de privacyregels en weet u in de praktijk om te gaan met persoonsgegevens, datalekken en de rechten van betrokkenen.
Onze specialisten adviseren u graag over de naleving van de AVG. Neem geheel vrijblijvend contact met ons op via onderstaande button.
Contact