Het recht op wissing
Het recht op vergetelheid, officieel het “recht op wissing”, geeft betrokkenen het recht om je te vragen hun persoonsgegevens te verwijderen. Het klinkt simpel, maar in de praktijk is het een van de lastigste rechten om correct af te handelen.
Want het recht is niet absoluut. Er zijn situaties waarin je moet verwijderen, situaties waarin je mag weigeren, en situaties waarin je zelfs verplicht bent om te weigeren.
Wanneer je moet verwijderen
Je bent verplicht om gegevens te verwijderen als:
- De gegevens niet meer nodig zijn voor het doel waarvoor je ze hebt verzameld. De klantrelatie is beindigd en je hebt geen ander doel meer.
- De betrokkene zijn toestemming intrekt en er geen andere rechtsgrondslag is. Als je gegevens verwerkt op basis van toestemming en die wordt ingetrokken, moet je verwijderen.
- De betrokkene bezwaar maakt tegen verwerking op basis van gerechtvaardigd belang, en jouw belang weegt niet zwaarder.
- De gegevens onrechtmatig zijn verwerkt. Als je geen geldige rechtsgrondslag had om de gegevens te verzamelen.
- Een wettelijke verplichting je verplicht om te verwijderen.
Wanneer je mag weigeren
Je mag een verwijderverzoek weigeren als de gegevens nodig zijn voor:
Wettelijke bewaarplicht
Boekhoudkundige documenten moet je 7 jaar bewaren. Personeelsdossiers hebben hun eigen bewaartermijnen. Zolang een wettelijke bewaarplicht loopt, mag je niet verwijderen.
Uitoefening van rechtsvorderingen
Als je de gegevens nodig hebt om een juridisch geschil te voeren of je te verdedigen tegen een claim, mag je ze bewaren.
Volksgezondheid
Gegevens die nodig zijn voor redenen van algemeen belang op het gebied van volksgezondheid.
Archivering in het algemeen belang
Gegevens die bewaard worden voor archivering, wetenschappelijk of historisch onderzoek of statistische doeleinden.
Vrije meningsuiting
Als verwijdering de uitoefening van het recht op vrije meningsuiting en informatie zou belemmeren.
Hoe je een verwijderverzoek afhandelt
1. Registreer en verifieer
Net als bij een inzageverzoek: registreer het verzoek, verifieer de identiteit en noteer de datum.
2. Beoordeel per dataset
Ga per categorie gegevens na of je een grond hebt om te bewaren:
| Gegevens | Bewaarplicht? | Actie |
|---|---|---|
| Facturen met NAW | Ja (7 jaar fiscaal) | Weigeren, uitleggen waarom |
| CRM-notities | Nee | Verwijderen |
| E-mailcorrespondentie | Mogelijk (lopend geschil) | Beoordelen per geval |
| Nieuwsbriefadres | Nee (toestemming ingetrokken) | Verwijderen |
| Personeelsdossier | Deels (2-7 jaar) | Per document beoordelen |
3. Informeer derden
Als je de gegevens hebt gedeeld met andere partijen (verwerkers, ontvangers), moet je hen ook informeren dat de gegevens moeten worden verwijderd.
4. Reageer binnen een maand
Informeer de betrokkene over je beslissing:
- Bij verwijdering: bevestig welke gegevens je hebt verwijderd
- Bij (gedeeltelijke) weigering: leg uit welke gegevens je bewaart en op welke grond
Sjabloon: Bevestiging Verwijdering
Bevestig aan de betrokkene welke gegevens je hebt verwijderd en welke partijen je hebt geinformeerd.
Bekijk het sjabloon arrow_forwardSjabloon: Weigering Verwijdering
Onderbouw waarom je een verwijderverzoek (gedeeltelijk) weigert, met verwijzing naar de wettelijke grond.
Bekijk het sjabloon arrow_forward5. Documenteer
Leg vast wat je hebt verwijderd, wat je hebt bewaard en waarom. Dit is je bewijs bij een eventuele klacht.
De valkuil van gedeeltelijke verwijdering
In de praktijk is het antwoord op een verwijderverzoek zelden “alles verwijderen” of “niets verwijderen”. Meestal is het: een deel verwijderen en een deel bewaren met een geldige reden. Dat is prima, maar communiceer het helder naar de betrokkene.
GDPRWise helpt je om verwijderverzoeken te beoordelen en te documenteren, inclusief sjablonen voor je antwoord.