Recht op gegevens verwijderen
In een aantal situaties zijn organisaties verplicht om persoonsgegevens van iemand te verwijderen (wissen) als diegene hierom vraagt. Mensen hebben namelijk recht op gegevens verwijderen. In de privacywet AVG heet dit het 'recht op gegevenswissing' of 'recht op vergetelheid'.
Is er geen goede reden (meer) voor een organisatie om iemands persoonsgegevens nog langer te verwerken? Dan is het belangrijk dat de organisatie deze gegevens verwijdert. Maar let op: het is vaak niet mogelijk om alle persoonsgegevens te verwijderen.
Op deze pagina
Wanneer verwijderen wel en niet mogelijk is
In deze situaties moet een organisatie iemands persoonsgegevens verwijderen:
- De organisatie heeft de persoonsgegevens niet meer nodig voor het doel waarvoor de organisatie de gegevens heeft verzameld of waarvoor de organisatie de gegevens verwerkt.
- De persoon in kwestie heeft eerder toestemming gegeven aan de organisatie voor het gebruik van de gegevens, maar trekt die toestemming nu in.
- De persoon maakt (terecht) bezwaar tegen het gebruik van de gegevens.
- De organisatie houdt zich niet aan de privacyregels bij het gebruik van de persoonsgegevens. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
- De organisatie is wettelijk verplicht om de gegevens na een bepaalde tijd te verwijderen.
- Apps en websites bij kinderen: de persoonsgegevens van een kind onder de 16 jaar zijn verzameld via een app of website.
Let op: In deze situaties mag de organisatie de persoonsgegevens sowieso niet langer verwerken. Ook al vraagt de persoon niet om de persoonsgegevens te verwijderen. Dus als een organisatie alles volgens de regels doet, hoeft niemand een verzoek te doen om gegevens te laten verwijderen.
In deze situaties geldt het recht op gegevens verwijderen niet:
- De verwerking van de gegevens is noodzakelijk om het recht op vrijheid van meningsuiting en informatie uit te oefenen. Daarmee doet de AVG recht aan het principe dat ‘privacy’ en ‘vrijheid van meningsuiting’ gelijkwaardige grondrechten zijn.
- De organisatie verwerkt de gegevens omdat er een wettelijke verplichting is om dat te doen.
- De organisatie verwerkt de gegevens om openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang uit te oefenen.
- De organisatie verwerkt de gegevens voor een taak van algemeen belang op het gebied van de volksgezondheid.
- De organisatie moet de gegevens in het algemeen belang archiveren.
- De gegevens zijn noodzakelijk voor een rechtsvordering.
Daarnaast staan in de AVG enkele algemene uitzonderingen op de privacyrechten. Hierdoor kan een organisatie in een bijzonder geval iemands verzoek ook afwijzen. Het is bijvoorbeeld niet de bedoeling dat iemand met een beroep op het recht op gegevens verwijderen sporen van crimineel gedrag uitwist.
Vragen om verwijderen van gegevens
Wilt u dat een organisatie uw persoonsgegevens verwijdert? Stuur dan een e-mail of brief aan de organisatie. Geef daarin aan welke gegevens u wilt laten verwijderen. U kunt voor uw verzoek de voorbeeldbrief verwijderen persoonsgegevens van de Autoriteit Persoonsgegevens gebruiken.
Bij Uw privacyrechten gebruiken leest u wat u het beste kunt doen als u wilt vragen uw gegevens te verwijderen. En wat u vervolgens van de organisatie kunt verwachten. De organisatie moet bijvoorbeeld eerst uw identiteit controleren.
Reactie op verzoek
De organisatie moet binnen 1 maand een reactie geven op uw verzoek.
- Besluit de organisatie uw gegevens te verwijderen? Dan moet de organisatie dit zo snel mogelijk doen. Dat is uiterlijk binnen 1 maand.
- Besluit de organisatie om uw gegevens niet (allemaal) te verwijderen? Dan moet de organisatie u laten weten waarom niet. Lees wat u kunt doen als u het niet met de weigering eens bent.
- Reageert de organisatie niet binnen 1 maand? Lees wat u kunt doen als de organisatie niet reageert.
