ZBC Kennisbank

Het recht om vergeten te worden in de AVG

 

Dat iemand in Google steeds weer opduikt in de zoekresultaten vanwege een vervelende gebeurtenis uit het verleden die nu totaal niet meer relevant is, is niet leuk. Zoiets moet uiteraard recht gezet worden. Maar hoe dwing je als simpele wereldburger een gigant als Google hiertoe? 

Precies  voor dit soort situaties is nu de AVG bedoeld. De AVG is er om te voorkomen, dat er onnodig inbreuk gemaakt wordt op de persoonlijke levenssfeer van burgers, waardoor zij schade lijden. Dat iets als hier boven beschreven gebeurt, is op zich niet strafbaar. Wanneer echter een burger hierover aan de bel trekt, dan moet er meegewerkt worden aan een oplossing. En als men dit niet doet, dan moet de toezichthouder boetes op kunnen leggen. Je zou zeggen, dat je een wet die dit regelt op een half a4-tje kunt vastleggen, en op zo’n manier,  dat het voor iedereen duidelijk. Nou ja, voor iedereen …  misschien niet voor juristen. Die weten moeiteloos tientallen uitzonderingen te verzinnen, waardoor een half A4-tje niet toereikend is. Als je al die uitzonderingen ook wilt regelen, dan krijg je al gauw het document van 100 kantjes, zoals dat nu bestaat.

Het recht om vergeten te worden

De bedoeling van het “recht op vergetelheid” is duidelijk in het geval van Google. Immers, als de gegevens niet verwijderd worden, dan duiken ze steeds weer op in de zoekresultaten en blijf je er last van houden. Daarom wordt in de AVG in artikel 17 ook gesproken van het wissen van gegevens. 
De meeste organisaties zijn echter geen bedrijven als Google. Neem bijvoorbeeld een webwinkel. Als iemand daar ooit iets online heeft gekocht, krijgt hij vaak achteraf nog mailings met aanbiedingen. Dit mag, want hij is klant. Als hij geen mailings meer wil ontvangen, dan heeft hij bij  iedere mailing de mogelijkheid om zich ervoor uit te schrijven. Hij wordt volautomatisch uit de mailinglist gehaald en  krijgt geen mailings meer. Daar was het  om te doen. Maar stel nu, dat de software niet goed werkt en hij toch mailings blijft ontvangen. In dat geval stuurt hij een mailtje en vraagt  om handmatig uit de mailinglist te worden verwijderd. Als dat dan gebeurt, is het probleem opgelost. Hij komt weliswaar nog voor in het klantenbestand van de webwinkel, maar is verlost van de mailings. Totdat een hyperactieve e-marketeer besluit om alle klanten een mailing te sturen. Op zich mag dit.  Zolang het geen automatisch proces is, is het niet strafbaar. Maar de betreffende persoon is daarvan uiteraard niet  gediend. Dus geeft hij aan dat de webwinkel hem uit zijn klantenbestand moet verwijderen. Dat recht heeft hij op grond van de AVG. Het bedrijf moet hieraan gehoor geven. Als het dat niet doet, dan pas kan de Autoriteit Persoonsgegevens (AP) een boete opleggen. Meestal zal de AP eerst vriendelijk vragen om alsnog gehoor te geven aan het verzoek van de betrokkene. Als het bedrijf dit vervolgens doet, is daarmee de kous af. De betrokkene loopt niet meer het risico, dat hij mailings ontvangt van de webwinkel.

Hoe ver moet je gaan met het wissen van data?

Vervolgens dringt zich dan nog de vraag op of dat betekent, dat de betrokkene ook uit de backups moet worden verwijderd. Hoe ga je hier als webwinkel mee om? Records uit een back-up verwijderen is meestal een kostbare operatie, die bovendien in feite geschiedvervalsing is, die ongewenste neveneffecten kan opleveren voor andere betrokken. Het ligt dus voor de hand om dit niet te doen. Beter is het daarom om het record van de betrokkene te archiveren, zodat hij onzichtbaar is geworden voor het operationele proces en er geen risico meer is dat hij ongewenste mailings ontvangt en ervoor te zorgen dat als er een backup moet worden terugzet, eerst de betrokkenen worden verwijderd, die daarom hebben gevraagd. Dan is er voldoende gedaan om met redelijke zekerheid te voorkomen dat de betrokkene nog mailings  gaat ontvangen, zelfs al er fouten zouden worden gemaakt.

Voldoe je dan wel aan de AVG?

