Avg uitgelegd: wat is ’the right to be forgotten’

In de serie Avg uitgelegd nemen we de belangrijkste begrippen uit de Avg onder de loep. Tip: wil je de basis nog eens doornemen? Begin dan bij 10 vragen en antwoorden over de Avg. In dit artikel deel aandacht voor het recht op vergetelheid, oftewel the right to be forgotten.

Wat houdt the right to be forgotten in?

Naast dat je als verwerkingsverantwoordelijke de plicht hebt om transparant te zijn en betrokkenen te informeren over wat je als verwerkingsverantwoordelijke met diens persoonsgegevens doet, heeft een betrokkene ook een aantal rechten. Zo is er het recht op inzage en rectificatie, het recht op beperking van de verwerking en het recht op verwijdering van zijn persoonsgegevens, oftewel the right to be forgotten. Het achterliggende principe is dat een betrokkene het recht op verwijdering van zijn gegevens heeft als er geen goede reden (meer) is om zijn gegevens nog langer te verwerken.

Wanneer moeten persoonsgegevens verwijderd worden?

The right to bo forgotten is niet absoluut. Betrokkenen hebben echter het recht om een verzoek tot verwijdering te doen in de volgende gevallen:

De meeste van deze redenen voor verwijdering liggen voor de hand. Zo moet de verwerkingsverantwoordelijke er zelf al voor zorgen dat hij niet méér gegevens verzamelt en verwerkt dan nodig is voor het doel. Als dat dan toch gebeurd is, kan de betrokkene dus om verwijdering vragen.

Wanneer hoeven persoonsgegevens niet verwijderd te worden?

Als een betrokkene om verwijdering vraagt, maar er is een dwingende, gerechtvaardigde reden om de gegevens toch te blijven verwerken, dan mag dat. Bijvoorbeeld als een schizofrene patiënt een arts verzoekt deze diagnose uit het dossier te verwijderen, dan behoeven deze niet te worden verwijderd. Omgekeerd moeten gegevens die niet meer relevant zijn verwijderd worden. Bijvoorbeeld als iemand zijn straf heeft uitgezeten. Hij moet uiteindelijk een ‘tweede kans’ krijgen en niet steeds weer geconfronteerd worden met een oude veroordeling.

Bij grond C moet een belangenafweging gemaakt worden. De Autoriteit Persoonsgegevens (AP) geeft in dit kader het volgende voorbeeld: voor een epidemiologisch onderzoek worden medische gegevens centraal vergaard en alle geldende regels zijn in acht genomen. Van een patiënt zijn de gegevens in een herleidbare vorm opgeslagen. De patiënt verneemt dat een bekende van hem, voor wie hij zijn ziekte verborgen wil houden, als onderzoeker bij dat centrum aangesteld is. In dat geval kan hij er persoonlijk een gerechtvaardigd belang bij hebben dat de hem betreffende gegevens verwijderd worden of zodanig bewerkt worden dat zij redelijkerwijs niet meer tot hem herleidbaar zijn.

Wat is het verschil met het recht op inzage en recht op rectificatie?

The right to be forgotten ligt in het verlengde van het recht op inzage en het recht op rectificatie. Een betrokkene kan bij een verwerkingsverantwoordelijke inzage vragen in de gegevens die over hem verwerkt worden. De verwerkingsverantwoordelijke moet dan de volgende informatie verstrekken bij een inzageverzoek:

Bij inzage moet rekening gehouden worden met de belangen van eventuele derden. Zo kan bijvoorbeeld geweigerd worden om inzage te geven in de persoonlijke aantekeningen over een betrokkene van medewerkers. Ook het afschermen van gegevens kan hier van belang zijn.

Een berucht verhaal is dat van een vrouw die van het ene naar het andere blijf-van-mijn-lijf-huis moest, omdat haar mishandelende echtgenoot haar steeds weer wist te vinden. Het bleek dat haar nieuwe adres opgenomen werd in de bestanden van de ziektekostenverzekeraar die keer op keer inzage verleende aan de echtgenoot. Hier was verwijdering of blokkering op zijn plek geweest.

