Persoonsgegevens op internet

Wilt u informatie over anderen op internet publiceren? Zoals op de website of het Facebook-profiel van uw organisatie? Dat mag in principe alleen als u daarvoor een wettelijke grondslag heeft uit de Algemene verordening gegevensbescherming (AVG).

Toestemming

Er zijn zes grondslagen. Eén daarvan is toestemming. Onder de AVG is in de meeste gevallen toestemming nodig van de mensen om wie het gaat om hun persoonsgegevens te publiceren op internet.

Maar in sommige gevallen kunt u publicatie ook baseren op een andere grondslag, zoals een overeenkomst waarbij de betrokkene partij is.

Foto’s en gegevens verwijderen of wijzigen

Mensen kunnen u vragen om hun foto’s en gegevens te verwijderen of te wijzigen.

Heeft u in eerste instantie toestemming gekregen om foto’s of gegevens op internet te plaatsen? Dan hebben mensen het recht om hun toestemming later in te trekken. U moet dan hun persoonsgegevens verwijderen.

Uitzondering voor persoonlijk of huishoudelijk gebruik

Is uw publicatie uitsluitend bedoeld voor persoonlijk of huishoudelijk gebruik? Dan is de AVG niet van toepassing. In dat geval heeft u dus ook geen grondslag nodig voor publicatie, zoals toestemming.

Journalistieke uitzondering

Voor journalistieke publicaties gelden bepaalde uitzonderingen op de AVG. De journalistieke publicatie moet dan wel voldoen aan de voorwaarden voor de journalistieke uitzondering. Ook een journalistieke publicatie moet u kunnen baseren op een wettelijke grondslag.

Let op: is de journalistieke uitzondering van toepassing? Dan kan eenmaal gegeven toestemming, bijvoorbeeld voor het publiceren van een interview, niet worden ingetrokken.

Publiceert u persoonsgegevens van andere mensen op internet? Dan heeft u volgens de Algemene verordening gegevensbescherming (AVG) een wettelijke grondslag nodig. Bijvoorbeeld toestemming van de mensen om wie het gaat. Maar is uw publicatie uitsluitend bedoeld voor persoonlijk of huishoudelijk gebruik? Dan is de AVG niet van toepassing. En heeft u dus ook geen grondslag nodig voor publicatie.

Voorwaarden persoonlijk of huishoudelijk gebruik

Deze uitzondering geldt alleen als u privé publiceert, dus niet namens een bedrijf. En als u uitsluitend publiceert voor uw eigen persoonlijke of huishoudelijke doeleinden. Dus niet (ook) voor professionele of commerciële doeleinden.

U moet er daarbij voor zorgen dat de informatie alleen zichtbaar is voor een beperkte kring mensen, zoals uw familieleden of vrienden. De gegevens mogen dus niet openbaar zijn voor iedereen (ook niet voor ‘vrienden van vrienden’ op Facebook). Via zoekmachines mogen de gegevens ook niet te vinden zijn.

Let op: bent u de administrator van een fanpagina (fan page) op Facebook? Dan bent u medeverantwoordelijk voor het verwerken van persoonsgegevens van bezoekers van die pagina.

Is de fanpagina bedoeld voor een breder publiek, bijvoorbeeld als platform voor een organisatie of bedrijf? En toegankelijk voor anderen dan vrienden of zelfgekozen contactpersonen? Dan gaat het niet om uitsluitend persoonlijk of huishoudelijk gebruik en is de AVG van toepassing.

Informatie afschermen

Op Facebook kunt u instellen dat uw profiel alleen toegankelijk is voor uw vrienden. Dit doet u via de privacyinstellingen. Bij uw weblog of website kunt u bijvoorbeeld een verplicht wachtwoord instellen en de pagina's met persoonsgegevens afschermen voor zoekmachines.

De Algemene verordening gegevensbescherming (AVG) is slechts gedeeltelijk van toepassing op persoonsgegevens in journalistieke publicaties op internet. Daarmee is een balans gevonden tussen privacybescherming en vrijheid van meningsuiting. Om onder de journalistieke uitzondering te vallen, moet een publicatie een uitsluitend journalistiek doel hebben. Of dit zo is, hangt van 4 criteria af.

1. Objectieve informatieverzameling

Is de publicatie gericht op objectieve informatieverzameling en -verstrekking? Bij een interactieve publicatie is ook de aard van de reacties van belang. Er moet duidelijk onderscheid zijn tussen feiten, beweringen en meningen. Kan iedere websitebezoeker vrijuit reageren of is er controle op de reacties?

2. Regelmatige bezigheid

Een weblog met een paar verouderde bijdragen kan zich minder snel beroepen op de journalistieke uitzondering dan een website waarop regelmatig iets nieuws verschijnt.

3. Maatschappelijke strekking

De publicatie moet een maatschappelijk belang dienen. Bijvoorbeeld het bekendmaken van misdragingen van een volksvertegenwoordiger of directeur van een bekend of groot bedrijf. De publicatie moet hierbij wel voldoende onderbouwd zijn.

4. Recht van repliek

Er moet een zogeheten recht van repliek zijn. Dat houdt in dat betrokkenen het recht hebben te reageren op onjuiste, onvolledige of overbodige informatie. Ook hebben zij recht op rectificatie (verbetering) van deze informatie.

