De GDPR: Vergeet het recht op vergetelheid niet2 min gelezen

2source4 - Slide Post - Luuk van den Ende

In 2016 is in heel Europa de General Data Protection Regulation (GDPR) ingevoerd. Op 25 mei 2018 treedt deze definitief in werking en moet elke organisatie in de EU hieraan voldoen. De nieuwe privacywetgeving is een gevolg van de technologische ontwikkelingen van de laatste jaren. De maatschappij hierdoor dusdanig veranderd dat een strenge gegevensbescherming is vereist. Zo komt er voor de betrokkenen een nieuw recht om de hoek kijken: Het recht op vergetelheid. Maar wat houdt dit recht precies in en wat betekent dit voor uw organisatie in 2018?

De uitgangspunten van de GDPR

In Nederland wordt de nieuwe GDPR ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd. Deze privacywetgeving is in het leven geroepen om alle Europese burgers te beschermen tegen het lekken van persoonlijke data. De uitgangspunten van de nieuwe GDPR blijven over het algemeen onveranderd. Samengevat zijn dit de volgende vier principes:

  • Wettelijke grondslag
    Het verwerken van persoonsgegevens mag alleen plaatsvinden wanneer hiervoor toestemming door de betrokkene is verleend.
  • Doelbinding
    Persoonsgegevens mogen alleen verwerkt worden voor de duidelijk omschreven doeleinden.
  • Dataminimalisatie
    Er mogen niet meer persoonsgegevens worden verwerkt dan noodzakelijk.
  • Passende beveiliging
    Bij het verwerken van persoonsgegevens moeten er technische en organisatorische maatregelen worden genomen voor een optimale beveiliging.

Het recht op vergetelheid

Naast de bovengenoemde standaard principes krijgen Europese burgers ook extra rechten. Eén hiervan is het Recht op vergetelheid (artikel 17 AVG). Oftewel, het recht om vergeten te worden. Dit houdt in dat een persoon kan aangeven dat bedrijven niet meer over zijn of haar persoonlijke gegevens mogen beschikken. Het bedrijf in kwestie moet de gegevens verwijderen indien:

  • de persoonsgegevens niet meer nodig zijn voor de vastgestelde doeleinden;
  • de betrokkene geen toestemming meer geeft voor verwerking / bezwaar aantekent;
  • de persoonsgegevens onrechtmatig zijn verwerkt;
  • de persoonsgegevens zijn verwerkt terwijl de betrokkene jonger dan 16 jaar is.

Ook geeft het recht op vergetelheid extra plichten voor de verantwoordelijken. Zo moeten zij ervoor zorgen dat het verder verspreiden van de verzamelde persoonsgegevens aan andere partijen niet meer voorkomt. Tenzij de betrokkene hier toestemming voor heeft gegeven.

Dit recht in de praktijk

Binnen de ‘oude’ privacywetgeving was iedereen die gegevens verwerkten verantwoordelijk. In de nieuwe GDPR-wetgeving is dit scherpe randje er enigszins afgehaald. De verantwoordelijken zijn nu verplicht om redelijke maatregelen te nemen wanneer andere partijen niet consequent en verantwoordelijk met persoonsgegevens omgaan.

In de praktijk betekent dit dat degene die de persoonsgegevens verwerkt dient bij te houden aan wie de gegevens worden doorgegeven en om welke gegevens dit gaat. Ook moet er een technisch protocol met het verzoek tot wissing worden ingesteld. Omdat er overal bewijs van moet kunnen worden aangedragen speelt privacy-administratie bij het recht van vergetelheid een belangrijke rol.

Niets doen is geen optie

Organisaties moeten zich goed voorbereiden op de nieuwe GDPR. De regels zijn strikt en iedereen binnen de EU moet zich hieraan houden. Indien u niet goed bent voorbereid op de nieuwe privacywetgeving kunnen sancties in de vorm van boetes enorm hoog uitvallen. Zorg er dus voor dat u vóór 25 mei 2018 uw zaken goed op orde heeft.