De AVG in Beeld: Gegevenswissing (van onze Privacy Management Partners)

 

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het recht op gegevenswissing, vaak gelinkt aan het bekendere ‘recht om vergeten te worden’.

Al onder de bestaande privacywetgeving kunnen personen verzoeken doen om gegevens te laten verwijderen.

Dit in drie gevallen: (1) als gegevens feitelijk onjuist zijn, (2) omdat een verwerking onvolledig of ‘niet terzake dienend’ is of (3) als de verwerking op een andere manier in strijd met de wet blijkt. Met de komst van de AVG vinden we in artikel 17 een aangepaste versie van dit recht op gegevenswissing. In deze blog beschrijven wat het precies inhoudt en wat de relatie is met het ‘Recht om vergeten te worden’.

Rechten van betrokkenen zijn verstevigd onder de AVG om meer empowerment te creëren. Het recht op dataportabiliteit was daar een voorbeeld van, daar schreven we al eerder een blog over. Het recht op gegevenswissing is een extra maatregel om te voorkomen dat organisaties persoonsgegeven langer bewaren dan noodzakelijk. Maar vormt bovendien ook een manier om grondrechten op het gebied van privacy in praktijk te waarborgen.

h4>Wanneer moet u wissen?

In de AVG staat dat organisaties verplicht zijn om persoonsgegevens te wissen als er sprake is van een van de volgende situaties:

  • De persoonsgegevens zijn niet langer nodig voor doeleinden waarvoor zij zijn verzameld of verwerkt. Dit is een uitwerking van het onderwerp ‘opslagbeperking’, vaak bekend onder de term bewaartermijnen.
  • De verwerking was gebaseerd op toestemming maar is ingetrokken en er is geen andere rechtsgrond voor de verwerking.
  • Er is door uw klant bezwaar gemaakt tegen de verwerking en de concrete afweging tussen uw gerechtvaardigde belang is minder dan de belangen, rechten en vrijheden van uw klant. Wanneer het een bezwaar tegen direct marketing-uitingen is, kunt u deze afweging achterwege laten en geldt direct dat u deze persoonsgegevens moet wissen.
  • De persoonsgegevens worden onrechtmatig verwerkt. Dit is de restcategorie voor situaties waarin organisaties niet voldoen aan de AVG. Volgens de AVG bent u verplicht de gegevens te wissen wanneer ‘de verwerking op een ander punt niet in overeenstemming is met de AVG’. Het is vooralsnog onduidelijk wat dit betekent, maar ik zou me kunnen voorstellen dat dit geldt voor overtreding van alle artikelen die in directe wijze refereren naar de verwerking zelf (zoals in hoofdstuk II, de beveiligingsvereisten in IV, V, IX of nationale wetgeving).
  • Er geldt voor uw organisatie een wettelijke verplichting om gegevens te wissen die voortvloeit uit Europees of Nederlands recht.
  • De persoonsgegevens zijn verzameld in het kader van het aanbieden van een app of website-account aan een kind, waarvoor het kind vanaf 16 (of sommige landen 13) jaar toestemming heeft gegeven. Deze situatie is met name beschreven om te waarborgen dat kinderen die zich op hun jonge leeftijd nog niet goed bewust waren van de consequenties, de mogelijkheid krijgen die gegevens van internet te laten verwijderen.

Wat moet u daarna nog doen?

Wanneer de organisatie de gegevens openbaar heeft gemaakt, geldt het volgende: wanneer blijkt dat de organisatie de gegevens moet wissen, dient hij andere organisaties ervan op de hoogte te stellen dat deze persoon heeft verzocht iedere koppeling naar of kopie of reproductie van de persoonsgegevens te wissen. U moet hierbij (technische) maatregelen nemen om deze verplichting na te komen, maar mag daarbij de beschikbare technologie en middelen in acht nemen. Deze bepaling is geschreven om het recht op vergetelheid te versterken in een online omgeving.

