3 mei 2017

De Avg uitgelegd deel 4: the right to be forgotten

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), EUROPA, INTERNATIONALE DATASTROMEN, PRIVACY, HELPDESK JURIDISCH, VERTROUWEN
The right to be forgotten

Dit is het vierde artikel in de serie over de Algemene verordening gegevensbescherming (Avg). In deze serie besteden we aandacht aan een aantal grote veranderingen op privacy-gebied waarmee ICT-bedrijven geconfronteerd gaan worden. Reden van deze veranderingen zijn de nieuwe Europese privacyregels uit de GDPR (General Data Protection Regulation); de Avg. Bedrijven krijgen tot 25 mei 2018 de tijd om hun bedrijfsvoering op de Avg aan te passen. In dit vierde deel aandacht voor het recht op vergetelheid, oftewel the right to be forgotten.

Wat houdt the right to be forgotten in?

Naast dat je als verwerkingsverantwoordelijke de plicht hebt om transparant te zijn en betrokkenen te informeren over wat je als verwerkingsverantwoordelijke met diens persoonsgegevens doet, heeft een betrokkene ook een aantal rechten. Zo is er het recht op inzage en rectificatie, het recht op beperking van de verwerking en het recht op verwijdering van zijn persoonsgegevens, oftewel the right to be forgotten. Het achterliggende principe is dat een betrokkene het recht op verwijdering van zijn gegevens heeft als er geen goede reden (meer) is om zijn gegevens nog langer te verwerken.

Wanneer moeten persoonsgegevens verwijderd worden?

The right to bo forgotten is niet absoluut. Betrokkenen hebben echter het recht om een verzoek tot verwijdering te doen in de volgende gevallen:

  1. De persoonsgegevens zijn niet langer meer nodig voor de doeleinden waarvoor ze zijn verzameld of anderszins verwerkt.
  2. De betrokkene trekt zijn eerder gegeven toestemming in. De betrokkene moet zijn toestemming op dezelfde manier kunnen intrekken als dat hij hem gegeven heeft.
  3. De betrokkene maakt bezwaar tegen de verwerking voor zijn specifieke situatie en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking.
  4. De betrokkene maakt bezwaar tegen de verwerking van zijn gegevens ten behoeve van direct marketing inclusief daaraan gerelateerde profiling.
  5. De persoonsgegevens zijn onrechtmatig verwerkt.
  6. De gegevens moeten gewist worden om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
  7. Het gaat om toestemming gegeven door/voor minderjarigen voor diensten van de informatiemaatschappij (zoals social networks of online games).

De meeste van deze redenen voor verwijdering liggen voor de hand. Zo moet de verwerkingsverantwoordelijke er zelf al voor zorgen dat hij niet méér gegevens verzamelt en verwerkt dan nodig is voor het doel. Als dat dan toch gebeurd is, kan de betrokkene dus om verwijdering vragen.

Als een betrokkene om verwijdering vraagt, maar er is een dwingende, gerechtvaardigde reden om de gegevens toch te blijven verwerken, dan mag dat. Bijvoorbeeld als een schizofrene patiënt een arts verzoekt deze diagnose uit het dossier te verwijderen, dan behoeven deze niet te worden verwijderd. Omgekeerd moeten gegevens die niet meer relevant zijn, verwijderd worden. Bijvoorbeeld als iemand zijn straf heeft uitgezeten, moet hij uiteindelijk een ‘tweede kans’ krijgen en niet steeds weer geconfronteerd worden met een oude veroordeling.

Bij grond C moet een belangenafweging gemaakt worden. De Autoriteit Persoonsgegevens (AP) geeft in dit kader het volgende voorbeeld: voor een epidemiologisch onderzoek worden medische gegevens centraal vergaard en alle geldende regels zijn in acht genomen. Als een patiënt, wiens gegevens daar in een herleidbare vorm opgeslagen zijn, verneemt dat een bekende van hem, voor wie hij zijn ziekte verborgen wil houden, als onderzoeker bij dat centrum aangesteld is, dan kan hij er persoonlijk een gerechtvaardigd belang bij hebben dat de hem betreffende gegevens verwijderd worden of zodanig bewerkt worden dat zij redelijkerwijs niet meer tot hem herleidbaar zijn.

Recht op inzage en recht op rectificatie

The right to be forgotten ligt in het verlengde van het recht op inzage en het recht op rectificatie. Een betrokkene kan bij een verwerkingsverantwoordelijke inzage vragen in de gegevens die over hem verwerkt worden. De verwerkingsverantwoordelijke moet dan de volgende informatie verstrekken bij een inzageverzoek:

  1. De verwerkingsdoeleinden (waarom wordt er verwerkt).
  2. De categorieën van gegevens.
  3. De ontvangers aan wie de gegevens vertrekt worden, met name als dit ontvangers in landen buiten de Europese Economische Ruimte zijn.
  4. Bij doorgifte naar een derde land: wat de passende waarborgen in dat land zijn.
  5. De duur van de opslag van de gegevens.
  6. Het feit dat de betrokkene recht heeft op rectificatie, beperking van de verwerking en bezwaar.
  7. Dat de betrokkene bezwaar kan maken bij de toezichthouder.
  8. Wat de bron van de gegevens is (waar komen ze vandaan).
  9. Wanneer er sprake is van geautomatiseerde besluitvorming of profiling: wat de daaraan ten grondslag liggende logica is en de gevolgen van de verwerking zijn.
  10. Een kopie van de persoonsgegevens zelf.

Bij inzage moet rekening gehouden worden met de belangen van eventuele derden. Zo kan bijvoorbeeld geweigerd worden om inzage te geven in de persoonlijke aantekeningen over een betrokkene van medewerkers. Ook het afschermen van gegevens kan hier van belang zijn.

