LEES
Risk & Compliance

De AVG en het recht om vergeten te worden

Sinds 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht. Onderdeel van de AVG is het recht om vergeten te worden (artikel 17). Wanneer je als organisatie geen goede reden (meer) hebt om iemands persoonsgegevens nog langer te verwerken, dan is het belangrijk dat je deze gegevens wist. Betrokkenen hebben het recht op vergetelheid, dus dat je hen ‘vergeet’. Zij kunnen daarom vragen voordat jouw eigen bewaartermijnen verlopen. Hoe ga je hiermee om?

Geschreven door:
eric de vries
Eric de Vries
Risk & Compliance consultant
Datum:2 april 2022

Het recht om vergeten te worden

Betrokkenen kunnen u in een aantal gevallen Data om hun persoonlijke data te verwijderen. U data de data van een betrokkene in de volgende situaties verwijderen:

  • Niet langer nodig: Je heeft de persoonsgegevens niet meer nodig voor het doel waarvoor je ze hebt verzameld of waarvoor je ze verwerkt.
  • Toestemming ingetrokken: Een betrokkene heeft je eerder toestemming gegeven voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.
  • Bezwaar: Een betrokkene maakt bezwaar tegen het gebruik van zijn gegevens. Bijvoorbeeld vanwege een gewijzigde persoonlijke situatie.
  • Onrechtmatige verwerking: Je verwerkt de data van de data onrechtmatig. Bijvoorbeeld omdat je geen legal grondslag hebt voor de verwerking.
  • Wettelijke bewaartermijn verstreken: Je bent wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
  • Apps en websites voor kinderen: Je hebt persoonsgegevens van een betrokkene jonger dan 16 jaar verzameld via een app of website.

Het recht om vergeten te worden geldt niet in sommige uitzonderlijke gevallen. U mag bijvoorbeeld geen data wissen als u wettelijk verplicht bent om iemands data te gebruiken of gedurende een bepaalde tijd te bewaren.

Hoe organiseer je het recht om vergeten te worden in jouw organisatie?

Wanneer je iemands data verwijdert als reactie op een individueel verzoek, moet je ook de verwerkers en derden aan wie je de data hebt verstrekt, informeren dat zij bepaalde data moeten verwijderen. Zorg ervoor dat je alles zorgvuldig controleert. Zodat iemand bijvoorbeeld niet nog steeds een reclame-e-mail ontvangt, ook al heb je bevestigd dat zijn/haar e-mailadres uit de bestanden van de organisaties is verwijderd.

Mensen vragen organisaties soms om te bewijzen dat hun persoonlijke data na een verzoek echt zijn verwijderd. Het is echter niet mogelijk om te bewijzen dat je geen data (meer) hebt. Je kunt wel aangeven wat er met bepaalde data is gedaan. Je bent wettelijk verplicht om mensen feedback te geven als ze zich beroepen op hun privacy . Op basis van die reactie mag iemand aannemen dat je bevestiging juist is. Geef de feedback bij voorkeur schriftelijk (bijvoorbeeld per e-mail). Wees zo specifiek mogelijk, bijvoorbeeld over welke data je hebt verwijderd en wanneer. Geef ook gemotiveerd aan welke data je niet hebt verwijderd en eventueel wanneer je dat wel gaat doen.

Wanneer iemand twijfelt over de uitvoering van zijn verzoek, kan hij/zij een klacht indienen bij de Autoriteit Persoonsgegevens.

Anonimiseren

Wanneer de bewaartermijn van de persoonsgegevens verstreken is, moet je deze ook verwijderen op grond van het recht om vergeten te worden. In veel gevallen is het echter technisch niet mogelijk om gegevens daadwerkelijk uit systemen te verwijderen. Om dit te ondervangen, kunnen de gegevens worden geanonimiseerd. Dit wordt ook wel datamasking genoemd. Dit is een onomkeerbare methode waarbij de persoonsgegevens zodanig worden bewerkt dat deze niet meer gebruikt kunnen worden om een persoon te identificeren. Wanneer data geanonimiseerd zijn, is de AVG niet meer van toepassing omdat het op dat moment geen persoonsgegevens meer zijn.

Bijkomend voordeel is dat op deze manier gegevens bewaard kunnen blijven voor bijvoorbeeld statistische doeleinden. Het anonimiseren dient wel te gebeuren door daartoe geautoriseerde personen en binnen de geldende regels. Tot het moment dat de gegevens zijn geanonimiseerd zijn het immers nog persoonsgegevens waarop de AVG van toepassing is.

Methoden om gegevens te anonimiseren zijn:

  • Gegevens kunnen geheel willekeurig in andere data worden vertaald.
  • Gegevens binnen een dataset kunnen worden verschoven. Achternamen kunnen bijvoorbeeld worden verwisseld.
  • Bepaalde gegevens, zoals de eerste cijfers van een nummer, kunnen worden gewist.
  • Alle dag- of maandnummers kunnen worden vervangen door hetzelfde getal, bijvoorbeeld een nul of één.
  • Gegevens kunnen (deels) worden vervangen door willekeurige, fictieve gegevens uit een andere gegevensverzameling.
  • Gegevens kunnen via vooraf gedefinieerde regels worden vervangen.
  • Belangrijkste voorwaarde is dat het proces onomkeerbaar moet zijn. De sleutel die gebruikt is om gegevens te anonimiseren mag niet worden bewaard. Als die sleutel er nog wel is, gaat het om pseudonimiseren. De gepseudonimiseerde persoonsgegevens vallen nog steeds onder de AVG.

Is jouw organisatie (nog) AVG-proof?

Privacy is een continu proces dat bijdraagt aan het vertrouwen van mensen in je organisatie. Toch blijkt dat veel organisaties vragen hebben over het implementeren van de AVG in de praktijk. Hoe faciliteer je als organisatie privacy van klanten? Of hoe zit het met de data van medewerkers? En wanneer moet je een data melden bij de Autoriteit Data ?

De Autoriteit Persoonsgegevens heeft een checklist met 10 vragen beschikbaar gesteld die je kan helpen om te toetsen of uw organisatie (nog steeds) voldoet aan een aantal belangrijke AVG-verplichtingen. Is jouw organisatie AVG proof, of moet je nog actie ondernemen? Ons e-paper helpt je dit te bepalen. 

E-paper: Is jouw organisatie nog steeds AVG proof?
Neem contact met ons op

Ontdek gerelateerde inzichten

LEES VERDER