Gevolgen journalistieke uitzondering

Valt een publicatie onder de journalistieke uitzondering? Dan hoeft de auteur onder meer geen toestemming te vragen aan de betrokkenen voor het gebruik van hun persoonsgegevens. Meer informatie staat in hoofdstuk 4 van de richtsnoeren Publicatie van persoonsgegevens op internet.

Dat hangt af van de leeftijd van uw kind. Is uw kind jonger dan 16 jaar? Dan mag uw kind alleen met uw toestemming foto’s en gegevens van zichzelf op internet plaatsen. Bijvoorbeeld op Facebook of een eigen website.

Toestemming ouder nodig

Is een website speciaal gericht op kinderen onder de 16 jaar? Dan moet de website uw kind erop wijzen dat hij of zij toestemming aan u moet vragen. Het gaat om toestemming voor het plaatsen van foto’s of andere persoonsgegevens van uw kind.

De houder (eigenaar) van een website moet kunnen aantonen dat u toestemming heeft gegeven. Toestemming van uw kind zelf is niet geldig.

Gegevens van anderen

Uw kind mag in principe ook geen gegevens en foto’s van iemand anders op internet plaatsen zonder dat diegene hiervoor toestemming heeft gegeven. Is deze persoon jonger dan 16 jaar, dan heeft uw kind toestemming van de ouder(s) nodig.

Er geldt wel een uitzondering voor persoonlijk of huishoudelijk gebruik. In dat geval is de AVG niet van toepassing. 

Nee, niet zomaar.

Veel mensen gebruiken gegevens van andere websites voor een eigen publicatie op internet. Bijvoorbeeld foto’s waar mensen herkenbaar op staan of adressen. Dat deze gegevens al op internet staan, betekent echter niet dat iemand ze zomaar opnieuw mag gebruiken.

Ook al heeft u de foto’s en andere gegevens zelf openbaar gemaakt, niemand mag ze zomaar elders op internet plaatsen. Zeker als de gegevens in een andere context worden gebruikt en voor een ander doel. Een persoon, bedrijf of overheidsinstantie heeft dan een aanvullende, wettelijke reden nodig om uw gegevens te mogen hergebruiken. 

De overheid beschikt over veel informatie. Soms is de overheid wettelijk verplicht die informatie openbaar te maken. Maar steeds vaker maken overheidsorganisaties, zoals gemeenten, ook uit zichzelf informatie openbaar. Bijvoorbeeld op hun website. Dit doen zij om transparant te zijn over wat ze doen. Bevat die informatie uw persoonsgegevens? Dan moet de organisatie vóór publicatie het belang van openbare informatie afwegen tegen uw recht op privacy.

Inbreuk op privacy beperken

Een overheidsorganisatie mag niet onnodig uw persoonsgegevens publiceren. Die beoordeling moet de organisatie vooraf maken.

Is het niet nodig uw persoonsgegevens te publiceren? Dan moet de organisatie die eerst uit een document verwijderen. Ook kan de organisatie beslissen om maar een gedeelte van het document te publiceren.

Handtekening en BSN

Uw handtekening en burgerservicenummer (BSN) mag een overheidsorganisatie nooit openbaar maken.

Toestemming vragen

De overheidsorganisatie kan u ook toestemming vragen om bepaalde gegevens van u openbaar te maken. Let op: u bent nooit verplicht om toestemming te geven. En als u toestemming heeft gegeven, kunt u uw toestemming later altijd intrekken.

Rectificatie of verwijdering van gegevens

Kloppen uw gegevens niet? Of doen de gegevens bijvoorbeeld niet ter zake? Dan kunt u de overheidsorganisatie vragen uw gegevens te verbeteren, aan te vullen of af te schermen.

In een aantal situaties moet een organisatie uw gegevens op internet wissen. Bijvoorbeeld als de gegevens niet meer nodig zijn voor het doel waarvoor ze zijn verzameld, als u uw toestemming intrekt of als u bezwaar maakt tegen de verwerking.

Voorbeeld: digitaal bouwarchief

Gemeenten zijn wettelijk verplicht een openbaar register bij te houden van alle aangevraagde en verleende bouwvergunningen. Sommige gemeenten maken dit register toegankelijk via internet. Dat wordt een digitaal bouwarchief genoemd.

De gemeente mag geen persoonsgegevens publiceren in het digitaal bouwarchief die niet noodzakelijk zijn. Zoals de telefoonnummers en e-mailadressen van de mensen die een bouwvergunning hebben aangevraagd.

Diensten als Google Streetview, Cyclomedia en Bing StreetSide mogen foto’s van huizen op internet publiceren als zij daar een gerechtvaardigd belang (bedrijfsbelang) bij hebben. Zij hoeven u dan niet om toestemming te vragen om een foto van uw huis op internet te zetten. Maar zij moeten daarbij wel rekening houden met uw privacy.

De diensten moeten uw privacy beschermen door:

• van te voren te laten weten waar en wanneer zij foto’s gaan nemen, bijvoorbeeld via advertenties in kranten;
• gezichten en nummerborden op foto’s onherkenbaar te maken (blurren);
• een opt-out te bieden.

Opt-out

Heeft u bezwaar tegen de publicatie van een foto van uw huis op internet? Of ziet u een foto waar u of uw nummerbord herkenbaar op staat? Dan kunt op de website van de betreffende dienst lezen wat u kunt doen om de foto te laten aanpassen of verwijderen:

• Google Street View - Privacy
• Cyclomedia - Privacy
• Bing StreetSide

Wilt u niet dat iemand anders de foto’s op uw website elders op internet plaatst? Het kan helpen om uw foto’s af te schermen voor zoekmachines. U kunt uw hele website afschermen of alleen de pagina’s waar foto’s op staan.

