Avg uitgelegd: wat is ’the right to be forgotten’
In de serie Avg uitgelegd nemen we de belangrijkste begrippen uit de Avg onder de loep. Tip: wil je de basis nog eens doornemen? Begin dan bij 10 vragen en antwoorden over de Avg. In dit artikel deel aandacht voor het recht op vergetelheid, oftewel the right to be forgotten.
Wat houdt the right to be forgotten in?
Naast dat je als verwerkingsverantwoordelijke de plicht hebt om transparant te zijn en betrokkenen te informeren over wat je als verwerkingsverantwoordelijke met diens persoonsgegevens doet, heeft een betrokkene ook een aantal rechten. Zo is er het recht op inzage en rectificatie, het recht op beperking van de verwerking en het recht op verwijdering van zijn persoonsgegevens, oftewel the right to be forgotten. Het achterliggende principe is dat een betrokkene het recht op verwijdering van zijn gegevens heeft als er geen goede reden (meer) is om zijn gegevens nog langer te verwerken.
Wanneer moeten persoonsgegevens verwijderd worden?
The right to bo forgotten is niet absoluut. Betrokkenen hebben echter het recht om een verzoek tot verwijdering te doen in de volgende gevallen:
- A. De persoonsgegevens zijn niet langer meer nodig voor de doeleinden waarvoor ze zijn verzameld of anderszins verwerkt.
- B. De betrokkene trekt zijn eerder gegeven toestemming in. De betrokkene moet zijn toestemming op dezelfde manier kunnen intrekken als dat hij hem gegeven heeft.
- C. De betrokkene maakt bezwaar tegen de verwerking voor zijn specifieke situatie en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking.
- D. De betrokkene maakt bezwaar tegen de verwerking van zijn gegevens ten behoeve van direct marketing inclusief daaraan gerelateerde profiling.
- E. De persoonsgegevens zijn onrechtmatig verwerkt.
- F. De gegevens moeten gewist worden om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
- G. Het gaat om toestemming gegeven door/voor minderjarigen voor diensten van de informatiemaatschappij (zoals social networks of online games).
De meeste van deze redenen voor verwijdering liggen voor de hand. Zo moet de verwerkingsverantwoordelijke er zelf al voor zorgen dat hij niet méér gegevens verzamelt en verwerkt dan nodig is voor het doel. Als dat dan toch gebeurd is, kan de betrokkene dus om verwijdering vragen.
Wanneer hoeven persoonsgegevens niet verwijderd te worden?
Als een betrokkene om verwijdering vraagt, maar er is een dwingende, gerechtvaardigde reden om de gegevens toch te blijven verwerken, dan mag dat. Bijvoorbeeld als een schizofrene patiënt een arts verzoekt deze diagnose uit het dossier te verwijderen, dan behoeven deze niet te worden verwijderd. Omgekeerd moeten gegevens die niet meer relevant zijn verwijderd worden. Bijvoorbeeld als iemand zijn straf heeft uitgezeten. Hij moet uiteindelijk een ‘tweede kans’ krijgen en niet steeds weer geconfronteerd worden met een oude veroordeling.
Bij grond C moet een belangenafweging gemaakt worden. De Autoriteit Persoonsgegevens (AP) geeft in dit kader het volgende voorbeeld: voor een epidemiologisch onderzoek worden medische gegevens centraal vergaard en alle geldende regels zijn in acht genomen. Van een patiënt zijn de gegevens in een herleidbare vorm opgeslagen. De patiënt verneemt dat een bekende van hem, voor wie hij zijn ziekte verborgen wil houden, als onderzoeker bij dat centrum aangesteld is. In dat geval kan hij er persoonlijk een gerechtvaardigd belang bij hebben dat de hem betreffende gegevens verwijderd worden of zodanig bewerkt worden dat zij redelijkerwijs niet meer tot hem herleidbaar zijn.
Wat is het verschil met het recht op inzage en recht op rectificatie?
The right to be forgotten ligt in het verlengde van het recht op inzage en het recht op rectificatie. Een betrokkene kan bij een verwerkingsverantwoordelijke inzage vragen in de gegevens die over hem verwerkt worden. De verwerkingsverantwoordelijke moet dan de volgende informatie verstrekken bij een inzageverzoek:
- A. De verwerkingsdoeleinden (waarom wordt er verwerkt).
- B. De categorieën van gegevens.
- C. De ontvangers aan wie de gegevens vertrekt worden, met name als dit ontvangers in landen buiten de Europese Economische Ruimte zijn.
- D. Bij doorgifte naar een derde land: wat de passende waarborgen in dat land zijn.
- E. De duur van de opslag van de gegevens.
- F. Het feit dat de betrokkene recht heeft op rectificatie, beperking van de verwerking en bezwaar.
