Vandaag, 25 mei 2018, treedt de Algemene Verordening Gegevensbescherming (AVG) (die internationaal bekend staat als de ‘General Data Protection Regulation’ (GDPR)) officieel in werking. De AVG vervangt de uit de 1995 stammende EU Richtlijn 95/46/EG voor de verwerking van persoonsgegevens en de Nederlandse Wet Bescherming Persoonsgegevens (WBP). De EU-richtlijn was grotendeels overgenomen in de WBP. In tegenstelling tot een richtlijn, zijn alle EU-lidstaten verplicht om de regels van een verordening in te voeren. Verwerkers van persoonsgegevens, evenals de instanties die de wetgeving moeten gaan handhaven, hebben de afgelopen twee jaar de tijd gekregen om zich hier op voor te bereiden.
Hoewel er ook nieuwe aspecten zitten aan de AVG ten opzichte van de oude situatie, zoals ‘portabiliteitseisen’ aan de verzamelde persoonsgegevens (dit vereenvoudigt bijvoorbeeld het kunnen verhuizen van persoonsgegevens van de ene dienstverlener naar de andere) en een ‘verantwoordingsplicht’, zijn de veranderingen ten opzichte van de WBP redelijk beperkt. De AVG betreft in de meeste gevallen herziene definiëringen of officiële vaststellingen van inmiddels ontstane jurisprudentie, om zo meer duidelijkheid en uniformiteit te creëren binnen de EU. Dit geldt ook voor het vergeetrecht (‘right to be forgotten’), dat in artikel 17 van de AVG is opgenomen als het recht op gegevenswissing (‘right to erasure’).
Het vergeetrecht onder de AVG
Het recht om in bepaalde situaties te eisen van verwerkers van persoonsgegevens om persoonsgegeven te wissen bestond reeds onder artikel 12 van de oude richtlijn, met de opname in de AVG onder artikel 17 wordt dit recht nogmaals onderstreept. Bovendien wordt iets uitgebreider omschreven in welke situaties dit recht wel en niet van toepassing is. Sinds de uitspraak in mei 2014 in rechtszaak tegen Google Spain, waarin werd vastgesteld dat zoekmachines gelden als verwerkers van persoonsgegevens, kan men ook bij zoekmachines afdwingen dat bepaalde zoekresultaten worden verwijderd. Deze mogelijkheid blijft onder de AVG onverminderd bestaan.
Onder de AVG kunnen de volgende redenen worden aangedragen om te vragen om persoonsgegevens (waaronder bijvoorbeeld zoekresultaten) te laten verwijderen:
- De persoonsgegevens zijn niet langer nodig voor het doel waarvoor ze zijn verzameld.
- De persoon op wie de persoonsgegevens betrekking hebben trekt zijn toestemming voor verwerking in, mits hij/zij hier ooit toestemming voor heeft gegeven
- De persoon op wie de persoonsgegevens betrekking hebben maakt bezwaar tegen de verwerking op basis van één of meerdere in artikel 21 van de AVG omschreven redenen
- De persoonsgegevens zijn onrechtmatig verwerkt, vanwege één of meerdere van de onder artikel 18 van de AVG omschreven redenen
- De persoonsgegevens moeten volgens EU- of nationale wetgeving worden gewist
- De persoonsgegevens zijn verzameld toen de betrokken persoon jonger dan 16 jaar was
Voor de eerste twee punten gelden uitzonderingen in de volgende gevallen:
- De persoonsgegevens vallen onder de vrijheid van meningsuiting en informatie
- De persoonsgegevens zijn nodig voor/door: EU- of nationale wetgeving, een taak in het publieke belang of de uitoefening van openbaar gezag toegewezen aan de verwerker
- De persoonsgegevens dienen een algemeen belang op het gebied van de volksgezondheid
- De persoonsgegevens hebben een historische/wetenschappelijke of statistische waarde van algemeen belang
- De persoonsgegevens kunnen van belang zijn in een juridische context
Een verzoek tot verwijdering van persoonsgegevens kan aan iedere(!) medewerker of afdeling van de betreffende verwerker van persoonsgegevens kenbaar worden gemaakt, zowel mondeling als schriftelijk, waarna de verwerker van de persoonsgegevens één maand de tijd krijgt om dit verzoek in te willigen of af te wijzen. Daarbij moet het besluit met redenen zijn omkleed en de mogelijke vervolgstappen (bemiddeling via de autoriteit persoonsgegevens of een rechtszaak) moeten kenbaar worden gemaakt.
Wanneer de persoonsgegevens, in het geval van verwijdering, eerder voor anderen toegankelijk zijn geweest, dienen zij ingelicht te worden over deze verwijdering. Dit geldt binnen de redelijk geachte mogelijkheden die de verwerker van persoonsgegevens hiertoe heeft. Dit leidt in het geval van Google bijvoorbeeld tot de tekst “Sommige resultaten zijn mogelijk verwijderd op grond van Europese wetgeving inzake gegevensbescherming” onderaan een pagina met zoekresultaten.
Verandert er dan niets?
Alle hierboven omschreven bepalingen bestonden de facto reeds onder de WBP, in die zin verandert er in de praktijk dus niet zo veel voor het vergeetrecht. Wel kunnen mogelijk bepaalde onduidelijkheden weg worden genomen, omdat deze aspecten in de AVG opnieuw worden benadrukt of op een uitgebreidere manier worden omschreven. Een voorbeeld is het verbod op de verwerking van strafrechtelijke persoonsgegevens. In artikel 10 van de AVG wordt heel helder benadrukt dat het verwerken van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten alleen is toegestaan onder toezicht van de overheid, of bij uitzondering door EU- of nationale wetgeving. Ondanks dat dit verbod in de WBP reeds bestond, werd dit in de praktijk in vergeetrecht-zaken tegen zoekmachines zelden gehandhaafd. Wellicht kan de opname in de AVG daar verandering in brengen.
Een andere verandering onder de AVG is de verplichting tot het aanstellen van een ‘functionaris gegevensbescherming’ binnen bepaalde organisaties (o.a. organisaties die bijzondere persoonsgegevens verwerken). Deze persoon moet binnen de eigen organisatie zorg dragen voor de naleving van de regels van de AVG en fungeert als aanspreekpunt voor de toezichthouders (de autoriteit persoonsgegevens). Het ligt in de lijn der verwachting dat deze functionaris, in het geval van bedrijven buiten de EU, zich in de EU bevindt. Momenteel moeten verzoekschriften in vergeetrecht-zaken tegen Google in het Engels worden opgestuurd naar de Verenigde Staten. Met de aanstelling van een Europees aanspreekpunt komen dit soort benodigdheden wellicht te vervallen.
Op het eerste gezicht lijkt de AVG dus geen grote verschuivingen teweeg te gaan brengen op het gebied van het vergeetrecht. Of de uitgebreidere omschrijvingen en formaliseringen in de praktijk een effect teweeg brengen zal in de komende periode moeten blijken.