Hele website afschermen

Plaats in de webroot een tekstbestand met de naam robots.txt en met de volgende inhoud:

User-agent: *

Disallow: /

Losse pagina's afschermen

Voeg aan de header van elke pagina die u wilt afschermen de volgende code toe:

<META NAME=”ROBOTS” CONTENT=”NOINDEX, NOFOLLOW”>

De Autoriteit Persoonsgegevens kan hierover geen oordeel geven, omdat de Algemene verordening gegevensbescherming (AVG) hierbij niet geldt. De AVG is alleen van toepassing op levende personen. Een foto van een graf met gegevens van een overleden persoon erop valt daarom niet onder de AVG.

Het plaatsen van persoonsgegevens op open bronnen zoals openbare internetpagina’s, is een verwerking. In dat geval is de AVG van toepassing en is bijvoorbeeld een grondslag nodig. De AVG geldt niet als persoonsgegevens worden verwerkt voor ‘persoonlijk of huishoudelijk’ gebruik.

Voor het plaatsen van uw eigen persoonsgegevens op open bronnen heeft u geen grondslag nodig. Want het zijn uw gegevens en u mag bepalen wat daarmee gebeurt. Als u persoonsgegevens van anderen op een open bron wilt plaatsen dan is dat anders.

Voor een rechtmatige plaatsing van persoonsgegevens van anderen op een open bron, heeft u een grondslag nodig. Ook moet u een specifiek en gerechtvaardigd doel hebben. U moet zelf vaststellen welk doel dat is, of u daarvoor een grondslag heeft, en of u aan de overige vereisten uit de AVG voldoet vóórdat u de gegevens plaatst. Zo voorkomt u een onrechtmatige verwerking.

Voor de verwerking van bijzondere persoonsgegevens of strafrechtelijke gegevens geldt een verwerkingsverbod. U mag deze gegevens van anderen alleen verwerken als er sprake is van een uitzondering op dit verbod. U moet zelf vaststellen of de gegevens van anderen die u op openbare bronnen wilt plaatsen, vallen onder dit verbod en of u aanspraak kunt maken op een uitzondering hierop.

Ja. Persoonsgegevens die op een rechtmatige manier op een open bron zijn geplaatst, mag u gebruiken voor persoonlijke of huishoudelijke doeleinden.

De gegevens gebruikt u dan uitsluitend privé. Dus niet (ook) voor professionele of commerciële doeleinden. Én u deelt de gegevens niet met anderen of alleen met een beperkte groep mensen, zoals uw familieleden of vrienden. Bijvoorbeeld voor het opstellen van een verjaardagskalender, persoonlijk adresboek of het doorgeven van een telefoonnummer van een familielid aan een ander familielid. In deze gevallen is de AVG niet van toepassing.

Nee, niet zomaar. Informatie over een persoon kan rechtmatig in een open bron zoals internet staan, en dus voor iedereen toegankelijk en te bekijken zijn. Maar dat betekent niet dat u die gegevens dan ook overal voor mag gebruiken. U mag de gegevens niet zomaar opnieuw verwerken.

Of het verstrekken van persoonsgegevens mag, verschilt per situatie.

Toestemming geldt vaak niet als grondslag voor opnieuw verwerken

Persoonsgegevens mogen opnieuw worden verwerkt als de betrokkene daar specifieke toestemming voor heeft gegeven. Het plaatsen van gegevens op een open bron kunt u zien als toestemming om de gegevens te bekijken. Maar niet om de gegevens opnieuw te verwerken, bijvoorbeeld als u de gegevens in allerlei bestanden wilt opnemen.

Vooraf risico’s in kaart brengen

Het feit dat persoonsgegevens te vinden zijn op open bronnen, of daar zelfs door de betrokkene zelf zijn geplaatst, is dus geen vrijbrief om de gegevens opnieuw te verwerken. Voor elke nieuwe verwerking moet u nagaan of u verplicht bent een data protection impact assessment (DPIA) uit tevoeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen. Ook als het uitvoeren van een DPIA niet verplicht is, is het aan te raden om dat toch te doen.

Automatische dataverzameling

Ook organisaties die automatisch het gehele internet afzoeken en er zoveel mogelijk persoonsgegevens vanaf halen verwerken persoonsgegevens. Ook zij moeten voldoen aan de AVG. Zo moeten ze bijvoorbeeld kunnen aantonen dat er een grondslag is voor de verwerking. En dat ze voldoen aan dataminimalisatie en noodzakelijkheid. Oftewel: dat er zo min mogelijk persoonsgegevens worden verzameld en verwerkt, en dat het echt nodig is om dit te doen.

Voor de verwerking van bijzondere of strafrechtelijke gegevens geldt een verwerkingsverbod. Dat betekent dat rechtmatig op internet geplaatste bijzondere en strafrechtelijke persoonsgegevens bekeken mogen worden, maar niet opnieuw verwerkt mogen worden. Tenzij er, naast een grondslag, ook een uitzonderingsgrond van toepassing is.

Staat bijvoorbeeld uw naam, foto of telefoonnummer op een website en wilt u dit niet? Vraag dan de eigenaar van deze website om de gegevens te verwijderen.

