Het recht om vergeten te worden (ook wel bekend als het “vergeetrecht”) is een privacy recht van Europese burgers. Op grond van het recht om vergeten te worden heb je het recht om onjuiste of verouderde privacygevoelige informatie te laten verwijderen uit archieven.
Wat zijn dan persoonsgegevens?
Persoonsgegevens zijn alle gegevens aan de hand waarvan een persoon kan worden geïdentificeerd. Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Onder bijzondere of gevoelige persoonsgegevens vallen, bijvoorbeeld, gegevens die iets zeggen over iemand zoals godsdienst, gezondheid, of een lidmaatschap van een vakvereniging en natuurlijk het burgerservicenummer (BSN).
Hoofdregel is dat persoonsgegevens alleen in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Maar wat houdt dat dan in voor een “normale” onderneming?
De 5 grondslagen in acht nemen!
Toestemming, Uitvoering overeenkomst, Wettelijke verplichting, Vitaal belang, Publiekrechtelijke taak en Gerechtvaardigd belang. Ten minste een van deze grondslagen dient een organisatie te hebben om persoonsgegevens te mogen verwerken. Onder verwerking verstaan we elke handeling met betrekking tot persoonsgegevens zoals ; het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen of gebruiken.
Maar dan….ik wil vergeten worden.
Kort gezegd heeft elke betrokkene recht op wissing van zijn persoonsgegevens zonder onredelijke vertraging in een aantal gevallen:
- De persoonsgegevens zijn niet meer nodig.
- De betrokkene trekt zijn toestemming voor de verwerking in.
- De persoonsgegevens zijn onrechtmatig verwerkt.
- De persoonsgegevens dienen te worden gewist op basis van een regel uit het Unierecht of het nationale recht;
- De gegevens zijn verwerkt in het kader van leveren van diensten aan kinderen die jonger dan 16 jaar zijn.
Heb je dit als organisatie niet geregeld en gaat het fout dan riskeer je een boete. Dus het is zaak de systemen in de organisatie onder de loep te nemen en te weten waar al deze gegevens worden bewaard en hoe ze er eventueel uit kunnen. Want ook de koppelingen van data naar een derde partij kan een risico vormen.
De sterke internationale lobby heeft het scherpe randje er wel afgehaald voor de verwerkingsverantwoordelijken. Wat overblijft is een plicht tot het nemen van redelijke maatregelen om die derden op de hoogte te stellen dat de betreffende betrokkene heeft verzocht om ‘iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen’.
Bij RAM Infotechnology vinden we veiligheid en betrouwbaarheid belangrijk. Wilt u meer weten over hoe dit voor u en uw organisatie ingericht kan worden dan horen we dit graag.
Vriendelijke groet,
Frank Waarsenburg
Chief Information Security Officer RAM