AVG: mag je altijd worden vergeten onder de AVG? (19/20)

De Algemene Verordening Gegevensbescherming of AVG die vanaf 25 mei van kracht wordt, gaat vele nieuwe regels introduceren. Deze zijn erop gericht de privacy van Europese burgers te versterken. Een opvallend nieuw recht daarbij is het recht te worden vergeten: uit dossiers, uit profielen maar ook uit archieven. Hoe ver gaat dat recht nu?

Het recht te worden vergeten vloeit logischerwijs uit de principes waar we eerder in de serie over schreven. Er moet immers altijd een legitieme reden zijn om met persoonsgegevens te werken, en wanneer die reden ophoudt dan moeten de persoonsgegevens weg. Wat dit betreft is het recht weinig meer dan het omgekeerde van de bewaartermijn waar we in deel 12 over schreven.

Een specifiek aandachtspunt is dat iemand een verzoek om inzage kan doen, en als hij dan ziet dat gegevens achterhaald zijn dan mag hij verwijdering daarvan eisen. Dit kan dus ook spelen terwijl de formele bewaartermijn nog niet is afgelopen. Je mag natuurlijk wel inhoudelijk toetsen of de gegevens werkelijk achterhaald zijn: een openstaande factuur kan natuurlijk niet worden ‘vergeten’ met een beroep op dit recht.

Wanneer gegevens vergeten moeten worden, moeten ze ook écht weg. Enkel ze afschermen of achter een wachtwoord zetten is niet genoeg. Je moet kunnen aantonen dat de gegevens op een veilige manier zijn gewist. Heb je de gegevens aan een ander verstrekt, dan moet je ervoor zorgen dat ook deze ander de gegevens wist. Dit geldt niet alleen bij verwerkers maar ook bij anderen die zelf met deze gegevens werken (verantwoordelijken).

Het recht van vergetelheid kreeg in de aanloop naar de AVG veel aandacht, omdat het op gespannen voet staat met de vrijheid van meningsuiting, met name waar het gaat om opname in archieven. Een oud onwelgevallig nieuwsbericht zou je kunnen laten wissen met een beroep op dit recht: het is immers verouderd en dus vandaag de dag niet meer relevant.

Gelukkig lijkt dat mee te vallen. De rechtspraak de afgelopen jaren laat zien dat de integriteit van archieven hoog in het vaandel staat, en dat er dus een stevige inhoudelijke discussie gevoerd moet worden voordat gegevens worden gewist. De AVG gaat daar geen verandering in brengen. In Nederland is bijvoorbeeld expliciet bij wet bepaald dat het vergeetrecht niet geldt wanneer het gaat om een verwerking in het kader van de vrije meningsuiting.

Voor partijen als Google is het vergeetrecht wél erg relevant. Al enkele jaren geldt dat mensen zichzelf kunnen laten verwijderen uit Google met een beroep op hun privacy. De AVG bevestigt dit. Effectief kun je zo toch aardig vergeten worden: weliswaar staat je naam dan nog in krantenarchieven en dergelijke, maar via Google kunnen deze niet gevonden worden.

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.