Het recht op gegevenswissing is hét middel waarmee u als verantwoordelijke op één van uw plichten kan worden gewezen, de verplichting tot opslagbeperking. Het recht op gegevenswissing is voornamelijk van toepassing op informatie die u als organisatie eigenlijk al niet (meer) had mogen verwerken. Persoonsgegevens mochten bijvoorbeeld al niet meer bewaard worden omdat er geen doelbinding meer was. Heeft u ze toch nog staan? Met het vergeet mij wel-tje in de hand kunnen betrokkene u alsnog vragen aan het beginsel van opslagbeperking te voldoen. Benieuwd naar hoe dit recht er in de praktijk uitziet en hoe u zich kunt voorbereiden? Lees dan verder.
Situatieschets:
Een huurder vraagt u gegevens uit zijn dossier aangaande een burenruzie te wissen. Naar aanleiding van dit verzoek dient u zich af te vragen of er nog sprake is van een actuele doelbinding. Is er 10 jaar geleden één kleine ruzie geweest en zijn de buren waarmee de ruzie was inmiddels verhuisd? Dan kunt u niets ander doen dan het verzoek toewijzen en de gegevens wissen. Wanneer de betreffende huurder echter regelmatig betrokken is bij verschillende ruzies en er recentelijk weer een incident geweest is, kunt u beargumenteren dat de gegevens nog een doel dienen. Wanneer de verwerking een doel dient en rechtmatig is, kunt u in een geval als dit het gegevenswissingverzoek afwijzen.
De stroom droogleggen
Wanneer u een verzoek om gegevenswissing toewijst dient u de gegevens waar u verantwoordelijk voor bent ook daadwerkelijk te vernietigen. Naast de gegevens in uw eigen systeem en archiefkast, bent u in ieder geval ook verantwoordelijk voor de eventuele gegevens die zich bij verwerkers bevinden. Met samenwerkingspartners waarmee u gezamenlijke verantwoordelijkheid draagt, heeft u als het goed is afspraken gemaakt. In deze afspraken moeten de rechten van betrokkenen, waaronder dit recht op gegevenswissing, in ieder geval aan bod komen. Het in kaart hebben van de gegevensstromen én het maken van afspraken met samenwerkingspartners, is essentieel voor de goede opvolging van het recht op gegevenswissing.
Voorkomen en genezen
Voor u als organisatie is het belangrijk voorbereid te zijn op een verzoek om gegevenswissing. Heeft u uw gegevensverwerkingen in kaart, bijvoorbeeld in een register van verwerkingsactiviteiten? Bevinden zich binnen uw organisatie persoonsgegevens die u eigenlijk niet meer mag hebben en heeft u al plannen om alsnog aan het beginsel van opslagbeperking te gaan voldoen? Is uw bedrijfsvoering misschien zelfs afhankelijk van onrechtmatige gegevens? Door het bovenstaande in kaart te brengen kunt u verzoeken tot gegevenswissing voorkomen of, mocht u nog niet zo ver zijn, in ieder geval een inschatting maken van de mogelijke risico’s.
Hoe dan ook is het goed om een proces voor verzoeken tot gegevenswissing klaar te hebben liggen. Mocht een verzoek zich voordoen, kunt u hier dan binnen de gestelde termijn van één maand aan voldoen? Door kritisch naar uw systemen en informatiestromen te kijken, kunt u analyseren hoe eenvoudig u binnen de termijn aan een dergelijk verzoek zou kunnen voldoen. Het is hierbij belangrijk te realiseren dat het recht op gegevenswissing van toepassing is op álle gegevens die u van een persoon verwerkt: digitaal, geprint, maar ook bijvoorbeeld back-ups kunnen onder een dergelijk verzoek vallen.
Audittrail kan u helpen bij een kritische analyse van uw interne gegevensstromen en dataopslag. Onze nul-meting laat u overzichtelijk zien waar u nu staat, en waar de grootste stappen kunnen worden gezet. Vervolgens nemen onze consultants u mee in praktische oplossingen die u overzicht en inzicht bieden in compliance-gerichte processen. Neem eens vrijblijvend contact op, wij vertellen u graag meer over de nulmeting en de andere praktische oplossingen die Audittrail u kan bieden.
Bron: Audittrail | Graphic: Audittrail