Andere organisaties informeren
Heeft de organisatie uw persoonsgegevens verwijderd? En heeft de organisatie uw gegevens het afgelopen jaar aan andere organisaties doorgegeven? Dan moet de organisatie aan deze andere organisaties doorgeven dat de organisatie uw gegevens heeft verwijderd. En dat zij iedere kopie van of koppeling naar uw persoonsgegevens moeten verwijderen.
Wilt u weten wie de organisatie heeft geïnformeerd over het verwijderen van uw gegevens? Dan kunt u dit aan de organisatie vragen. De organisatie moet u hierop antwoord geven.
Voor organisaties: recht op gegevens verwijderen in de praktijk
Ontvangt u als organisatie een verzoek om gegevens te verwijderen? Kijk dan bij Voor organisaties: privacyrechten in de praktijk voor wat u moet doen om volgens de regels met het verzoek om te gaan (o.a. identiteit aanvrager controleren, reactietermijn). Verder gelden bij het recht op gegevens verwijderen de volgende bijzonderheden:
- bepaal welke gegevens u moet verwijderen;
- verwijder de gegevens ook uit back-ups;
- overweeg de reactietermijn;
- geef een specifieke reactie aan de aanvrager;
- geef urgentie ook door aan andere organisaties.
Bepaal welke gegevens u moet verwijderen
Bepaal welke persoonsgegevens u moet verwijderen en welke niet. Er kunnen bijvoorbeeld wettelijke verplichtingen gelden waardoor u bepaalde persoonsgegevens nog even moet bewaren. Daarnaast staan in de AVG enkele algemene uitzonderingen op de privacyrechten. Hierdoor kunt u in een bijzonder geval een verzoek afwijzen. Zo is het bijvoorbeeld niet de bedoeling dat iemand met een beroep op het recht op gegevens verwijderen sporen van crimineel gedrag laat verwijderen.
Verwijder de gegevens ook uit back-ups
Back-ups vallen ook onder het recht op vergetelheid. Krijgt u een verzoek om persoonsgegevens te verwijderen, dan moet u die gegevens dus ook zo snel mogelijk uit uw back-ups verwijderen. Heeft u back-ups die moeilijk of niet overschrijfbaar zijn, zoals tapes? Dan kunt u de persoonsgegevens niet verwijderen uit de back-ups. Zorg dan wel dat u goed bijhoudt welke persoonsgegevens u had moeten verwijderen. Is het nodig om een back-up terug te zetten? Dan moet u deze gegevens alsnog verwijderen.
Overweeg de reactietermijn
Heeft de aanvrager aangifte gedaan bij de politie tegen het delen van de persoonsgegevens? Bijvoorbeeld in het geval van wraakporno? Overweeg dan of u het verzoek met meer urgentie kunt behandelen.
Geef een specifieke reactie aan de aanvrager
Wees in uw reactie op het verzoek zo specifiek mogelijk over hoe u aan het verzoek gehoor geeft. Sommige mensen vragen namelijk bewijs dat u hun persoonsgegevens daadwerkelijk heeft verwijderd. Omdat u natuurlijk niet kunt laten zien welke persoonsgegevens u niet (meer) heeft, is het extra belangrijk dat u in uw reactie genoeg informatie geeft. Zodat de aanvrager erop kan vertrouwen dat u het verzoek op de juiste manier heeft uitgevoerd.
Geef bijvoorbeeld aan welke persoonsgegevens u heeft verwijderd en wanneer. Geef ook aan welke persoonsgegevens u niet heeft verwijderd, waarom niet en wanneer u dat wel gaat doen.
Geef urgentie ook door aan andere organisaties
Informeert u andere organisaties over de verwijderde persoonsgegevens, vermeld het dan ook als de persoon in kwestie aangifte heeft gedaan bij de politie. Zodat ook deze andere organisaties weten dat het belangrijk is om de persoonsgegevens zo snel mogelijk te verwijderen.
Bekijk ook
Waar te vinden?
Zoekt u misschien...
Meer informatie
Voorbeeldbrief
Wilt u gebruikmaken van uw recht op gegevens verwijderen? Met onze voorbeeldbrief kunt u gemakkelijker contact opnemen met organisaties.