Recht op gegevens verwijderen

In een aantal situaties zijn organisaties verplicht om persoonsgegevens van iemand te verwijderen (wissen)  als diegene hierom vraagt. Volgens de privacywet AVG hebben mensen namelijk ‘recht op gegevenswissing’, ook wel ‘recht op vergetelheid’ genoemd.

Is er geen goede reden (meer) voor een organisatie om iemands persoonsgegevens nog langer te verwerken? Dan is het belangrijk dat de organisatie deze gegevens verwijdert. Maar let op: het is vaak niet mogelijk om alle persoonsgegevens te verwijderen.

Op deze pagina

Wanneer verwijderen wel en niet mogelijk is

In deze situaties moet een organisatie iemands persoonsgegevens verwijderen:

  • De organisatie heeft de persoonsgegevens niet meer nodig voor het doel waarvoor de organisatie de gegevens heeft verzameld of waarvoor de organisatie de gegevens verwerkt.
  • De persoon in kwestie heeft eerder toestemming gegeven aan de organisatie voor het gebruik van de gegevens, maar trekt die toestemming nu in.
  • De persoon maakt (terecht) bezwaar tegen het gebruik van de gegevens.
  • De organisatie houdt zich niet aan de privacyregels bij het gebruik van de persoonsgegevens. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
  • De organisatie is wettelijk verplicht om de gegevens na een bepaalde tijd te verwijderen.
  • Apps en websites bij kinderen: de persoonsgegevens van een kind onder de 16 jaar zijn verzameld via een app of website. 

In deze situaties geldt het recht op gegevens verwijderen niet:

  • De verwerking van de gegevens is noodzakelijk om het recht op vrijheid van meningsuiting en informatie uit te oefenen. Daarmee doet de AVG recht aan het principe dat ‘privacy’ en ‘vrijheid van meningsuiting’ gelijkwaardige grondrechten zijn.
  • De organisatie verwerkt de gegevens omdat er een wettelijke verplichting is om dat te doen.
  • De organisatie verwerkt de gegevens om openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang uit te oefenen.
  • De organisatie verwerkt de gegevens voor een taak van algemeen belang op het gebied van de volksgezondheid.
  • De organisatie moet de gegevens in het algemeen belang archiveren.
  • De gegevens zijn noodzakelijk voor een rechtsvordering.

Daarnaast staan in de AVG enkele algemene uitzonderingen op de privacyrechten. Hierdoor kan een organisatie in een bijzonder geval iemands verzoek ook afwijzen. Het is bijvoorbeeld niet de bedoeling dat iemand met een beroep op het recht op gegevens verwijderen sporen van crimineel gedrag wist.

Vragen om verwijderen van gegevens

Wilt u dat een organisatie uw persoonsgegevens verwijdert? Stuur dan een e-mail of brief aan de organisatie. Geef daarin aan welke gegevens u wilt laten verwijderen. U kunt voor uw verzoek de voorbeeldbrief gegevens verwijderen  van de Autoriteit Persoonsgegevens gebruiken.

De organisatie moet u in de reactie op uw verzoek laten weten of de organisatie uw gegevens gaat verwijderen. Besluit de organisatie om uw gegevens niet (allemaal) te verwijderen? Dan moet de organisatie uitleggen waarom niet. Besluit de organisatie uw gegevens te verwijderen? Dan moet de organisatie dit zo snel mogelijk doen. Dat is uiterlijk binnen 1 maand.

Andere organisaties informeren

Heeft de organisatie uw gegevens het afgelopen jaar aan andere organisaties doorgegeven? Dan moet de organisatie aan deze andere organisaties doorgeven dat de organisatie uw gegevens heeft verwijderd. En dat zij iedere kopie van of koppeling naar uw persoonsgegevens moeten verwijderen.

Wilt u weten wie de organisatie heeft geïnformeerd over het verwijderen van uw gegevens? Dan kunt u dit aan de organisatie vragen. De organisatie moet u hierop antwoord geven.

Voor organisaties: recht op gegevens verwijderen in de praktijk

Ontvangt u als organisatie een verzoek om gegevens te verwijderen? Kijk dan bij Privacyrechten in de praktijk voor wat u moet doen om volgens de regels met het verzoek om te gaan (o.a. identiteit aanvrager controleren, reactietermijn). Verder gelden bij het recht op gegevens verwijderen (ook wel ‘recht op vergetelheid’ of 'recht op gegevenswissing' genoemd) de volgende bijzonderheden:

  • bepaal welke gegevens u moet verwijderen;
  • verwijder de gegevens ook uit back-ups;
  • overweeg de reactietermijn;
  • geef een specifieke reactie aan de aanvrager;
  • geef urgentie ook door aan andere organisaties.

Bepaal welke gegevens u moet verwijderen

Bepaal welke persoonsgegevens u moet verwijderen en welke niet. Er kunnen bijvoorbeeld wettelijke verplichtingen gelden waardoor u bepaalde persoonsgegevens nog even moet bewaren. Daarnaast staan in de AVG enkele algemene uitzonderingen op de privacyrechten. Hierdoor kunt u in een bijzonder geval een verzoek afwijzen. Zo is het bijvoorbeeld niet de bedoeling dat iemand met een beroep op het recht op gegevens recht op verwijdering sporen van crimineel gedrag laat verwijderen.

Verwijder de gegevens ook uit back-ups

Back-ups vallen ook onder het recht op vergetelheid. Krijgt u een verzoek om gegevens te verwijderen, dan moet u die gegevens dus ook zo snel mogelijk uit uw back-ups verwijderen. Heeft u back-ups die moeilijk of niet overschrijfbaar zijn, zoals tapes? Dan kunt u de persoonsgegevens niet verwijderen uit de back-ups. Zorg dan wel dat u goed bijhoudt welke persoonsgegevens u had moeten verwijderen. Is het nodig om een back-up terug te zetten? Dan moet u deze gegevens alsnog verwijderen.

Overweeg de reactietermijn

Heeft de aanvrager aangifte gedaan bij de politie tegen het delen van de gegevens? Bijvoorbeeld in het geval van wraakporno? Overweeg dan of u het verzoek met meer urgentie kunt behandelen.

Geef een specifieke reactie aan de aanvrager

Wees in uw reactie op het verzoek zo specifiek mogelijk over hoe u aan het verzoek gehoor geeft. Sommige mensen vragen namelijk bewijs dat u hun gegevens daadwerkelijk heeft verwijderd. Omdat u natuurlijk niet kunt laten zien welke persoonsgegevens u niet (meer) heeft, is het extra belangrijk dat u in uw reactie genoeg informatie geeft. Zodat de aanvrager erop kan vertrouwen dat u het verzoek op de juiste manier heeft uitgevoerd.

Geef bijvoorbeeld aan welke gegevens u heeft verwijderd en wanneer. Geef ook aan welke persoonsgegevens u niet heeft verwijderd, waarom niet en wanneer u dat wel gaat doen.

Geef urgentie ook door aan andere organisaties

Informeert u andere organisaties over de verwijderde gegevens, vermeld het dan ook als de persoon in kwestie aangifte heeft gedaan bij de politie. Zodat ook deze andere organisaties weten dat het belangrijk is om de gegevens zo snel mogelijk te verwijderen.