Verzoek verwijdering

U kunt voor uw verzoek aan de eigenaar van de website onze voorbeeldbrief persoonsgegevens wissen gebruiken.

Kunt u geen contactinformatie vinden op de website? Lees dan hoe u de eigenaar van de website kunt achterhalen.

Gegevens kind verwijderen

Kijk eerst samen met uw kind of het mogelijk is om zelf de gegevens te verwijderen. Bijvoorbeeld als uw kind een foto op socials of op een eigen website heeft geplaatst.

Kunt u de gegevens niet zelf verwijderen en is uw kind jonger dan 16 jaar? Vraag dan de eigenaar van de website de persoonsgegevens van uw kind te verwijderen.

Kinderen van 16 jaar of ouder vragen de eigenaar zelf om verwijdering van hun gegevens.

Toestemming intrekken

Gaf u eerder toestemming om uw gegevens op een bepaalde website te plaatsen, maar heeft u zich bedacht? U kunt uw toestemming altijd intrekken. Hiervoor kunt u onze voorbeeldbrief toestemming intrekken gebruiken.

Wanneer u uw toestemming intrekt, is de publicatie van uw gegevens op die website niet meer toegestaan. Dit geldt vanaf het moment dat u uw toestemming heeft ingetrokken.

Let op: u kunt dus niemand aanspreken op eventuele schade van de publicatie van uw gegevens vóórdat u uw toestemming introk.

Nee. Ook al heeft u het recht om vergeten te worden, een website hoeft niet altijd aan uw verzoek te voldoen. Dat komt omdat óók andere regels een rol spelen. Zoals het recht op vrijheid van meningsuiting en informatie.

Om te beoordelen of een website verplicht is om aan uw verzoek te voldoen, spelen de volgende vragen een rol:

1. Gaat het om persoonsgegevens?
Ter illustratie: bij een algemene review over een camping is er vaak geen sprake van persoonsgegevens. Het recht om vergeten te worden uit de privacywet geldt dan niet omdat het niet over een persoon gaat. Maar als de review heel specifiek gaat over de eigenaar van een camping wel. Een review kan dan impact hebben op iemands privéleven.

Let op: wilt u persoonsgegevens verwijderen vanwege smaad of laster? Dien dan een klachtdelict in bij de politie. Meer informatie over klachtdelicten op de website van het Juridisch Loket

2. Heeft de website een grondslag?
Oftewel: heeft de site het wettelijke recht om persoonsgegevens te verwerken? Zo niet, dan moet de website uw persoonsgegevens direct verwijderen. 

3. Valt de informatie onder de journalistieke uitzondering of onder academische, artistieke of literaire uitdrukkingsvormen? 
Ter illustratie: foto’s en video’s van een band die niet meer bestaat, kunnen onder de artistieke uitdrukkingsvorm vallen.

4. Afweging tussen 'recht om vergeten te worden' en 'recht op vrijheid van meningsuiting en informatie'
Mensen hebben het recht om hun mening te uiten en het recht op informatie. Bijvoorbeeld via beoordelingssites over zorgverleners, restaurants of hotels. Daarom kan een website niet zomaar verplicht worden om persoonsgegevens te verwijderen. Daar moeten goede redenen voor zijn. Goede redenen kunnen bijvoorbeeld zijn dat de informatie verouderd is en geen algemeen belang dient, maar wel over iemands privéleven gaat.

Niet meer herleidbaar tot u als persoon

Wanneer een website aan uw verzoek moet voldoen, mag de informatie waar het over gaat niet meer herleidbaar zijn tot u als persoon. Dit kan bijvoorbeeld door de informatie te verwijderen of te anonimiseren.

Zie verder

• Een website weigert mijn persoonsgegevens te verwijderen. Wat kan ik doen?
• Ik wil verwijderd worden uit de zoekresultaten van een zoekmachine. Moet een zoekmachine meewerken?
• Kan ik mijn gegevens of die van mijn kind van internet laten verwijderen?

Heeft u de eigenaar van een website gevraagd uw persoonsgegevens te verwijderen? En weigert de eigenaar uw verzoek of krijgt u geen reactie? Dan kunt u een verwijderverzoek indienen bij een zoekmachine. Daarnaast kunt u een klacht indienen bij de Autoriteit Persoonsgegevens (AP).

Verwijderverzoek zoekmachine

Bij een verwijderverzoek blijven uw persoonsgegevens staan op de website. De zoekmachine kan daar niets tegen doen. Maar uw informatie komt in ieder geval niet meer naar boven wanneer iemand uw naam intikt in de zoekmachine.

Praktische informatie over het indienen van een verwijderverzoek bij verschillende zoekmachines vindt u op veiliginternetten.nl.

Zoekmachines zijn vaak verplicht om aan een verwijderverzoek te voldoen.

Klacht indienen bij AP

Vindt u dat een website uw verzoek onterecht heeft afgewezen? Of krijgt u helemaal geen reactie op uw verzoek? Dan kunt u een klacht indienen bij de AP.

Let op: wilt u uw persoonsgegevens verwijderen vanwege smaad of laster? Dien dan een klachtdelict in bij de politie. U vindt informatie over klachtdelicten op de website van het Juridisch Loket.

Een zoekmachine beoordeelt per verzoek of zoekresultaten verwijderd moeten worden. Vaak is de zoekmachine verplicht om aan een verzoek te voldoen. Maar niet altijd.

