De Autoriteit Persoonsgegevens (AP) gaat, samen met andere Europese privacytoezichthouders, onderzoek doen naar hoe goed bedrijven en overheden deze regel naleven. Dit onderzoek wordt gecoördineerd door de European Data Protection Board (EDPB) en richt zich op de vraag: hoe makkelijk kunnen mensen hun gegevens echt laten verwijderen?
Het nieuwe onderzoek van de Autoriteit Persoonsgegevens kan leiden tot meer controles en mogelijk zelfs boetes voor organisaties die niet goed omgaan met verwijderingsverzoeken.
Wat houdt het recht op gegevens verwijderen in?
Volgens de AVG heeft iedereen het recht om zijn of haar persoonsgegevens te laten wissen als:
- De gegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld.
- De persoon zijn toestemming intrekt en er geen andere wettelijke grondslag is.
- De gegevens onrechtmatig verwerkt zijn.
- De gegevens verwijderd moeten worden om te voldoen aan een wettelijke verplichting.
In sommige gevallen hoeft een organisatie gegevens niet direct te wissen, bijvoorbeeld als er een wettelijke bewaarplicht geldt (zoals bij financiële administratie) of als gegevens nodig zijn voor een rechtszaak.
Waar gaat het vaak mis?
Uit eerdere onderzoeken van de EDPB blijkt dat organisaties vaak moeite hebben met privacyrechten. In 2024 bleek bijvoorbeeld dat veel bedrijven niet goed omgaan met inzageverzoeken. Bij het recht op verwijdering lijkt hetzelfde probleem te spelen.
Veelvoorkomende fouten:
- Te late of geen reactie → De AVG verplicht organisaties om binnen één maand te reageren op een verwijderingsverzoek. Dit wordt vaak niet gehaald.
- Gebruikers worden onterecht geweigerd → Sommige bedrijven wijzen verzoeken ten onrechte af, bijvoorbeeld omdat ze de regels niet goed begrijpen.
- Gegevens blijven tóch bewaard → Soms worden persoonsgegevens alleen uit een actieve database verwijderd, maar blijven ze nog bestaan in back-ups of archieven.
- Geen duidelijke procedure → Veel organisaties hebben geen vast proces om verwijderingsverzoeken correct af te handelen.
De AP ontvangt regelmatig klachten over bedrijven die hier niet goed mee omgaan, en het nieuwe onderzoek moet in kaart brengen hoe groot dit probleem is.
Zo doe je het goed
Als ondernemer of bestuurder moet je zorgen dat jouw organisatie goed is voorbereid op verwijderingsverzoeken. Dit betekent:
1. Zorg voor een helder beleid en duidelijke processen
- Weet welke gegevens je verzamelt en waar ze staan.
- Zorg dat je verzoeken snel en correct kunt verwerken.
- Leg vast wie binnen je organisatie verantwoordelijk is voor privacyrechten.
2. Reageer op tijd en correct
- Binnen één maand moet je reageren op een verzoek.
- Weiger een verzoek alleen als er een geldige reden is en leg dit goed uit.
3. Vergeet back-ups en archieven niet
- Zorg dat gegevens niet per ongeluk in oude systemen blijven staan.
- Controleer of verwijdering correct wordt doorgevoerd in alle systemen.
4. Communiceer duidelijk met klanten, leden of medewerkers
- Maak het eenvoudig om een verwijderingsverzoek in te dienen.
- Geef heldere uitleg over de regels en procedures.
Heb je vragen over hoe je het recht op gegevens verwijderen goed implementeert? Neem contact met ons op, we helpen je graag verder!
Download de gratis checklist: ben jij AVG OK?
Voldoet je organisatie aan de AVG-wetgeving? Check het eenvoudig met onze gratis checklist.
- 15 checks om gelijk uit te voeren
- Kom erachter of jij aan de AVG voldoet
- Direct inzicht in wat je nog moet regelen
Het bericht Privacytoezichthouder start onderzoek naar gegevens verwijderen verscheen eerst op AVG-Support.nl.