Vergroot contrast

Recht op vergetelheid

In de Algemene verordening gegevensbescherming (AVG) is het recht op vergetelheid opgenomen. Dit recht houdt in dat een organisatie in een aantal gevallen iemands persoonsgegevens moet wissen. Mensen kunnen aan organisaties vragen om hun gegevens te wissen met een beroep op hun recht op vergetelheid.

Wanneer geldt het recht op vergetelheid?

In de volgende situaties moet een organisatie iemand persoonsgegevens wissen:

  • Niet meer nodig
    De organisatie heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.
  • Toestemming ingetrokken
    De betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven aan de organisatie voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.
  • Bezwaar
    De betrokkene maakt bezwaar tegen de verwerking. Er geldt op grond van artikel 21 van de AVG een absoluut recht van bezwaar tegen direct marketing. En een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van de organisatie om de persoonsgegevens te verwerken.
  • Onrechtmatige verwerking
    De organisatie verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
  • Wettelijk bepaalde bewaartermijn verlopen
    De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
  • Apps en websites bij kinderen
    De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (‘dienst van de informatiemaatschappij’).

Zie ook ons dossier: Persoonsgegevens op internet

Wanneer geldt het recht op vergetelheid niet?

Er is een aantal uitzonderingen op het recht op vergetelheid. Bijvoorbeeld als een organisatie wettelijk verplicht is om bepaalde gegevens te verwerken. Dan kan de organisatie deze gegevens niet op verzoek wissen.

Het recht op vergetelheid kunt u in principe niet namens iemand anders uitoefenen. Tenzij u daar bijvoorbeeld een volmacht voor heeft. 

Wetgeving

Het recht op vergetelheid is geregeld in artikel 17 van de AVG.

Bekijk binnen het onderwerp Recht op vergetelheid

Alle antwoorden op mijn vragenVragen over het recht op vergetelheid

  • Wanneer en hoe kan ik een organisatie vragen mijn persoonsgegevens te wissen?

    U kunt een organisatie vragen uw persoonsgegevens (of die van uw kind) te wissen in de volgende situaties:

    • de organisatie heeft uw persoonsgegevens niet meer nodig;
    • u trekt uw toestemming voor het gebruik van uw persoonsgegevens in;
    • de organisatie verwerkt uw persoonsgegevens terwijl dat niet mag (onrechtmatig), bijvoorbeeld omdat de organisatie geen wettelijke grondslag heeft voor de verwerking;
    • de organisatie bewaart uw gegevens langer dan wettelijk mag;
    • de organisatie gebruikt persoonsgegevens van uw kind die zijn verzameld via een app of website, terwijl uw kind jonger is dan 16 jaar.

    Voorbeeldbrief

    U kunt voor uw verzoek de voorbeeldbrief gegevens wissen van de Autoriteit Persoonsgegevens gebruiken.

  • Wanneer geldt het recht op vergetelheid niet?

    De Algemene verordening gegevensbescherming (AVG) noemt een aantal omstandigheden waarin het recht op vergetelheid niet geldt.

    Uitzonderingen recht op vergetelheid

    Het recht op vergetelheid geldt niet in de volgende situaties:

    • De verwerking is noodzakelijk om het recht op vrijheid van meningsuiting en informatie uit te oefenen. Daarmee doet de AVG recht aan het principe dat privacy en vrijheid van meningsuiting gelijkwaardige grondrechten zijn.
    • De organisatie verwerkt de gegevens omdat er een wettelijke verplichting is om dat te doen.
    • De organisatie verwerkt de gegevens om openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang uit te oefenen.
    • De organisatie verwerkt de gegevens voor een taak van algemeen belang op het gebied van de volksgezondheid.
    • De organisatie moet de gegevens in het algemeen belang archiveren.
    • De gegevens zijn noodzakelijk voor een rechtsvordering.

    Algemene uitzonderingen privacyrechten

    Daarnaast is in artikel 23 van de AVG een aantal algemene uitzonderingen opgenomen op de rechten van betrokkenen. Het artikel biedt organisaties de mogelijkheid om in bijzondere omstandigheden geen gehoor te geven aan verzoeken van betrokkenen.