Het recht om vergeten te worden

U heeft in bepaalde situaties het recht om uw gegevens te laten verwijderen ('vergeten te worden'). In de Algemene verordening gegevensbescherming heet dit het recht op vergetelheid. Dit recht geldt ook voor de zoekresultaten van een zoekmachine.

Het gaat dan om het verwijderen van zoekresultaten die verschijnen bij het zoeken op uw naam. Wilt u een zoekresultaat laten verwijderen? Dan moet het zoekresultaat verwijzen naar pagina’s waarop informatie over u te vinden is.

Een zoekmachine moet ook aan uw verwijderverzoek voldoen wanneer uw naam (nog) niet is gewist van de webpagina waar het zoekresultaat naar verwijst. En ook wanneer de betreffende webpagina niet onrechtmatig naar u verwijst.

Uitzondering verwijderen zoekresultaten

Soms weegt het belang van het publiek om over de informatie te beschikken zwaarder dan iemands privacy. In zo’n geval hoeft een zoekmachine niet aan een verwijderverzoek te voldoen. 

Het gaat dan vooral om het afwegen van de rol die iemand in het openbare leven speelt. En welke impact de verwijzing heeft op het privéleven van die persoon.

Beoordelen verwijderverzoek

Het beoordelen van een verwijderverzoek is daarom maatwerk. Bij het beoordelen spelen de volgende vragen een belangrijke rol:

• Wat is het belang van de betrokkene (degene die het verzoek doet) om de URL’s uit de zoekresultaten te laten verwijderen?
• Wat is het belang van het publiek om over de informatie te beschikken?
• Speelt de betrokkene een rol in het openbare leven? Gaat het bijvoorbeeld om politici of mensen die op basis van hun functie verschijnen in zoekresultaten?
• Wat is de aard van de gepubliceerde informatie? Bijvoorbeeld: gaan de gegevens over het beroepsleven van de betrokkene? Vormen de zoekresultaten een bijzonder risico voor de betrokken persoon? Is de persoon een minderjarige?
• Wat is het type bron dat de informatie publiceert? Is de informatie voor een journalistiek doel gepubliceerd?

Wat kan ik doen?

Bent u het niet eens met het oordeel van de zoekmachine? Kom dan in actie.

Heeft een zoekmachine uw verwijderverzoek afgewezen? En bent u het daar niet mee eens? Dan kunt u de volgende stappen ondernemen.

• Neem contact op met de zoekmachine. Of dien een klacht in. Misschien kunt u het alsnog samen oplossen.
• Als u dit nog niet heeft gedaan: neem contact op met de eigenaar van de website waarnaar het zoekresultaat verwijst. U kunt onze voorbeeldbrief persoonsgegevens wissen gebruiken. Wanneer uw gegevens niet meer op die website staan, verdwijnen ze ook uit de zoekresultaten van de zoekmachine.
• Komt u er niet uit? Dan kunt u naar de rechter gaan of de Autoriteit Persoonsgegevens (AP) vragen te bemiddelen. Dat staat in de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).

Naar de rechter

U kunt ervoor kiezen om uw zaak voor te leggen aan de (civiele) rechter. Dit doet u met een schriftelijk verzoek om uw verwijderverzoek alsnog toe te kennen, op grond van artikel 35 UAVG.

U kunt dit verzoek zelf versturen, een advocaat is niet verplicht. U kunt wel advies vragen aan het Juridisch Loket als u dit wilt.

De rechter kan de zoekmachine opdragen bepaalde links te verwijderen uit de resultaten van een zoekopdracht op uw naam.

Bemiddeling door AP

U kunt ook de AP te vragen om te bemiddelen op grond van artikel 36 UAVG.

Let op: u moet uw verzoek aan de AP doen binnen 6 weken nadat u de afwijzing van de zoekmachine heeft ontvangen.

Om te kunnen bemiddelen, heeft de AP kopieën nodig van uw verwijderverzoek en van de afwijzing door de zoekmachine.

U kunt uw verzoek sturen naar:

Autoriteit Persoonsgegevens
Postbus 93374
2509 AJ Den Haag.

De AP beoordeelt vervolgens:

• of uw verzoek aan de wettelijke vereisten voldoet;
• of er voldoende aanleiding bestaat om het verzoek in behandeling te nemen.

Is de bemiddeling door de AP niet succesvol? Dan kunt u alsnog naar de rechter stappen.

Zie ook

• Ik wil verwijderd worden uit de zoekresultaten van een zoekmachine. Moet een zoekmachine meewerken?

Op grond van de Algemene verordening gegevensbescherming (AVG) kunt u de eigenaar van de website vragen uw foto te verwijderen. Maar de AVG is niet de enige wet die van toepassing is op publicatie van foto’s op internet. Er zijn daarom ook enkele andere stappen die u kunt zetten. 

Strafrecht

Het Wetboek van Strafrecht kan van toepassing zijn. Bijvoorbeeld als een organisatie of persoon door publicatie van uw foto op internet bepaalde fatsoensgrenzen overtreedt. Er kan dan sprake zijn van smaad, laster en/of belediging. U kunt hiervan aangifte doen bij de politie.

Civiel recht

Daarnaast kan het Burgerlijk Wetboek van toepassing zijn. Vindt u dat u door de publicatie van uw foto op internet onrechtmatig behandeld bent? Dan kunt u naar de rechter stappen. Er moet wel sprake zijn van schade.

