Recht op gegevens wissen

In een aantal situaties zijn organisaties verplicht om persoonsgegevens van iemand te verwijderen (wissen) als diegene hierom vraagt. Volgens de privacywet AVG hebben mensen namelijk ‘recht op gegevenswissing’. De AVG noemt dit ook wel het ‘recht op vergetelheid’. Is er geen goede reden (meer) voor een organisatie om iemands gegevens nog langer te verwerken? Dan is het belangrijk dat de organisatie deze gegevens wist. Maar let op: het is vaak niet mogelijk om alle gegevens te wissen.

Op deze pagina

Wanneer wissen wel en niet mogelijk is

In deze situaties moet een organisatie de gegevens van een persoon wissen:

  • De organisatie heeft de persoonsgegevens niet meer nodig voor het doel waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.
  • De persoon in kwestie heeft eerder toestemming gegeven aan de organisatie voor het gebruik van de gegevens, maar trekt die toestemming nu in.
  • De persoon maakt (terecht) bezwaar tegen het gebruik van de gegevens.
  • De organisatie houdt zich niet aan de privacyregels bij het gebruik van de persoonsgegevens. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
  • De organisatie is wettelijk verplicht om de gegevens na een bepaalde tijd te wissen.
  • Apps en websites bij kinderen: het kind van de persoon is jonger dan 16 jaar en de persoonsgegevens van dit kind zijn verzameld via een app of website. Of de eigen gegevens van deze persoon zijn op die manier verzameld toen diegene jonger was dan 16 jaar.

In deze situaties geldt het recht op gegevens wissen niet:

  • De verwerking van de gegevens is noodzakelijk om het recht op vrijheid van meningsuiting en informatie uit te oefenen. Daarmee doet de AVG recht aan het principe dat ‘privacy’ en ‘vrijheid van meningsuiting’ gelijkwaardige grondrechten zijn.
  • De organisatie verwerkt de gegevens omdat er een wettelijke verplichting is om dat te doen.
  • De organisatie verwerkt de gegevens om openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang uit te oefenen.
  • De organisatie verwerkt de gegevens voor een taak van algemeen belang op het gebied van de volksgezondheid.
  • De organisatie moet de gegevens in het algemeen belang archiveren.
  • De gegevens zijn noodzakelijk voor een rechtsvordering.

Daarnaast staan in de AVG enkele algemene uitzonderingen op de privacyrechten. Hierdoor kan een organisatie in een bijzonder geval iemands verzoek ook afwijzen. Het is bijvoorbeeld niet de bedoeling dat iemand met een beroep op het recht op gegevens wissen sporen van crimineel gedrag wist.

Vragen om wissen van gegevens

Wilt u dat een organisatie uw persoonsgegevens wist? Stuur dan een e-mail of brief aan de organisatie. Geef daarin aan welke gegevens u wilt laten wissen. U kunt voor uw verzoek de voorbeeldbrief gegevens wissen van de Autoriteit Persoonsgegevens gebruiken.

De organisatie moet u in de reactie op uw verzoek laten weten of de organisatie uw gegevens gaat wissen. Besluit de organisatie om uw gegevens niet (allemaal) te wissen? Dan moet de organisatie uitleggen waarom niet. Besluit de organisatie uw gegevens te wissen? Dan moet de organisatie dit zo snel mogelijk doen. Dat is uiterlijk binnen 1 maand.

Andere organisaties informeren

Heeft de organisatie uw gegevens het afgelopen jaar aan andere organisaties doorgegeven? Dan moet de organisatie aan deze andere organisaties doorgeven dat de organisatie uw gegevens heeft gewist. En dat zij iedere kopie van of koppeling naar uw persoonsgegevens moeten wissen.

Wilt u weten wie de organisatie heeft geïnformeerd over het wissen van uw gegevens? Dan kunt u dit aan de organisatie vragen. De organisatie moet u hierop antwoord geven.

Voor organisaties: recht op gegevens wissen in de praktijk

Ontvangt u als organisatie een verzoek om gegevens te wissen? Kijk dan bij Privacyrechten in de praktijk voor wat u moet doen om volgens de regels met het verzoek om te gaan (o.a. identiteit aanvrager controleren, reactietermijn). Verder gelden bij het recht op gegevens wissen (‘recht op vergetelheid’) de volgende bijzonderheden:

  • bepaal welke gegevens u moet wissen;
  • verwijder de gegevens ook uit back-ups;
  • overweeg de reactietermijn;
  • geef een specifieke reactie aan de aanvrager;
  • geef urgentie ook door aan andere organisaties.

Bepaal welke gegevens u moet wissen

Bepaal welke persoonsgegevens u moet wissen en welke niet. Er kunnen bijvoorbeeld wettelijke verplichtingen gelden waardoor u bepaalde persoonsgegevens nog even moet bewaren. Daarnaast staan in de AVG enkele algemene uitzonderingen op de privacyrechten. Hierdoor kunt u in een bijzonder geval een verzoek afwijzen. Zo is het bijvoorbeeld niet de bedoeling dat iemand met een beroep op het recht op gegevens wissen sporen van crimineel gedrag laat wissen.

Verwijder de gegevens ook uit back-ups

Back-ups vallen ook onder het recht op vergetelheid. Krijgt u een verzoek om gegevens te wissen, dan moet u die gegevens dus ook zo snel mogelijk uit uw back-ups wissen. Heeft u back-ups die moeilijk of niet overschrijfbaar zijn, zoals tapes? Dan kunt u de persoonsgegevens niet wissen uit de back-ups. Zorg dan wel dat u goed bijhoudt welke persoonsgegevens u had moeten wissen. Is het nodig om een back-up terug te zetten? Dan moet u deze gegevens alsnog wissen.

Overweeg de reactietermijn

Heeft de aanvrager aangifte gedaan bij de politie tegen het delen van de gegevens? Bijvoorbeeld in het geval van wraakporno? Overweeg dan of u het verzoek met meer urgentie kunt behandelen.

Geef een specifieke reactie aan de aanvrager

Wees in uw reactie op het verzoek zo specifiek mogelijk over hoe u aan het verzoek gehoor geeft. Sommige mensen vragen namelijk bewijs dat u hun gegevens daadwerkelijk heeft gewist. Omdat u natuurlijk niet kunt laten zien welke persoonsgegevens u niet (meer) heeft, is het extra belangrijk dat u in uw reactie genoeg informatie geeft. Zodat de aanvrager erop kan vertrouwen dat u het verzoek op de juiste manier heeft uitgevoerd.

Geef bijvoorbeeld aan welke gegevens u heeft gewist en wanneer. Geef ook aan welke persoonsgegevens u niet heeft gewist, waarom niet en wanneer u dat wel gaat doen.

Geef urgentie ook door aan andere organisaties

Informeert u andere organisaties over de gewiste gegevens, vermeld het dan ook als de persoon in kwestie aangifte heeft gedaan bij de politie. Zodat ook deze andere organisaties weten dat het belangrijk is om de gegevens zo snel mogelijk te wissen.