De Europese Algemene Verordening Gegevensbescherming (GDPR) heeft de rechten van burgers versterkt. Daartoe behoort het recht op het wissen van persoonsgegevens, ook bekend als het “recht om te worden vergeten”. Maar hoe kan het in de praktijk worden uitgeoefend?
Het recht om te worden vergeten houdt in dat betrokkenen de voor de verwerking verantwoordelijke kunnen verzoeken hun persoonsgegevens te wissen. In artikel 17 van de GDPR worden de gronden opgesomd waarop betrokkenen zich op dit recht kunnen beroepen. De belangrijkste daarvan zijn:
- Omschrijving van het doel van de opslag: een centraal beginsel van de GDPR is dat elke opslag en verwerking van persoonsgegevens aan een doel moet worden gekoppeld. Dit betekent ook dat zodra het doel niet langer bestaat, de gegevens niet langer mogen worden opgeslagen.
- Herroeping van toestemming: Toestemming van de betrokkene wordt beschouwd als een mogelijke grondslag voor de verwerking van persoonsgegevens. Indien deze wordt ingetrokken, moeten alle gegevens waarvoor oorspronkelijk toestemming was gegeven, worden gewist, tenzij er een andere rechtsgrondslag is voor de verwerking van de gegevens. De intrekking heeft geen gevolgen voor de rechtmatigheid van de reeds uitgevoerde verwerking.
- Onrechtmatige verwerking: indien de gegevensverwerking van meet af aan onrechtmatig was, kan de betrokkene verzoeken om de persoonsgegevens onverwijld te wissen.
In de GDPR worden nog andere gronden opgesomd die het wissen van gegevens mogelijk maken. Dit is onder meer het geval wanneer een bedrijf gegevens heeft verwerkt zonder de actieve toestemming van de betrokkene op grond van een “gerechtvaardigd belang”. Dit is op zich niet onwettig – de GDPR erkent het begrip “rechtmatig belang”. Als de betrokkene hiertegen bezwaar maakt, moeten de gegevens echter worden gewist, tenzij er een andere rechtsgrond bestaat.
Wanneer een verzoek om gegevenswissing zinvol is
Een verzoek om gegevenswissing kan verschillende gronden hebben. Een belangrijk recht in het kader van de GDPR is het recht op toegang, op grond waarvan elke persoon kan achterhalen welke gegevens een bedrijf of instantie over hem of haar heeft opgeslagen. Als uit dergelijke informatie blijkt dat gegevens onrechtmatig zijn opgeslagen, is een verzoek om gegevens te wissen zinvol.
Het meest voorkomende geval in de praktijk is waarschijnlijk de beëindiging van een bepaald programma of een bepaalde dienst. Indien een dergelijke beëindiging niet automatisch bevestigt dat de opgeslagen gegevens worden gewist, is het raadzaam actief gebruik te maken van het recht op verwijdering.
Een verzoek om verwijdering kan het best schriftelijk worden ingediend
In principe is voor een verzoek om verwijdering geen specifiek formulier vereist. Om redenen van documentatie en om het later te kunnen bewijzen, is de schriftelijke vorm echter zeer geschikt voor een verzoek om verwijdering – klassiek per post of ook per e-mail. Niemand hoeft gedetailleerde redenen op te geven; een one-liner is voldoende voor een verzoek tot verwijdering. Sommige gegevens kunnen echter nuttig zijn voor de aanvraag.
- Naam, adres, verjaardag, emailadres: De onderneming moet zich ervan vergewissen dat het verzoek daadwerkelijk van de betrokkene afkomstig is en niet van een derde persoon. Daarom moet de betrokkene in alle rust de gegevens meesturen waarover het bedrijf al beschikt en die kunnen helpen bij de identificatie.
- Geen nieuwe gegevens: Maar als het bedrijf bepaalde gegevens niet eens kent – zoals de geboortedatum of het e-mailadres – is het ook niet nuttig om die bij het verwijderingsverzoek te voegen. Het bedrijf mag achteraf immers niet over meer gegevens beschikken dan voorheen.