Portretrecht

Tot slot kan de Auteurswet van toepassing zijn. Bij publicatie van uw foto op internet kunt u in bepaalde gevallen een beroep doen op uw portretrecht. Het moet dan gaan om een situatie waarin uw portret zonder uw toestemming is gepubliceerd. U kunt hiertegen optreden als u daarbij een redelijk belang heeft. Dit belang moet liggen in de zedelijke sfeer of privacysfeer.

Naar de rechter

Wilt u naar de rechter, dan kunt u zelf een verzoekschrift indienen. U heeft hierbij geen advocaat nodig. U kunt wel advies vragen aan het Juridisch Loket als u dit wilt.

Zet u zelf gegevens of uitspraken op een forum, dan geeft u daarmee de houder (eigenaar) van de website toestemming om deze te publiceren. U kunt niet vragen om uw reactie helemaal te verwijderen. U kunt de websitehouder wel vragen de tot uw persoon herleidbare gegevens uit uw reactie te verwijderen.

U kunt vragen of de Kamer van Koophandel (KvK) uw adres in het Handelsregister afschermt. Maar dit kan alleen in uitzonderingsgevallen. Het uitgangspunt is dat alle gegevens in het Handelsregister openbaar zijn.

Onder de volgende voorwaarden kunt u uw privéadres laten afschermen:

• Er is sprake van waarschijnlijke dreiging.
• Uw adres is afgeschermd in de basisregistratie personen (BRP).
• U heeft een geheim telefoonnummer.
• U heeft zelf alle mogelijke maatregelen genomen om de bekendheid van uw adres te verminderen.
• Het belang van afscherming van uw adres weegt zwaarder dan de rechtszekerheid in het economisch verkeer.

Als aan bovenstaande voorwaarden is voldaan, schermt de KvK uw privéadres af. Niemand kan uw adres dan nog inzien, behalve medewerkers van bestuursorganen, advocaten, notarissen en deurwaarders.

Handelsregister

Als ondernemer bent u bij inschrijving in het Handelsregister van de KvK verplicht uw privéadres op te geven. Het Handelsregister is een openbaar register. Adressen en andere algemene, feitelijke gegevens van ondernemingen zijn daarom zichtbaar voor iedereen. Deze gegevens moeten volgens de wet ingeschreven worden in het Handelsregister.

Meer informatie

Kijk voor meer informatie bij Privacy op de website van de KvK. Heeft u daarna nog vragen, stel die dan aan de KvK.

De Autoriteit Persoonsgegevens is niet bevoegd om hier verder uitspraak over te doen, omdat er een speciale procedure in de Handelsregisterwet is voor het afschermen van privéadressen.

U kunt alleen persoonsgegevens laten verwijderen van een website voor genealogie (stamboomonderzoek) als het om uw eigen gegevens gaat. Uw familielid kan u wel machtigen om gegevens te laten verwijderen als diegene dat zelf niet kan.

U vraagt uw persoonsgegevens of die van uw familielid te verwijderen aan de genealoog van wie de website is.

Toestemming intrekken

Uw persoonsgegevens mogen alleen op genealogische website staan als u hiervoor toestemming geeft. Gaf u eerder toestemming aan een genealoog om uw gegevens te publiceren maar heeft u zich bedacht? U kunt uw toestemming altijd intrekken.

Overleden familielid

Als uw familielid overleden is, kunt u niet vragen om gegevens te laten verwijderen. De Algemene verordening gegevensbescherming (AVG) is namelijk niet van toepassing op overleden personen. Maar als de persoonsgegevens van uw overleden familielid ook betrekking hebben op u, geldt de AVG wel.

Dit kan bijvoorbeeld zo zijn bij erfelijke ziekten. Het kan voorkomen dat in een stamboom de ziekten staan vermeld waaraan mensen zijn overleden. Deze informatie kan ook van toepassing zijn op nabestaanden en dus een persoonsgegeven zijn. De genealoog mag deze gegevens alleen publiceren als de nabestaanden daarvoor toestemming hebben gegeven.

Kijk eerst of op de website zelf contactinformatie staat. Zo nee, dan kunt u de eigenaar achterhalen via een website met domeinregistraties.

Webwinkels en andere aanbieders van online diensten zijn altijd verplicht om contactgegevens op hun website te vermelden. Dat is in ieder geval een e-mailadres of contactformulier. 

Nederlandse website

Gaat het om een Nederlandse website, eindigend op .nl? Zoek dan de eigenaar van de website op via de website van Stichting Internet Domeinregistratie Nederland (SIDN).

Dit doet u door de naam van de website in te vullen in de balk 'check hier je .nl-domeinnaam'. Neem vervolgens contact op met de persoon of organisatie die genoemd wordt als 'houder' (eigenaar) van het domein.

Let op: u krijgt alleen het e-mailadres van de eigenaar te zien. Lukt het hiermee niet om de eigenaar te bereiken? Dan kunt u aan SIDN om meer contactgegevens vragen. Dit doet u door het formulier Opvragen contactgegevens in te vullen.

De politie heeft toegang tot uitgebreidere gegevens in het WHOIS-register. Bij ernstige overtredingen en misdrijven raden wij u aan aangifte te doen.

Buitenlandse website

Gaat het om een buitenlandse website? Zoek dan via Whois.net.