Een berucht verhaal is dat van een vrouw die van het ene naar het andere blijf-van-mijn-lijf-huis moest omdat haar mishandelende echtgenoot haar steeds weer wist te vinden. Het bleek dat haar nieuwe adres opgenomen werd in de bestanden van de ziektekostenverzekeraar die keer op keer inzage verleende aan de echtgenoot. Hier was verwijdering of blokkering op zijn plek geweest.

Als de gegevens niet correct zijn, heeft de betrokkene het recht op rectificatie van onjuiste gegevens of aanvulling van onvolledige gegevens. Rectificatie kan ook inhouden het opnemen van een aanvullende verklaring van de betrokkene. Met name als partijen het niet eens zijn (in een medisch dossier of een HR-dossier) dan kan een aanvulling of verklaring van belang zijn voor de betrokkene.

Zijn er uitzonderingen?

Jazeker. Gegevens hoeven niet verwijderd te worden voor zover de verwerking nodig is:

  1. Voor de uitoefening van het recht op vrijheid van meningsuiting en informatie.
  2. Voor het nakomen van een wettelijke plicht van de verwerkingsverantwoordelijke (bijvoorbeeld de verplichte salarisadministratie en opname van BSN-nummer in het HR-dossier voor de Belastingdienst).
  3. Met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek.
  4. Voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Bij een (dreigend) conflict hoeft een verwerkingsverantwoordelijke dus niet op verzoek van de betrokkene al zijn bewijs te vernietigen omdat de betrokkene zich op the right to be forgotten beroept.

Wat is het verschil met de Wet bescherming persoonsgegevens?

In een digitale wereld, waar opslagruimte vrijwel onbeperkt lijkt te zijn en nooit meer iets wordt weggegooid, heeft het recht op het verwijderen van gegevens meer aandacht gekregen. Maar het bestaat al onder de huidige Wet bescherming persoonsgegevens (Wbp).

Nu is alleen een aantal redenen voor verwijdering meer expliciet gemaakt. Zo stond intrekken van toestemming niet in de wet, maar is het eigenlijk wel logisch dat een verwerkingsverantwoordelijke moet stoppen met verwerken als iemand zijn eerder gegeven toestemming intrekt, en er geen andere goede grond is om de verwerking toch voort te zetten. Ook is explicieter gemaakt dat een inmiddels meerderjarige zijn (door zijn ouders gegeven) als minderjarige gegeven toestemming ingetrokken kan worden. Nieuw is dat profiling expliciet genoemd wordt.

Zijn er nog andere verplichtingen?

Ja. Een verwerkingsverantwoordelijke moet elke ontvanger van wie persoonsgegevens verwerkt zijn in kennis stellen van elke rectificatie, verwijdering of beperking van de verwerking als gevolg van een verzoek van de betrokkene. Ook moet de verwerkingsverantwoordelijke de betrokkene op diens verzoek informatie over die derden verstrekken. Met name wanneer persoonsgegevens publiekelijk beschikbaar gemaakt zijn, zoals op een social network, moet de verwerkingsverantwoordelijke zich nadrukkelijk inspannen om ervoor te zorgen dat derden links en kopieën (mirrors) verwijderen.

Toepassen in de praktijk: waar moet een verwerkingsverantwoordelijke op letten?

Veel van de informatie die bij een inzageverzoek verstrekt moet worden, moet al binnen de organisatie aanwezig zijn. Die informatie is bijvoorbeeld af te leiden uit het register van gegevensverwerkingen en uit de privacy-statements. Met die gegevens kan een standaardreactie op inzage-, rectificatie- en verwijderingsverzoeken al voorbereid worden.

Om lid-bedrijven op weg te helpen, hebben we hiervoor een Handleiding Inzage- en verwijderverzoeken opgesteld. Deze is te vinden in de ledenomgeving MijnNederlandICT.

Wat als ik nog vragen heb?

Via de Helpdesk Avg geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy. Nederland ICT organiseert ook verschillende workshops en bijeenkomsten. Leden van Nederland ICT kunnen kosteloos deelnemen. Ben je nog geen lid en wil je ook profiteren van deze en vele andere mogelijkheden van het lidmaatschap? Bekijk de voordelen!

Wil je regelmatig een update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze Avg nieuwsbrief.

NLdigital respecteert jouw privacy. Daarom geven we je de controle over de manier waarop wij met je data omgaan.

In onze privacyverklaring lees je hoe we dat doen. Hieronder lees je over de cookies die we gebruiken.

Privacystatement
Instellingen

NLdigital respecteert jouw privacy

Daarom geven we je de controle over de manier waarop wij met je data omgaan. In onze privacyverklaring lees je hoe we dat doen. Hieronder lees je over de cookies die we gebruiken.

Deze cookies zijn noodzakelijk voor het tonen van de website en de bijbehorende functionaliteit, en voor het uitvoeren van de gevraagde dienstverlening.

Lees meer

We optimaliseren continu onze website. Daarvoor analyseren we websitebezoek via Google Analytics. Dit hebben we op de privacyvriendelijke wijze, volgens de handleiding van de Autoriteit Persoonsgegevens, ingericht.

Lees meer

Met Linkedincampagnes introduceren we ons collectief en onze diensten in de digitale sector. We slaan gegevens over websitebezoek op om de effectiviteit van onze advertenties te meten, om advertenties te leveren die relevant zijn en om het aantal keren dat je een advertentie ziet te beperken.

Lees meer
Vergeet alles Jouw voorkeuren zijn verwijderd