Als de gegevens niet correct zijn, heeft de betrokkene het recht op rectificatie van onjuiste gegevens of aanvulling van onvolledige gegevens. Rectificatie kan ook inhouden het opnemen van een aanvullende verklaring van de betrokkene. Met name als partijen het niet eens zijn (in een medisch dossier of een HR-dossier) dan kan een aanvulling of verklaring van belang zijn voor de betrokkene.

Zijn er uitzonderingen?

Jazeker. Gegevens hoeven niet verwijderd te worden voor zover de verwerking nodig is:

Wat is het verschil met de Wet bescherming persoonsgegevens?

In een digitale wereld, waar opslagruimte vrijwel onbeperkt lijkt te zijn en nooit meer iets wordt weggegooid, heeft het recht op het verwijderen van gegevens meer aandacht gekregen. Maar het bestaat al onder de huidige Wet bescherming persoonsgegevens (Wbp).

Nu is alleen een aantal redenen voor verwijdering meer expliciet gemaakt. Zo stond intrekken van toestemming niet in de wet, maar is het eigenlijk wel logisch dat een verwerkingsverantwoordelijke moet stoppen met verwerken als iemand zijn eerder gegeven toestemming intrekt, en er geen andere goede grond is om de verwerking toch voort te zetten. Ook is explicieter gemaakt dat een inmiddels meerderjarige zijn (door zijn ouders gegeven) als minderjarige gegeven toestemming ingetrokken kan worden. Nieuw is dat profiling expliciet genoemd wordt.

Zijn er nog andere verplichtingen?

Ja. Een verwerkingsverantwoordelijke moet elke ontvanger van wie persoonsgegevens verwerkt zijn in kennis stellen van elke rectificatie, verwijdering of beperking van de verwerking als gevolg van een verzoek van de betrokkene. Ook moet de verwerkingsverantwoordelijke de betrokkene op diens verzoek informatie over die derden verstrekken. Met name wanneer persoonsgegevens publiekelijk beschikbaar gemaakt zijn, zoals op een social network, moet de verwerkingsverantwoordelijke zich nadrukkelijk inspannen om ervoor te zorgen dat derden links en kopieën (mirrors) verwijderen

Toepassen in de praktijk: waar moet een verwerkingsverantwoordelijke op letten?

Veel van de informatie die bij een inzageverzoek verstrekt moet worden, moet al binnen de organisatie aanwezig zijn. Die informatie is bijvoorbeeld af te leiden uit het register van gegevensverwerkingen en uit de privacy-statements. Met die gegevens kan een standaardreactie op inzage-, rectificatie- en verwijderingsverzoeken al voorbereid worden.

Om (lid)bedrijven op weg te helpen, hebben we hiervoor een Handleiding Inzage- en verwijderverzoeken opgesteld.

Meer informatie

Onze juristen geven advies en ondersteuning bij vraagstukken op het gebied van privacy. Heb je vragen of wil je meer informatie? Kijk dan in onze kennisbank of neem contact op met onze juristen.


Deel via:

Gerelateerde artikelen

3 gevaarlijke mythes over privacy en hoe je ze effectief ontkracht

Rondom privacy bestaat veel onbegrip in de samenleving. In deze blog delen we drie hardnekkige mythes over privacy om jou…
Avg & privacy

Een datalekkenprotocol: waarom is dat belangrijk?

Met een datalekkenprotocol is duidelijk wat je moet doen in het geval dat er zich een incident voordoet, weet je…
Avg & privacy

Voorbeeld datalekkenprotocol

Voor datalekken geldt uiteraard: voorkomen is beter dan genezen. Maar in het geval dat het toch misgaat, is het goed…
Avg & privacy