De European Data Protection Board (EDPB) heeft aangekondigd dat Europese privacytoezichthouders hun controle op de naleving van het recht op gegevenswissing, ook wel bekend als het 'recht op vergetelheid', gaan verscherpen. Dit betekent dat organisaties die persoonsgegevens verwerken, extra aandacht moeten besteden aan hoe zij omgaan met verzoeken tot verwijdering van gegevens. Voor website-eigenaren is dit een belangrijk signaal: het is niet langer voldoende om een privacybeleid op papier te hebben; naleving moet aantoonbaar en effectief zijn.
Het recht op gegevenswissing, verankerd in artikel 17 van de Algemene Verordening Gegevensbescherming (AVG), stelt individuen in staat om van organisaties te eisen dat hun persoonsgegevens worden verwijderd wanneer er geen gegronde reden meer is voor verdere verwerking. Dit recht is niet absoluut en geldt in specifieke situaties, zoals:
Niet langer noodzakelijk: De persoonsgegevens zijn niet meer nodig voor de doeleinden waarvoor ze oorspronkelijk zijn verzameld of verwerkt.
Toestemming ingetrokken: De betrokkene trekt zijn toestemming in en er is geen andere rechtsgrond voor de verwerking.
Bezwaar tegen verwerking: De betrokkene maakt bezwaar tegen de verwerking en er zijn geen prevalerende legitieme gronden voor de verwerking.
Onrechtmatige verwerking: De persoonsgegevens zijn onrechtmatig verwerkt.
Wettelijke verplichting: De gegevens moeten worden gewist om te voldoen aan een wettelijke verplichting binnen de EU of de lidstaat waaraan de organisatie is onderworpen.
Kinderen en online diensten: De gegevens zijn verzameld in verband met het aanbieden van online diensten aan kinderen.
Het is belangrijk op te merken dat dit recht niet onbeperkt is. Er zijn uitzonderingen waarbij gegevens niet hoeven te worden gewist, bijvoorbeeld wanneer de verwerking noodzakelijk is voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie, het nakomen van een wettelijke verplichting, of voor het instellen, uitoefenen of onderbouwen van een rechtsvordering.
Wanneer een individu een verzoek tot gegevenswissing indient, zijn organisaties verplicht om:
Zonder onredelijke vertraging reageren: Uiterlijk binnen één maand na ontvangst van het verzoek moet de organisatie reageren. Deze termijn kan met twee maanden worden verlengd bij complexe of meerdere verzoeken, mits de betrokkene hiervan op de hoogte wordt gesteld.
Verwijdering van gegevens: Als aan de criteria wordt voldaan, moeten de betreffende persoonsgegevens worden gewist.
Informeren van derden: Als de gegevens openbaar zijn gemaakt of gedeeld met andere partijen, moet de organisatie redelijke maatregelen nemen om deze derden op de hoogte te stellen van het verwijderingsverzoek.
Documentatie: Het is essentieel om verzoeken en de daaropvolgende acties te documenteren om naleving aan te tonen bij eventuele audits of onderzoeken door toezichthoudende autoriteiten.
Het niet naleven van de AVG, en specifiek het negeren van het recht op gegevenswissing, kan ernstige gevolgen hebben voor website-eigenaren:
Hoge boetes: Overtredingen kunnen leiden tot administratieve geldboetes tot €20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
Reputatieschade: Negatieve publiciteit rondom privacyovertredingen kan het vertrouwen van gebruikers schaden en leiden tot verlies van klanten.
Juridische stappen: Individuen kunnen juridische stappen ondernemen tegen organisaties die hun privacyrechten schenden, wat kan resulteren in verdere financiële en operationele lasten.
Om uw website in lijn te brengen met de AVG en specifiek het recht op gegevenswissing, overweeg de volgende maatregelen:
Duidelijk verwijderingsbeleid: Stel een transparant beleid op waarin wordt uitgelegd hoe gebruikers hun recht op gegevenswissing kunnen uitoefenen en hoe u met dergelijke verzoeken omgaat.
Efficiënte procedures: Implementeer interne processen om snel en adequaat te reageren op verzoeken tot gegevenswissing, binnen de wettelijke termijn van één maand.
Training van personeel: Zorg ervoor dat medewerkers op de hoogte zijn van de AVG-vereisten en weten hoe ze moeten handelen bij privacygerelateerde verzoeken.
Technische maatregelen: Implementeer systemen die het eenvoudig maken om persoonsgegevens te lokaliseren en te verwijderen, inclusief uit back-ups.
Documentatie en bewijsvoering: Houd nauwkeurige records bij van ontvangen verzoeken en de genomen acties om naleving aan te tonen bij audits of onderzoeken.
Het implementeren van bovenstaande stappen kan complex zijn en vereist een grondige kennis van de AVG. Een professionele GDPR-audit helpt u te identificeren waar uw website mogelijk tekortschiet en biedt concrete aanbevelingen om volledige compliance te bereiken. Door proactief te handelen, minimaliseert u het risico op boetes en toont u aan uw gebruikers dat u hun privacy serieus neemt.
Wat houdt deze audit in?
✅ Volledige analyse van jouw website en cookiegebruik.
✅ Duidelijk rapport met alle verbeterpunten en aanbevelingen.
✅ Advies op maat: Welke CMP past het beste bij jouw noden?
✅ Hulp bij implementatie: Ik zorg ervoor dat je zonder zorgen compliant bent.
Wil je weten of jouw website voldoet aan de GDPR-wetgeving? Neem dan vandaag nog contact met me op en laat je website checken!