    Zij moeten dan voor dat verzoek een belangenafweging maken waaruit blijkt dat hun belangen (of de rechten en vrijheden van anderen) zwaarder wegen dan het privacyrecht van de betrokkene.

    Het is bijvoorbeeld niet de bedoeling dat betrokkenen met een beroep op hun rechten sporen van crimineel gedrag wissen.

  • Wat moet ik als organisatie doen als ik een verzoek krijg om gegevens te wissen?

    Vraagt iemand u op grond van het recht op vergetelheid om zijn gegevens te wissen? Dan moet u dat onmiddellijk doen, uiterlijk binnen een maand. Alleen als het om een heel complex verzoek gaat, heeft u twee maanden extra de tijd. U moet dan wel binnen een maand aan de betrokkene laten weten dat het langer gaat duren.

    Identificeren

    Vraagt iemand u om zijn persoonsgegevens te wissen, dan moet u allereerst zeker weten dat het diegene zelf is die het verzoek doet. U kunt deze persoon op verschillende manier identificeren. U moet zelf bepalen welke manier in uw geval passend is.

    Zie verder: Mag ik als organisatie een kopie van een identiteitsbewijs vragen wanneer iemand vraagt zijn persoonsgegevens te wissen?

    Manier van reageren

    Als een betrokkene het verzoek elektronisch indient, moet u ook elektronisch reageren. Tenzij de betrokkene u vraagt om op een andere manier te reageren.

    Kosten

    U mag in principe géén kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is (veelvuldig herhaalde verzoeken van één persoon)? Dan mag u een redelijke administratieve vergoeding vragen. Of het verzoek weigeren.

    Derde partijen informeren

    Heeft u de betreffende persoonsgegevens aan derde partijen verstrekt? Dan moet u die ontvangers informeren dat u deze persoonsgegevens heeft gewist. En uitleggen dat ook de ontvangers iedere kopie van of koppeling naar die persoonsgegevens moeten wissen.

    Publiceert u bijvoorbeeld persoonsgegevens via een website? Dan moet u zoekmachines informeren. U kunt daarbij de webpagina opnieuw laten indexeren, zodat de gewiste persoonsgegevens niet meer verschijnen in de zoekresultaten.

    Als een betrokkene erom vraagt, moet u ook vertellen welke ontvangers u op die manier heeft geïnformeerd (artikel 19 van de AVG).

  • Mag ik als organisatie een kopie van een identiteitsbewijs vragen wanneer iemand vraagt zijn persoonsgegevens te wissen?

    Dat is afhankelijk van het specifieke geval. Soms mag dat wel, maar in veel gevallen kunt u de identiteit van betrokkene ook controleren op een minder vergaande manier.

    Zo kan bijvoorbeeld de betrokkene zijn account bij een webshop verwijderen door in te loggen en dan aan te geven dat hij zijn gegevens wil verwijderen. Het inloggen is dan genoeg om te bewijzen dat het de betrokkene zelf is die het verzoek doet.

    Het opvragen van een kopie van het identiteitsbewijs is in dat geval een bovenmatige gegevensverwerking en dat mag niet. Kijk dus eerst altijd of er een andere, minder vergaande manier is om iemand te identificeren dan het vragen om een kopie van een identiteitsbewijs.

    Kopie identiteitsbewijs: let op

    Heeft u beoordeeld dat het in uw geval noodzakelijk om een kopie van het identiteitsbewijs te vragen? Dan moet u op twee punten letten: de verwerking van het BSN en de informatieplicht die u heeft.

    Zie verder: Waar moet ik als organisatie op letten wanneer ik een kopie van een identiteitsbewijs vraag bij een verzoek om persoonsgegevens te wissen?

  • Waar moet ik als organisatie op letten wanneer ik een kopie van een identiteitsbewijs vraag bij een verzoek om persoonsgegevens te wissen?

    Vraagt iemand u om zijn persoonsgegevens te wissen, dan moet u zeker weten dat het diegene zelf is die het verzoek doet. Heeft u beoordeeld dat het in uw geval noodzakelijk om hiervoor een kopie van het identiteitsbewijs te vragen? Dan moet u op twee punten letten: de verwerking van het BSN en de informatieplicht die u heeft.