Als u het zekere voor het onzekere wilt nemen, kunt u in uw brief ook specifiek de persoonsgegevens noemen die moeten worden gewist – maar dit hoeft niet het geval te zijn. Het is ook mogelijk te vragen dat bepaalde of alle persoonsgegevens worden gewist. Een voorbeeld van het tweede geval zou een onjuist adres kunnen zijn, terwijl andere gegevens opgeslagen kunnen blijven.
Een eenvoudige voorbeeldformulering voor een verzoek om gegevenswissing volgt onmiddellijk hieronder – hier hoeft de verzoeker alleen de gegevens tussen vierkante haken toe te voegen:
voorbeeld voor een verzoek om gegevenswissing
Adres van de ontvanger
Adres van de afzender [plaats], de [datum]
Verzoek om gegevenswissing uit hoofde van art. 17 DSGVO
Geachte heer of mevrouw,
Met deze brief beëindig ik mijn deelname aan het [programma invullen] en verzoek ik om verwijdering van mijn klantaccount onder klantnummer [klantnummer invullen]. Ik verzoek om onmiddellijke verwijdering van al mijn gegevens overeenkomstig art. 17 DSGVO.
Gelieve mij een bevestiging te sturen van de gevraagde maatregelen.
Heel erg bedankt en vriendelijke groeten
[Handtekening]
Volgende stappen na het verzoek om verwijdering
Maar wat gebeurt er als het bedrijf het verzoek gewoon negeert? In dit geval stelt het zichzelf automatisch in het ongelijk, omdat een reactie binnen een maand wettelijk verplicht is.
Afhankelijk van hoezeer de verzoeker zich om de zaak bekommert, kan hij het bedrijf nu een paar keer aan zijn verzoek herinneren. Als ook dit niets oplevert, is de enige mogelijkheid een klacht in te dienen bij de bevoegde toezichthoudende autoriteit. Er bestaat in Duitsland een complex systeem van gegevensbeschermingsautoriteiten, maar iedere burger kan zich zonder zich zorgen te maken tot zijn of haar plaatselijke overheidsinstantie wenden.
Nu is het in de praktijk zo dat zelfs als het verzoek om verwijdering wordt ingewilligd, gegevens van sociale netwerken zich elders op het internet kunnen hebben verspreid. Moeten de betrokkenen dan achteraf aan elke afzonderlijke exploitant van de pagina’s opnieuw vragen om dezelfde gegevens te wissen? Nee, want de oorspronkelijke verwerkingsverantwoordelijke die de gegevens heeft gepubliceerd, moet in de hele gegevensverwerkingsketen naar verwijdering streven.
Zelftest: Hoe gemakkelijk is het om gegevens echt te verwijderen
Papier staat erom bekend geduldig te zijn. Is het nog jonge recht om te worden vergeten uit de GDPR dan echt van toepassing? DataGuard, leverancier van oplossingen voor gegevensbescherming, heeft het uitgeprobeerd. Van onlinediensten tot bonuspuntenprogramma’s en internetwinkels: Een tiental echte, niet langer benodigde klantenaccounts werden per e-mail of contactformulier opgezegd met een eenvoudige one-liner. De resultaten zijn bemoedigend:
- Alle verwijderingsverzoeken werden binnen de geplande periode van een maand beantwoord – er waren geen verzoeken om verificatie van de identiteit.
- Geen van de aangezochte bedrijven weigerde de verwijdering – waarvoor echter geen rechtsgrondslag zou zijn geweest, zelfs niet na beëindiging van de contractuele relatie.
- Een klein beetje bitterheid: niet alle bedrijven gaven een concreet tijdsbestek voor de verwijdering. Een bedrijf dat zijn verwijderingsroutine beschreef en uitlegde waarom verwijdering om technische redenen pas na zes weken kan plaatsvinden, kan positief worden beoordeeld in termen van transparantie.