De AVG heeft nog een extra staartje voor het recht op gegevenswissing in artikel 19. U moet als organisatie namelijk iedere ontvanger in kennis stellen van de wissing. Van deze verplichting bent u alleen uitgezonderd wanneer het onmogelijk of onevenredig veel inspanning vergt. Indien uw klant vraagt om een lijst met ontvangers, dient u deze te geven.

Wanneer hoeft u niet te wissen?

Zoals u van wetgeving wellicht inmiddels gewend bent, zijn er ook weer uitzonderingen. Het bovenstaande (zowel de verplichting om te wissen als de verplichting om andere organisaties te laten weten dat iemand heeft verzocht om verwijdering) is niet van toepassing in de volgende gevallen.

Wanneer de verwerking nodig is:

  • om het recht op vrijheid van meningsuiting en informatie uit te oefenen;
  • om een wettelijke plicht van Europees of Nederlands recht na te komen die voor uw organisatie geldt of om uw publieke taak uit te oefenen;
  • om redenen van algemeen belang in het kader van volksgezondheid;
  • met het oog op archiveringsdoeleinden (algemeen belang, wetenschappelijk of historisch onderzoek of statistiek). Deze uitzondering is genuanceerder want geldt alleen in het geval dat wissen van deze gegevens de verwezenlijking van deze doeleinden onmogelijk of ernstig in het gedrag dreigt te komen.

Wat heeft dit te maken met het Recht om vergeten te worden?

In de AVG staat achter de titel van artikel 17 “(Right to be forgotten)” en in de Nederlandse vertaling “(Recht op vergetelheid)”. Enkelen herinneren zich wellicht nog wel vaag een uitspraak tussen een Spaanse ondernemer en een saleskantoor van Google in Spanje. Deze rechtszaak ging over een ondernemer die telkens als hij zijn naam intypte in Google als een van de eerste zoekresultaten werd geconfronteerd met zijn eerdere faillissement.

De informatie in de krant was juist en ook geplaatst in lijn met wettelijke verplichtingen (bij openbare verkoop is maximale publiciteit de bedoeling om zoveel mogelijk bieders te trekken op last van de minister van Arbeid en Sociale Zaken). De hoogste Europese rechter van de Europese Unie sprak zich uit over de vraag of het recht op gegevenswissing (onder de richtlijn) betekent dat de heer Costeja kon eisen van Google de verwijzingen naar dat krantenartikel te verwijderen, omdat de informatie hem schade berokkende en wenste op een gegeven moment vergeten te worden.

De Europese rechter geeft aan dat via het recht op gegevenswissing en het recht op bezwaar Costeja van Google mag eisen dat de links worden verwijderd. Met het oog op de AVG is dit eigenlijk slechts de uitleg van artikel 17 lid 1 sub c AVG. De omstandigheid of hij nu daadwerkelijk schade had speelde daarbij geen rol. De kern van de afweging tussen de (economische) belangen van de zoekmachine en de grondrechten van Costeja in het kader van de gevoeligheid van de informatie over zijn faillissement en het feit dat de informatie zestien jaar daarvoor is gepubliceerd. Sinds die tijd kennen we via de zoekmachine ook citaten als “Sommige resultaten zijn mogelijk verwijderd op grond van Europese wetgeving inzake gegevensbescherming.” Costeja heeft dus op juridisch vlak zijn gelijk behaald, echter zullen inmiddels veel (meer) mensen van zijn situatie afweten dan hij had gewenst.

In een samenleving waar de opslagcapaciteit het bewaren van gegevens niet meer begrensd, hebben we sturing gekregen vanuit de privacywetgeving. Met de AVG is die sturing iets concreter geworden.  Het recht op gegevenswissing stelt personen in staat organisaties alert te houden op wanneer het tijd wordt schoon schip te maken. Tegelijkertijd blijft er de ruimte voor organisaties om gegevens wél te bewaren wanneer daar goede redenen voor zijn. Idealiter zijn organisaties zich daar zelf ook al goed bewust van. Het is aan te raden de komende tijd eens te bekijken wat de status hiervan is binnen uw organisatie, voordat u dat vergeet!

 

[intro textalign=”left” textcolor=”14px”]
Bron: pmppartners.nl, 9 januarai 2018
[/intro]