Recht op gegevenswissing (recht op vergetelheid)

Binnen de AVG/GDPR heeft u als data-subject het recht op gegevenswissing, dit staat beschreven in artikel 17. “De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem/haar betreffende persoonsgegevens te verkrijgen. De verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is”

  • De persoonsgegevens zijn niet langer nodig
  • De betrokkene trekt eerder verleende toestemming in
  • De betrokkene maakt bezwaar tegen de verwerking (en er zijn geen gerechtvaardigde en/of wettelijke gronden voor de verwerking
  • De persoonsgegevens zijn onrechtmatig verkregen/verwerkt
  • De persoonsgegevens zijn verzameld in verband met een aanbod van een dienst

Om persoonsgegevens te verzamelen en te verwerken dient u vrijelijke toestemming te verkrijgen of u heeft een wettelijke grondslag voor het verwerken van de persoonsgegevens.

Verwerken in de zin van de wet: is het verzamelen, registeren, distribueren, opslaan, wijzigen of verwijderen. Eigenlijk dus alles met betrekking tot persoonsgegevens is verwerken.

Binnen redelijke termijn of zonder onredelijke vertraging is wederom een vaag omschreven tijdspanne. Het lijkt er op dat één maand tussen het verzoek en de uitvoering acceptabel is voor de wetgever en de autoriteit. Binnen deze maand moet u de gegevens wissen.

Maar alvorens u de gegevens kunt wissen en er zeker van bent dat u uw gegevens heeft gewist, moet u er zeker van zijn waar u de data heeft opgeslagen. Dit gaat mogelijk verder dan alleen uw huidige systemen. In tal van organisaties zijn de afgelopen jaren nieuwe systemen geïmplementeerd en van het oude systeem is er dan nog een viewer actief. Het voordeel van een viewer is dat het een statische omgeving is, het nadeel is dat je niet kunt muteren dus ook niet kunt verwijderen. Een ander struikelpunt kunnen tapes zijn. Bij veel organisaties is data geback-upt op tapes en daar staan de persoonsgegevens ook in. Vaak zien we dit terug in maandtapes. Om correct het recht op gegevenswissing uit te voeren dient u als organisatie ook de persoonsgegevens van deze maandtapes te verwijderen. Geen onmogelijke taak, maar wel arbeidsintensief. Daarnaast moet u er als verwerkingsverantwoordelijke ook voor zorgen dat de gegevens worden gewist bij de organisaties waarmee u de gegevens heeft gedeeld.

De rechten van data-subjecten hebben een gemeenschappelijke deler en de deler is dat u als verwerkingsverantwoordelijke moet weten waar de persoonsgegevens zich bevinden die u als verwerkingsverantwoordelijke onder uw hoede heeft. Inzicht in uw data en data-stromen maakt uw bedrijfsvoering een stuk bewuster.