In het algemeen voldeden alle organisaties die werden aangeschreven gelukkig aan de GDPR. Natuurlijk kan het wissen niet op deze manier fysiek worden gecontroleerd. Wie twijfelt of de verwijdering echt plaatsvindt, kan bijvoorbeeld een jaar later opnieuw een verzoek om informatie in het kader van de GDPR bij het bedrijf indienen en vragen of er nog persoonsgegevens over hem worden verwerkt. Als het bedrijf vervolgens verklaart dat het nog steeds gegevens heeft opgeslagen, is er duidelijk iets mis.
Hoe bedrijven te werk moeten gaan bij een verzoek om gegevenswissing
Tot nu toe zijn verzoeken om gegevenswissing bekeken vanuit het perspectief van de betrokkenen. Nu gaan we kijken naar het bedrijfsperspectief: Wat is de ideale reactie op een verwijderingsverzoek? In de eerste plaats moet worden opgemerkt dat de wet geen precieze richtsnoeren geeft over het “hoe” van de schrapping. Naast artikel 17 van de GDPR zijn de beginselen van gegevensverwerking, zoals geformuleerd in artikel 5 van de verordening, relevant voor de oriëntatie.
Voordat gegevens worden gewist, moet het verzoek worden gecontroleerd. De volgende lijst met vragen kan helpen:
- Is het verzoek legitiem? De eerste stap hier is het controleren van de identiteit van de persoon die een verzoek om verwijdering heeft ingediend. Als er gerede twijfel bestaat, moet het bedrijf om nadere informatie vragen.
- Is er een verplichting tot verwijdering? Het antwoord op de vraag is niet eenvoudig. Tegenover het recht op verwijdering kunnen verplichtingen staan om gegevens te bewaren – bijvoorbeeld om fiscale redenen of in het geval van patiëntendossiers bij artsen.
Als beide vragen positief kunnen worden beantwoord, zijn bedrijven volgens de GDPR verplicht om gegevens “onverwijld” te verwijderen. Wat betekent dit in de praktijk? Een professioneel verwijderingsconcept is zeer geschikt. Onmiddellijk” moet dan zo worden opgevat dat bedrijven de verwijdering niet verwijtbaar vertragen in het kader van hun gebruikelijke technische en organisatorische processen.
Maar er wordt ook algemeen erkend dat om technische redenen niet elke verwijdering met een muisklik verloopt. Dit geldt bijvoorbeeld voor back-ups, waarvan het wissen maanden kan duren. De volgende termijn speelt echter een belangrijke rol: of de gegevens reeds zijn gewist, of het verwijderingsproces nog loopt, dan wel of er redenen zijn om de gegevens niet te wissen: Bedrijven moeten de aanvrager binnen een maand kosteloos op de hoogte brengen van de genomen maatregelen.
Uitzonderingen op het wissen van gegevens
De GDPR formuleert verschillende gronden die kunnen worden aangevoerd tegen een verzoek om persoonsgegevens te wissen. Het gaat onder meer om het recht op vrijheid van meningsuiting en informatie, wettelijke verplichtingen die verwerking vereisen, zoals belastingdocumenten of medische dossiers, openbare belangen of de vaststelling, uitoefening of verdediging van rechtsvorderingen.
Het gaat vaak om afwegingen in individuele gevallen. Zo heeft het Bundesgerichtshof (BGH) een vordering tot verwijdering tegen de zoekmachineaanbieder Google afgewezen. Hier had de voormalige directeur van een liefdadigheidsvereniging ernaar willen streven om nieuws dat negatief voor hem was niet langer te koppelen aan een zoekopdracht naar zijn naam. Het BGH oordeelde daarentegen dat het algemeen belang van de rapportage zwaarder woog.
Conclusie
Het recht om gegevens te wissen is een van de belangrijkste verworvenheden van de GDPR. Het vergt een zekere mate van vertrouwen – wie kan in het informatietijdperk immers echt zeker weten of de laatste reservekopie van een gegevensverzameling is gewist? Niettemin blijkt uit de kleine test dat de verordening doeltreffend is. “Vergeten worden” is het recht van iedere burger.
Over de auteur