Privacy: het recht op vergetelheid

Mr L.S. (Suzanne) van Loon

Mogelijk merkt u tijdens uw werkzaamheden nog maar weinig van privacywetgeving en de veranderingen daarin. Toch heeft iemand die zich bezig houdt met personele zaken daar dagelijks mee van doen. Denk maar eens aan de informatie die u opslaat in een (digitaal) personeelsdossier, informatie die u inwint of verstrekt over een sollicitant, gegevens over ziekteverzuim, een mailtje aan een collega of externe adviseur over één van uw medewerkers. Met andere woorden: in de praktijk verricht u waarschijnlijk tal van werkzaamheden zonder u te realiseren dat gegevens, die zijn te herleiden tot individuen, onder de werking van de privacy-wetgeving vallen. En dat betekent dat verwerking*  van persoonsgegevens niet zomaar is toegestaan.

Veranderingen in de privacywetgeving

Op 1 januari 2016 zijn al een aantal wijzigingen doorgevoerd in de privacywetgeving. Sindsdien bent u bijvoorbeeld verplicht om elk ‘datalek’ te melden bij de Autoriteit Persoonsgegevens op straffe van een boete. Andere belangrijke wijzigingen gaan volgend jaar in. Op 25 mei 2018 krijgt de Algemene verordening gegevensbescherming (AVG), die op 26 april 2016 door het Europees Parlement werd vastgesteld, rechtstreekse werking binnen alle lidstaten van de Europese Unie. Deze Europese verordening biedt bescherming aan natuurlijke personen tegen de verwerking van hun persoonsgegevens en het vrije verkeer van die gegevens. De ‘oude’ Europese Richtlijn 95/45/EG (“Privacyrichtlijn”) en de daarop gebaseerde Wet bescherming persoonsgegevens (Wbp) zijn vanaf dan niet meer van kracht. In een aantal artikelen nemen wij u mee in de belangrijkste aspecten van deze AVG, waaronder: het recht op vergetelheid oftewel het recht om vergeten te worden.

Wat is het recht op vergetelheid?

Het recht op vergetelheid houdt in dat degene die daarom verzoekt, recht heeft op het zonder onredelijke vertraging wissen van de hem betreffende persoonsgegevens. Dat kan in een aantal situaties. U kunt hierbij denken aan de situatie waarbij de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld. Neem bijvoorbeeld de documenten in een personeelsdossier, waarvan de wettelijke bewaartermijn verstreken is. De medewerker kan u verzoeken om deze te vernietigen. Dat geldt ook voor persoonsgegevens die onrechtmatig zijn verwerkt, bijvoorbeeld het opnemen van iemands ras in een personeelsdossier. Deze informatie past niet binnen het doel van een personeelsdossier en mag daarin zonder toestemming niet verwerkt worden.

Doorgeven van verzoek om te worden vergeten is verplicht

Ontvangt de verwerkingsverantwoordelijke**  een verzoek op vergetelheid en gaat het om gegevens die hij op zijn beurt heeft doorgegeven aan andere partijen? Dan moet de verwerkingsverantwoordelijke bij verspreiding van persoonlijke gegevens, binnen de grenzen van het redelijke en de beschikbare technologie, maatregelen treffen om de derde partijen waaronder de persoonsgegevens zijn verspreid, van het verzoek tot wissen in kennis te stellen. Dit betekent dat u, als u gegevens op het internet openbaar heeft gemaakt, alle links moet verwijderen. Als andere partijen inmiddels ook gebruik maken van de gegevens die u moet wissen, bent u gehouden die partijen ervan in kennis te stellen dat de gegevens zijn gewist. Op verzoek van de verzoeker kunt u ook gehouden worden opgave te doen van de partijen die u hierover hebt geïnformeerd.

Waar moet u nog meer op letten?

• Aan een verzoek tot wissen dient u binnen één maand te voldoen. Alleen als het gaat om een heel complex verzoek mag u hiervoor twee maanden uittrekken. U moet de aanvrager daarvan wel in kennis stellen.
• Heeft de aanvrager zich tot u gewend via de digitale weg dan moet u in principe ook via die weg reageren, tenzij de verzoeker u anders heeft gevraagd.
• Weigeren van het verzoek op vergetelheid kan slechts als het verzoek ongegrond is of als iemand buitensporig veel verzoeken bij u indient.
• Voor een regulier verzoek op vergetelheid mag u geen kosten rekenen. Krijgt u veel verzoeken van dezelfde persoon dan mag u wel een rekening sturen.
• De verzoeker heeft de mogelijkheid om tegen de verwerkingsverantwoordelijke een klacht in te dienen bij de Autoriteit Persoonsgegevens, die bevoegd is tot het opleggen van een boete. Los daarvan kan de verzoeker zich eveneens tot de rechter wenden.

Een beperkter recht op vergetelheid bestond al

Het recht op vergetelheid is niet nieuw. Hetzelfde recht is ook in artikel 36 van de Wbp en in de Privacyrichtlijn opgenomen. Daarbij geldt wel dat het recht om vergeten te worden, beperkt was tot objectief onjuiste gegevens, onvolledige gegevens of niet ter zake doende gegevens. Op 13 mei 2014 deed het Europese Hof van Justitie uitspraak in een zaak die was aangespannen door een Spanjaard, die van Google had geëist dat zijn naam niet meer in de zoekresultaten van Google zou worden vertoond. Bij het intypen namelijk van zijn naam verscheen als eerste treffer op Google de veiling van de woning van de man in verband met sociale zekerheidsschulden. Het Europese Hof oordeelde dat de activiteiten van een zoekmachine als Google aangemerkt moeten worden als het verwerken van persoonsgegevens en die daarmee onder de werking van de Privacyrichtlijn vallen. Dat betekende dat Google gehouden kon worden op verzoek van de Spanjaard links naar webpagina’s te verwijderen die door het intypen van iemands naam verschijnen. Dat geldt zelfs ook als de publicaties op die webpagina’s rechtmatig zouden zijn.

Maak uw organisatie AVG-proof!

U hebt nog tot 25 mei 2018 om uw organisatie AVG-proof te maken. Voor wat betreft het recht op vergetelheid betekent dat onder meer het volgende:

• Wees u bewust(er) van de rechtmatige verwerking van persoonsgegevens
• Anticipeer (beter) op verzoeken op vergetelheid door registratie van de plaatsen waar persoonsgegevens binnen uw organisatie worden verwerkt en met welke instanties/instellingen deze worden gedeeld.

* Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van verzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

** Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.