- G. Dat de betrokkene bezwaar kan maken bij de toezichthouder.
- H. Wat de bron van de gegevens is (waar komen ze vandaan).
- I. Wanneer er sprake is van geautomatiseerde besluitvorming of profiling: wat de daaraan ten grondslag liggende logica is en de gevolgen van de verwerking zijn.
- J. Een kopie van de persoonsgegevens zelf.
Bij inzage moet rekening gehouden worden met de belangen van eventuele derden. Zo kan bijvoorbeeld geweigerd worden om inzage te geven in de persoonlijke aantekeningen over een betrokkene van medewerkers. Ook het afschermen van gegevens kan hier van belang zijn.
Een berucht verhaal is dat van een vrouw die van het ene naar het andere blijf-van-mijn-lijf-huis moest, omdat haar mishandelende echtgenoot haar steeds weer wist te vinden. Het bleek dat haar nieuwe adres opgenomen werd in de bestanden van de ziektekostenverzekeraar die keer op keer inzage verleende aan de echtgenoot. Hier was verwijdering of blokkering op zijn plek geweest.
Als de gegevens niet correct zijn, heeft de betrokkene het recht op rectificatie van onjuiste gegevens of aanvulling van onvolledige gegevens. Rectificatie kan ook inhouden het opnemen van een aanvullende verklaring van de betrokkene. Met name als partijen het niet eens zijn (in een medisch dossier of een HR-dossier) dan kan een aanvulling of verklaring van belang zijn voor de betrokkene.
Zijn er uitzonderingen?
Jazeker. Gegevens hoeven niet verwijderd te worden voor zover de verwerking nodig is:
- A. Voor de uitoefening van het recht op vrijheid van meningsuiting en informatie.
- B. Voor het nakomen van een wettelijke plicht van de verwerkingsverantwoordelijke (bijvoorbeeld de verplichte salarisadministratie en opname van BSN-nummer in het HR-dossier voor de Belastingdienst).
- C. Met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek.
- D. Voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Bij een (dreigend) conflict hoeft een verwerkingsverantwoordelijke dus niet op verzoek van de betrokkene al zijn bewijs te vernietigen omdat de betrokkene zich op the right to be forgotten beroept.
Wat is het verschil met de Wet bescherming persoonsgegevens?
In een digitale wereld, waar opslagruimte vrijwel onbeperkt lijkt te zijn en nooit meer iets wordt weggegooid, heeft het recht op het verwijderen van gegevens meer aandacht gekregen. Maar het bestaat al onder de huidige Wet bescherming persoonsgegevens (Wbp).
Nu is alleen een aantal redenen voor verwijdering meer expliciet gemaakt. Zo stond intrekken van toestemming niet in de wet, maar is het eigenlijk wel logisch dat een verwerkingsverantwoordelijke moet stoppen met verwerken als iemand zijn eerder gegeven toestemming intrekt, en er geen andere goede grond is om de verwerking toch voort te zetten. Ook is explicieter gemaakt dat een inmiddels meerderjarige zijn (door zijn ouders gegeven) als minderjarige gegeven toestemming ingetrokken kan worden. Nieuw is dat profiling expliciet genoemd wordt.
Zijn er nog andere verplichtingen?
Ja. Een verwerkingsverantwoordelijke moet elke ontvanger van wie persoonsgegevens verwerkt zijn in kennis stellen van elke rectificatie, verwijdering of beperking van de verwerking als gevolg van een verzoek van de betrokkene. Ook moet de verwerkingsverantwoordelijke de betrokkene op diens verzoek informatie over die derden verstrekken. Met name wanneer persoonsgegevens publiekelijk beschikbaar gemaakt zijn, zoals op een social network, moet de verwerkingsverantwoordelijke zich nadrukkelijk inspannen om ervoor te zorgen dat derden links en kopieën (mirrors) verwijderen
Toepassen in de praktijk: waar moet een verwerkingsverantwoordelijke op letten?
Veel van de informatie die bij een inzageverzoek verstrekt moet worden, moet al binnen de organisatie aanwezig zijn. Die informatie is bijvoorbeeld af te leiden uit het register van gegevensverwerkingen en uit de privacy-statements. Met die gegevens kan een standaardreactie op inzage-, rectificatie- en verwijderingsverzoeken al voorbereid worden.
Om (lid)bedrijven op weg te helpen, hebben we hiervoor een Handleiding Inzage- en verwijderverzoeken opgesteld.
Meer informatie
Onze juristen geven advies en ondersteuning bij vraagstukken op het gebied van privacy. Heb je vragen of wil je meer informatie? Kijk dan in onze kennisbank of neem contact op met onze juristen.