LEES
Risk & Compliance

De AVG en het recht om vergeten te worden

Sinds 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. Onderdeel van de AVG is het recht om vergeten te worden (artikel 17). Wanneer je als organisatie geen goede reden (meer) hebt om iemands persoonsgegevens nog langer te verwerken, dan is het belangrijk dat je deze gegevens wist. Betrokkenen hebben het recht op vergetelheid, dus dat je hen ‘vergeet’. Zij kunnen daarom vragen voordat jouw eigen bewaartermijnen verlopen. Hoe ga je hiermee om?

Geschreven door:
eric de vries
Eric de Vries
Risk & Compliance consultant
Datum:2 april 2022

Het recht om vergeten te worden

Betrokkenen kunnen je in een aantal gevallen vragen om hun persoonsgegevens te verwijderen. In de volgende situaties moet je de persoonsgegevens van een betrokkene wissen:

  • Niet langer nodig: Je heeft de persoonsgegevens niet meer nodig voor het doel waarvoor je ze hebt verzameld of waarvoor je ze verwerkt.
  • Toestemming ingetrokken: Een betrokkene heeft je eerder toestemming gegeven voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.
  • Bezwaar: Een betrokkene maakt bezwaar tegen het gebruik van zijn gegevens. Bijvoorbeeld vanwege een gewijzigde persoonlijke situatie.
  • Onrechtmatige verwerking: Je verwerkt de persoonsgegevens van de betrokkene onrechtmatig. Bijvoorbeeld omdat je geen wettelijke grondslag heeft voor de verwerking.
  • Wettelijke bewaartermijn verstreken: Je bent wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
  • Apps en websites voor kinderen: Je hebt persoonsgegevens van een betrokkene jonger dan 16 jaar verzameld via een app of website.

Het recht om vergeten te worden geldt niet in een aantal uitzonderingsgevallen. Je mag de gegevens bijvoorbeeld niet wissen als je wettelijk verplicht bent iemands gegevens te gebruiken of een bepaalde tijd te bewaren.

Hoe organiseer je het recht om vergeten te worden in jouw organisatie?

Wanneer je naar aanleiding van een individueel verzoek iemands gegevens verwijdert, moet je ook de verwerkers en derden aan wie je de persoonsgegevens hebt verstrekt laten weten dat zij bepaalde persoonsgegevens moeten wissen. Zorg ervoor dat je alles goed controleert. Zodat iemand bijvoorbeeld niet alsnog een reclamemail ontvangt terwijl je hebt bevestigd dat zijn/haar e-mailadres is gewist uit de bestanden van de organisaties.

Mensen vragen organisaties soms om te bewijzen dat hun persoonsgegevens na een verzoek ook echt gewist zijn. Het is echter niet te bewijzen dat je persoonsgegevens niet (meer) hebt. Wel kun je aangeven wat er is gedaan met specifieke persoonsgegevens. Volgens de wet ben je verplicht om mensen terugkoppeling te geven als zij een beroep doen op hun privacyrechten. Op basis van die reactie mag iemand ervan uitgaan dat jouw bevestiging klopt. Geef de terugkoppeling bij voorkeur schriftelijk (bijvoorbeeld per e-mail). Wees zo specifiek mogelijk, bijvoorbeeld over welke gegevens je hebt gewist en wanneer. Geef ook met redenen aan welke persoonsgegevens je niet hebt gewist en eventueel wanneer je dat wel gaat doen.

Wanneer iemand twijfelt over de uitvoering van zijn verzoek, kan hij/zij een klacht indienen bij de Autoriteit Persoonsgegevens.

Anonimiseren

Wanneer de bewaartermijn van de persoonsgegevens verstreken is, moet je deze ook verwijderen op grond van het recht om vergeten te worden. In veel gevallen is het echter technisch niet mogelijk om gegevens daadwerkelijk uit systemen te verwijderen. Om dit te ondervangen, kunnen de gegevens worden geanonimiseerd. Dit wordt ook wel datamasking genoemd. Dit is een onomkeerbare methode waarbij de persoonsgegevens zodanig worden bewerkt dat deze niet meer gebruikt kunnen worden om een persoon te identificeren. Wanneer data geanonimiseerd zijn, is de AVG niet meer van toepassing omdat het op dat moment geen persoonsgegevens meer zijn.

Bijkomend voordeel is dat op deze manier gegevens bewaard kunnen blijven voor bijvoorbeeld statistische doeleinden. Het anonimiseren dient wel te gebeuren door daartoe geautoriseerde personen en binnen de geldende regels. Tot het moment dat de gegevens zijn geanonimiseerd zijn het immers nog persoonsgegevens waarop de AVG van toepassing is.

Methoden om gegevens te anonimiseren zijn:

  • Gegevens kunnen geheel willekeurig in andere data worden vertaald.
  • Gegevens binnen een dataset kunnen worden verschoven. Achternamen kunnen bijvoorbeeld worden verwisseld.
  • Bepaalde gegevens, zoals de eerste cijfers van een nummer, kunnen worden gewist.
  • Alle dag- of maandnummers kunnen worden vervangen door hetzelfde getal, bijvoorbeeld een nul of één.
  • Gegevens kunnen (deels) worden vervangen door willekeurige, fictieve gegevens uit een andere gegevensverzameling.
  • Gegevens kunnen via vooraf gedefinieerde regels worden vervangen.
  • Belangrijkste voorwaarde is dat het proces onomkeerbaar moet zijn. De sleutel die gebruikt is om gegevens te anonimiseren mag niet worden bewaard. Als die sleutel er nog wel is, gaat het om pseudonimiseren. De gepseudonimiseerde persoonsgegevens vallen nog steeds onder de AVG.

Is jouw organisatie (nog) AVG-proof?

Privacybescherming is een continu proces dat bijdraagt aan het vertrouwen van mensen in jouw organisatie. Toch blijkt dat veel organisaties vragen hebben over de implementatie van de AVG in de praktijk. Hoe faciliteer je als organisatie de privacyrechten van de klant? Of hoe zit het met de gegevensverwerking van werknemers? En wanneer moet je een datalek melden bij de Autoriteit Persoonsgegevens?

De Autoriteit Persoonsgegevens heeft een checklist met 10 vragen beschikbaar gesteld die je kan helpen om te toetsen of uw organisatie (nog steeds) voldoet aan een aantal belangrijke AVG-verplichtingen. Is jouw organisatie AVG proof, of moet je nog actie ondernemen? Ons e-paper helpt je dit te bepalen. 

E-paper: Is jouw organisatie nog steeds AVG proof?
Neem contact op

Ontdek gerelateerde inzichten

LEES VERDER