Heeft u een klacht over de publicatie van uw persoonsgegevens in bijvoorbeeld een nieuwsartikel op internet? Wat u kunt doen, hangt ervan af of de publicatie wel of niet onder de zogeheten journalistieke uitzondering valt.

Geen journalistieke uitzondering

De Algemene verordening gegevensbescherming (AVG) is van toepassing. U heeft het recht om rectificatie of verwijdering van uw gegevens te vragen. Dit vraagt u aan de houder (eigenaar) van de website.

Wilt u uw gegevens laten rectificeren? Dan kunt u voor uw verzoek onze voorbeeldbrief rectificatie gebruiken. Om uw persoonsgegevens te laten verwijderen, gebruikt u de voorbeeldbrief persoonsgegevens wissen.

Wel journalistieke uitzondering

De Autoriteit Persoonsgegevens is niet bevoegd om te oordelen over uw klacht. De rechter is dit wel. U kunt contact opnemen met de Raad voor de Journalistiek, die voor u kan bemiddelen.

Naar de rechter

Gebruikt iemand uw persoonsgegevens voor een journalistieke doel? Dan kan er een botsing ontstaan tussen de vrijheid van meningsuiting van de schrijver en eerbiediging van uw privacy. Tussen deze twee grondrechten bestaat geen rangorde. Een afweging hiervan is aan de rechter.

Wilt u naar de rechter, dan kunt u zelf een verzoekschrift indienen. U heeft hierbij geen advocaat nodig. U kunt wel advies vragen aan het Juridisch Loket als u dat wilt.

Raad voor de Journalistiek

De Raad voor de Journalistiek (RvdJ) is een onafhankelijke instantie waar u terecht kunt met klachten over journalistieke activiteiten. De RvdJ kan bemiddelen tussen u en de website of de betrokken journalist. U leest meer over de procedure bij een klacht op de website van de RvdJ.

Een domeinnaam is het adres waarop een website te bereiken is. In de adresregel https://www.autoriteitpersoonsgegevens.nl is ‘autoriteitpersoonsgegevens’ de domeinnaam en is ‘.nl’ de extensie.

Extensie

De extensies zijn vaak verbonden met een land (zoals .nl, .be, .fr en .de). Deze domeinen heten 'country code Top Level Domain'.

Ook zijn er extensies die iets zeggen over de inhoud van een website. Zoals .com voor commerciële websites en .org voor websites van organisaties. Deze domeinen heten 'generic Top Level Domain'.

Bij de verhuur van een domeinnaam zijn drie partijen betrokken: de zogeheten registrant, registrar en registry.

Registrant

Iedereen – zowel een persoon als een organisatie – kan een beschikbare domeinnaam huren. Degene die een domeinnaam huurt, wordt een registrant genoemd.

Registrar

De organisaties die domeinnamen verhuren, heten registrars. Dit zijn commerciële partijen die aan (strenge) eisen moeten voldoen om domeinnamen te mogen verhuren.

Het kunnen gespecialiseerde organisaties zijn, maar ook bijvoorbeeld internetserviceproviders, hostingproviders of merkenbureaus.

Registry

Huurt een persoon of organisatie een domeinnaam bij een registrar? Dan stuurt de registrar de registratie van de domeinnaam door aan een zogeheten registry.

Dat is een organisatie die domeinextensies (zoals .nl en .com) beheert. Zo is de Stichting Internet Domeinregistratie Nederland (SIDN) de registry voor de domeinextensie .nl.

Registries zorgen voor alle technische aspecten van het beheer van domeinextensies. Ook beheren registries het Domain Name System voor de domeinextensies.

Tot slot beheren zij de zogeheten WHOIS-registers met persoonsgegevens van de houders van domeinnamen.

Tijdens het ontstaan van het internet zoals we dat nu kennen, is het WHOIS-register (uitspraak: ‘who is’, Engels voor ‘wie is’) bedacht. Het doel hiervan was dat technici bij technische storingen contact konden leggen met de eigenaar van de website.

Persoonsgegevens in WHOIS-registers

Iedere extensie heeft een eigen WHOIS-register. In de WHOIS-registers worden bijvoorbeeld de naam, het telefoonnummer, het adres en het e-mailadres van de houder van een domeinnaam opgenomen. Deze gegevens heten WHOIS-gegevens.

Toen dit systeem werd bedacht, stond het internet nog in de kinderschoenen. Er werd toen niet voorzien dat iedereen ter wereld via een zoekmachine dit soort persoonsgegevens van iedere houder van een domeinnaam zou kunnen opvragen.

Ja, op dit moment is de regel dat de persoonsgegevens van houders van domeinnamen op internet worden gepubliceerd, zonder enige afscherming.

ICANN

De regels voor de WHOIS-registers worden bepaald door de Internet Corporation for Assigned Names and Numbers (ICANN). Dit is een organisatie uit de Verenigde Staten die beslissingen neemt voor niet-landgebonden domeinextensies.

Achter deze organisatie zit een publiek-private samenwerking, met inspraak van bijvoorbeeld nationale overheden, technici, burgers, auteursrechthebbenden en opsporingsdiensten.

Publicatie WHOIS-gegevens

ICANN heeft in 1996 de wereldwijde regel opgesteld dat WHOIS-gegevens van houders van de generic Top Level Domains (zoals .com en .org) onbeperkt openbaar moeten zijn.