Een jurist zal vervolgens opmerken, dat je hiermee niet voldoet aan de letterlijke tekst van artikel 17 van de AVG, waarin in lid 1 staat: “De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen …”. Natuurlijk staat dit zo in de AVG. Maar artikel 17 eindigt hiermee niet. Het artikel gaat verder met: “…. wanneer een van de volgende gevallen van toepassing is …” En dan volgt er een opsomming van situaties, waarin je verplicht bent tot voorgaande:

  • als de gegevens onrechtmatig zijn verkregen;
  • als de gegevens niet meer juist of relevant zijn;
  • als de gegevens alleen gebruikt worden voor direct marketing activiteiten (art 21 lid 2)

De rechtsgrond voor dit laatste punt is eigenlijk altijd, dat betrokkene toestemming heeft gegeven. Die toestemming kan worden ingetrokken. Hierover staat in artikel 21 lid 3 : “Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van direct marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.” Van wissing  van data is hier dus geen sprake. Wanneer je dus als webwinkel het record van de betrokkene hebt verwijderd uit het operationele proces, dan voldoe je aan de AVG.
Voor instellingen voor zorg, onderwijs en voor de publieke sector geldt het recht op vergetelheid niet. Dit staat in artikel 17 lid 3.

Je hebt wel een groter probleem

Als de vraag of je wel voldoet aan de eis van de AVG wat betreft het recht op vergetelheid een issue is geworden binnen je organisatie, dan is de vraag hoe je in die discussie bent beland veel belangrijker dan de vraag zelf. Ongetwijfeld heeft iemand je ingefluisterd, dat je aan deze eis van de AVG moet voldoen. Maar de AVG staat vol met eisen en het recht op vergetelheid is daarvan maar één. In totaal zijn het er honderden. Je komt nooit door al die  eisen heen, als je ze  een voor een tot een issue maakt en je organisatie zal nooit AVG-compliant worden.
Geneuzel over de eisen is ook niet de bedoeling van de AVG. De AVG eist wel, dat je bij de verwerking van persoonsgegevens:

  • belangen van betrokkenen afweegt;
  • keuzes maakt en hierover transparant bent;
  • zo nodig maatregelen neemt en de naleving hiervan controleert.

Privacy is een principe dat door de meeste mensen en organisaties gerespecteerd wordt. Voor hen  is de AVG niet bedoeld. Niet voor niets staat in artikel 1 lid 3: “Het vrije verkeer van persoonsgegevens wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.” De AVG is bedoeld voor bedrijven met minder respect voor de privacy, die de grenzen op willen zoeken van wat wel en niet mag. In dergelijke gevallen moet Toezichthouder AP argumenten hebben om een grens te kunnen stellen en wapens in handen om respectering van deze grenzen af te dwingen, ook als deze bedrijven een legertje juristen hebben om zich te verdedigen. Voor dergelijke bedrijven is de AVG bedoeld en dan echt bij serieuze inbreuken op de privacy. Een voorbeeld is Facebook, dat bij de overname van Whatsapp aangaf de persoonsgegevens van beide diensten niet te koppelen. Toen een jaar later bleek, dat dit toch was gedaan (uit een commercieel belang), kregen ze van de Europese toezichthouder een boete van 110 miljoen euro opgelegd.

Hoe wel omgaan met de AVG?

De impact van de AVG op je organisatie is beperkt, als je privacy toch al respecteert. In feite zijn er dan maar twee zaken van belang:

  1. aantoonbaar kunnen maken, dat je privacy serieus neemt;
  2. voorkomen dat persoonsgegevens door stommiteiten op straat komen te liggen.

Aan het eerste punt kun je voldoen, door een werkend privacy management systeem te hebben, zoals beschreven staat in ‘Je privacy op orde voor de AVG’. Het tweede punt is vooral ook onderdeel van je informatiebeveiliging, die op orde moet zijn. Het gaat dus niet om de naleving van meer dan 100 regeltjes maar het afdekken van het risico, dat grote hoeveelheden persoonsgegevens op straat komen te liggen. (Zie ‘Pragmatische aanpak informatiebeveiliging’.)  
Dus als iemand je heeft ingefluisterd, dat het “recht op vergetelheid” voor jouw organisatie een issue is, wijs hem de deur voor hij nog meer schade veroorzaakt door  allerlei issues uit de AVG aan de orde te stellen, die voor jouw organisatie ook niet relevant zijn.

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen of een ISO 27001 of NEN 7510 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 3 oktober 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *