Het recht om vergeten te worden: gegevens wissen verplicht

dinsdag 20 maart 2018 door Tormod Nymoen

DST_image_970x300_hero-data-erasure

Het recht op vergetelheid of gegevenswissing klinkt misschien makkelijk, maar kan nog moeilijk worden om door te voeren in de praktijk. De AVG of GDPR eist het echter wel. Maar wat moet er nou eigenlijk vergeten worden? En hoe moet je dat dan echt vergeten, zodat het nooit meer boven water kan komen? Laten we eerst wat dieper ingaan op wat gegevensbescherming inhoudt.

Gegevensbescherming met recht om vergeten te worden

Als je bij een internetbestelling je telefoonnummer en andere persoonlijke gegevens invult vraag je je misschien af waar het voor nodig is. Waar belanden jouw gegevens en wat gebeurt ermee? Deze vragen zullen eind mei pas echt losbranden, wanneer de AVG (of GDPR) in werking treedt. Voor bedrijven betekent dit dat ze een hoge boete kunnen krijgen als er slordig wordt omgegaan met de persoonlijke gegevens van klanten, partners of andere contacten. Met artikel 17 van de AVG wordt zelfs de Duitse privacywet, die al strikter is dan andere Europese privacywetten waaronder de Nederlandse, nog eens flink aangescherpt. Mensen kunnen nu aanspraak maken op het recht om vergeten te worden als het gaat om hun persoonsgegevens.

Wat is het recht om vergeten te worden?

Het recht op vergetelheid houdt in dat bedrijven persoonsgegevens in de volgende gevallen onmiddellijk moeten wissen:

  • De gegevens zijn niet langer nodig voor de doeleinden waar ze in eerste instantie voor verzameld of verwerkt werden.
  • De betrokken persoon trekt zijn/haar toestemming in en er is geen andere wettelijke grond voor het verwerken van de data.
  • De betrokken persoon maakt bezwaar tegen de gegevensverwerking en er is geen wettelijke grond voor het verwerken van de data.
  • De persoonsgegevens zijn onrechtmatig verwerkt.
  • Het wissen van de persoonsgegevens is noodzakelijk om aan nationale of EU-wetten te voldoen.

Gegevens wissen op de juiste manier

In bovenstaande gevallen is het niet genoeg het opslagmedium met de data simpelweg weg te gooien; er moet niet alleen bepaald worden welk wisproces het beste is, dit wisproces moet ook technisch en juridisch correct worden uitgevoerd. Een wismethode kan zijn de vernietiging van het opslagmedium of het permanent wissen ervan als hij nog gebruikt moet worden.

Veel bedrijven gebruiken de gegevens van hun klanten en partners voor verschillende doeleinden en in verschillende afdelingen, en hebben deze data in meerdere systemen opgeslagen. Omwille van gebruiksgemak kunnen de systemen zijn samengevoegd waardoor bijvoorbeeld Lieschen Müller met telefoonnummer nu ’Lisel Mueller’ of ’Liese Müller’ met of zonder telefoonnummer is geworden. En wie zegt dat er maar één Lieschen Müller is?

Belangrijke vragen omtrent persoonsgegevens

Allereerst moet duidelijk zijn wat de persoonsgegevens van de betrokkene zijn en waar, wanneer en onder welke omstandigheden welke gegevens verzameld werden. Daarna moet duidelijk zijn waar de gegevens opgeslagen werden en waar ze bewaard worden.

Heb je hier een overzicht van moet je weten welke data vergeten moeten worden. Zijn de gegevens nog nodig? Indien ja, welke afdeling heeft de data nog nodig? Waar en voor hoelang mag ik de benodigde gegevens bewaren? Wat als deze gegevens al overhandigd zijn aan derden of zelfs openbaar gemaakt zijn? De verantwoordelijke instantie is voor zover mogelijk verplicht te zorgen voor de vernietiging van de data.

Data verwijderen met permanent resultaat

Zijn deze vragen beantwoord moet een permanente datavernietiging worden uitgevoerd. Maar de gegevens laten hun afdruk overal achter, niet alleen in de map van ontvangen berichten, maar na verwijdering ook in de map van verwijderde berichten. Je wist gegevens in de ene database en vervolgens komen ze vrolijk ergens anders uit een back-up weer tevoorschijn, of datarecords worden gedeeltelijk verwijderd en laten in het ergste geval, als de context en de locatie verloren gaan, in het afhankelijke systeem een puinhoop achter.

Data moeten volgens artikel 17 van de AVG meteen na een verzoek gewist worden en daarom is het verstandig je op tijd voor te bereiden op zo’n verzoek om vergeten te worden. Zorg daarom dat je betrouwbare datavernietigingssoftware hebt die snel en efficiënt gebruikt kan worden over alle systemen heen.

Door Michael Nuncic, Ontrack Data Recovery, en Marion Wernado, Legal Technology KLDiscovery, Böblingen.

img_600x600_shirtontrack

Direct hulp nodig? Bel!