Deze regel geldt niet automatisch voor de country code Top Level Domains (zoals .nl), omdat deze registers er vaak al eerder waren dan ICANN.

Privacyschending

De ICANN-regel van onbeperkte openbaarmaking van WHOIS-gegevens is in strijd met de huidige Europese en Nederlandse privacywetgeving.

Nee. Op grond van de huidige privacywetgeving moet iedereen die persoonsgegevens van mensen in Europa wil verwerken, daarvoor een zogeheten wettelijke grondslag hebben.

ICANN, de organisatie die de regels voor de WHOIS-registers bepaalt, heeft deze grondslag niet. De huidige praktijk, waarbij de persoonsgegevens in de WHOIS-registers onbeperkt publiek toegankelijk worden gemaakt, is daardoor in strijd met de Europese wet.

Toestemming

De enige mogelijke grondslag zou toestemming kunnen zijn. De Artikel 29-werkgroep van Europese privacytoezichthouders (WP29), de voorloper van de huidige EDPB,  heeft dit in diverse opinies uitgelegd. Ook heeft WP29 hierover brieven gestuurd aan ICANN.

Toestemming als grondslag houdt in dat dat de particuliere houders van een domeinnaam expliciet toestemming geven voor publicatie van hun persoonsgegevens in de WHOIS-registers.

Eisen aan toestemming

Geldige toestemming moet aan een aantal eisen voldoen. De toestemming moet allereerst op voldoende informatie zijn gebaseerd.

Verder moet de toestemming in vrijheid zijn gegeven. Houders van een domeinnaam mogen dus nooit worden verplicht om toestemming te geven. De toestemming mag ook niet in het contract worden gevraagd.

Tot slot moeten de houders hun toestemming op elk moment weer kunnen intrekken. Geeft iemand geen toestemming of trekt iemand zijn toestemming in? Dan is publicatie van zijn WHOIS-gegevens niet (meer) toegestaan.

Brief aan ICANN

WP29 heeft op 11 december 2017 opnieuw een brief verstuurd aan ICANN. Hierin geeft WP29 nogmaals aan dat ICANN geen beroep kan doen op de grondslag toestemming. 

Mensen die een domeinnaam willen, zijn namelijk verplicht om toestemming te geven voor het publiceren van hun gegevens. Als zij geen toestemming geven, krijgen zij ook geen domeinnaam. Zij kunnen dus niet in vrijheid toestemming geven.

Gelaagde toegang

WP29 raadt ICANN aan om met zogeheten gelaagde toegang te werken. Daarbij mogen alleen bevoegde autoriteiten en bedrijven de persoonsgegevens bekijken in de WHOIS-registers. En alleen als dat noodzakelijk is om hun publiekrechtelijke of private taken uit te oefenen.

Iedere extensie heeft een eigen WHOIS-register. Het hangt daarom van de extensie van uw domeinnaam af in welk WHOIS-register u uw gegevens kunt opzoeken. Ook zijn er enkele andere mogelijkheden om de WHOIS-gegevens van uw website op te zoeken.

Extensie .nl

Heeft u een domeinnaam gehuurd die eindigt op de extensie .nl? Dan kunt u via het WHOIS-register van Stichting Internet Domeinregistratie Nederland (SIDN .nl) opzoeken welke gegevens over u openbaar zijn.

SIDN maakt via dit WHOIS-register alleen het administratieve e-mailadres van een particuliere domeinnaamhouder zichtbaar. Andere informatie is afgeschermd.

Dit is in overeenstemming met de huidige Nederlandse en Europese privacywetgeving. Partijen met een legitiem belang of wettelijke bevoegdheid kunnen (op verzoek) uitgebreidere gegevens inzien.

Andere extensie dan .nl

Heeft u een domeinnaam met een andere extensie, zoals .com of .org? Dan kunt u zoeken in het (internationale) WHOIS-register van ICANN. Hierin staan de WHOIS-gegevens van domeinnamen met een aantal veel voorkomende extensies.

Via registrar

Kunt u via SIDN of ICANN de WHOIS-gegevens van uw website niet vinden? Dan kunt u terecht bij de registrar waarbij u de domeinnaam heeft gehuurd. Vraag aan de registrar via welke website u de WHOIS-gegevens van uw domeinnaam kunt controleren.

Via zoekmachine

Via zoekmachines zijn vaak ook gegevens over domeinnaamhouders te vinden. Omdat het WHOIS-register openbaar toegankelijk is, kunnen derde partijen eenvoudig gegevens van domeinnaamhouders overnemen en die op hun eigen website weer online zetten. Let op: de gegevens die deze derde partijen publiceren, kunnen verouderd raken.

Zijn uw (verouderde) persoonsgegevens uit een WHOIS-register via zoekmachines te vinden? Dan kunt met een verwijderverzoek de zoekmachines vragen om deze zoekresultaten niet langer te tonen.

Het Domain Name System (DNS) zorgt voor de vertaling van domeinnamen naar IP-adressen.

Zonder DNS zou u voor het bezoeken van de website van de Autoriteit Persoonsgegevens naar het adres https://159.46.196.183/ moeten gaan in plaats van naar https://www.autoriteitspersoonsgegevens.nl. Het DNS maakt het internet dus gebruiksvriendelijker.

Het DNS wordt per domeinextensie beheerd. De Stichting Internet Domeinregistratie Nederland (SIDN) beheert het DNS voor domeinnamen met de extensie .nl.