    Let op: vaak mag u geen kopie van een identiteitsbewijs vragen. Wilt u iemands identiteit vaststellen, dan moet u eerst kijken welke manier van identificeren passend is. Zie verder: Mag ik als organisatie een kopie van een identiteitsbewijs vragen wanneer iemand vraagt zijn persoonsgegevens te wissen?

    BSN

    U heeft waarschijnlijk geen grondslag om het burgerservicenummer (BSN) van de betrokkene te verwerken. Het BSN is een persoonsnummer dat in de eerste plaats bedoeld is voor het contact tussen burgers en de overheid. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald.

    Dit betekent dat u betrokkenen duidelijk moet informeren dat zij het BSN op de kopie afschermen voordat zij de kopie naar u toesturen. Ontvangt u toch kopieën met een leesbaar BSN? Dan moet u een procedure hebben waarbij u het BSN direct verwijdert.

    Informatieplicht

    Vraagt u een kopie van iemands identiteitsbewijs, dan moet u over een aantal zaken informeren. Zoals het doel van de verwerking, welke gegevens wel en niet noodzakelijk zijn en hoe mensen niet-noodzakelijke gegevens kunnen afschermen. Zie verder: Welke informatie moet ik als organisatie geven als ik een kopie van een identiteitsbewijs vraag?

  • Mag iemand anders voor mij het recht op vergetelheid uitoefenen?

    Om uw persoonsgegevens te beschermen, kunnen anderen niet zomaar aan een organisatie vragen om uw persoonsgegevens te wissen.

    Dit mag alleen als u iemand daarvoor een volmacht heeft gegeven.

    Ook mag de wettelijk vertegenwoordiger van een kind jonger dan 16 jaar, het recht op vergetelheid namens het kind uitoefenen.

    Zie ook: mag iemand anders voor mij een verzoek tot inzage doen?

  • Vallen back-ups ook onder het recht op vergetelheid?

    Ja. U moet het recht op vergetelheid ook toepassen op digitale back-upbestanden. Vraagt iemand u om zijn gegevens te wissen? Dan moet u zijn persoonsgegevens dus ook zo snel mogelijk uit uw back-ups verwijderen.

    Het recht op vergetelheid houdt in dat u in bepaalde gevallen verplicht bent om iemands gegevens te verwijderen als diegene hierom vraagt. Bijvoorbeeld als de gegevens niet meer nodig zijn of als die persoon zijn toestemming intrekt.

    Eisen aan back-ups

    Zo gaat u goed om met back-ups onder de AVG:

    • Inventariseer van welke gegevens u back-ups moet bijhouden, bijvoorbeeld vanwege uw beveiligingsbeleid. Houd er rekening mee dat u alleen gegevens mag verwerken die noodzakelijk zijn voor het doel van uw verwerking (zie artikel 5 van de AVG). U moet ook kunnen aantonen dat deze gegevens noodzakelijk zijn. Dat is onderdeel van uw verantwoordingsplicht.
    • Maak regelmatig back-ups en verwijder systematisch verouderde gegevens.
    • Informeer mensen goed over welke aanvullende bewaartermijn noodzakelijk is voor back-ups van uw specifieke dienstverlening. Bijvoorbeeld: u bewaart persoonsgegevens van klanten 1 jaar in uw reguliere systemen, maar hanteert aanvullend een bewaartermijn van 3 maanden voor uw back-ups.
    • Richt uw back-upsysteem zo in dat u verwijderverzoeken van betrokkenen ook kan doorvoeren in dit systeem.
    • Is het noodzakelijk voor uw dienstverlening om back-ups te maken die moeilijk of niet overschrijfbaar zijn, zoals tapes? Dan kunt u de persoonsgegevens niet verwijderen uit de back-ups. Zorg dan wel dat u goed bijhoudt welke persoonsgegevens u had moeten verwijderen. Is het onverhoopt nodig om een back-up terug te zetten? Dan moet u deze gegevens alsnog verwijderen.

    Uitzonderingen

    Er zijn ook uitzonderingen op het recht op vergetelheid. U hoeft de betreffende persoonsgegevens bijvoorbeeld niet uit uw back-ups te verwijderen als u wettelijk verplicht bent om de gegevens een bepaalde tijd te bewaren. Of als u ze moet archiveren in het algemeen belang.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden