Privacy, de fundamenten: Rectificatie en verwijderingsverzoeken

Show Notes

Wat zegt de AVG over rectificatie en verwijdering van persoonsgegevens? En wat betekent dit voor een organisatie en voor privacy professionals? ​​In deze aflevering wordt hier op ingegaan met Gerrit-Jan Zwenne, hoogleraar privacyrecht in Leiden en aan de Open Universiteit en advocaat partner bij Pels Rijcken. 

Transcript

Interviewer : Dit is een podcast van het CIP, Centrum voor Informatiebeveiliging en Privacybescherming. Deze podcast is onderdeel van een serie met als titel: 'Privacy de Fundamenten'. In deze aflevering gaan we in op het rectificatie en het verwijderingsrecht onder de AVG. Gerrit-Jan Zwenne, advocaat bij Pels Rijcken , hoogleraar bij de Universiteit van Leiden en de Open Universiteit, is onze gast. Gerrit-Jan, wat zegt de AVG over rectificatie van gegevens?

Gerrit-Jan Zwenne: De AVG zegt daarover dat je als individu, als datasubject, als betrokkene, het recht hebt om onjuiste gegevens te corrigeren. Je kunt dit verzoeken aan een verwerkingsverantwoordelijke. 'U heeft gegevens over mij geregistreerd en verwerkt. Die gegevens zijn onjuist. Wilt u dat corrigeren?'Je hebt ook het recht om onvolledige gegevens aan te vullen, te vervolledigen.

Interviewer : Kan dit alleen op basis van een eerder ingediend inzageverzoek? Of kun je ook langs een andere weg aan informatie over jezelf zijn gekomen, voordat je dit recht op rectificatie inroept?

Gerrit-Jan Zwenne: Vóór de AVG was er de Wet Bescherming Persoonsgegevens. Toen stond er in de wet dat je eerst een inzageverzoek moest doen en dan pas een verbeteringsverzoek, een rectificatieverzoek. Dat is tegenwoordig niet meer zo. Als je langs andere wegen erachter bent gekomen dat je gegevens onjuist zijn geregistreerd bij een verwerkingsverantwoordelijke, hoef je niet eerst een inzageverzoek te doen. Dat zou ook onzinnig zijn. Dat is niet wat de Unie wetgever wil met de AVG.

Interviewer : We hebben het over rectificatie, maar er bestaat ook zoiets als verwijdering van persoonsgegevens. Meer poëtisch verwoord gaat dat over het recht op vergetelheid of recht op gegevenswissing, artikel 17 van de AVG. Wat is daarin relevant voor onze doelgroep?

Gerrit-Jan Zwenne: Als jouw gegevens niet meer nodig zijn voor het doel waar ze initieel voor zijn verzameld en waar ze nadien voor zijn verwerkt, of als ze onrechtmatig zijn verkregen, heb je er recht op dat die gegevens worden verwijderd. Dat is inderdaad artikel 17. Je kunt met artikel 21 over het bezwaarrecht hetzelfde bereiken. De reikwijdte van die twee artikelen loopt uit elkaar, maar je ziet in de praktijk dat mensen zowel gebruik maken van het recht op vergetelheid, het verwijderingsrecht van artikel 17 en het bezwaarrecht van artikel 21.

Interviewer : Hoe ga je als organisatie hiermee om? Er is ook archiefwetgeving en de noodzaak om in bepaalde situaties persoonsgegevens wat langer te bewaren. Zit er een spanningsveld op wat je als organisatie nodig acht en wat je als individu wilt ten aanzien van die vergetelheid?

Gerrit-Jan Zwenne: Jazeker. Het is niet zo dat er altijd aan een verwijderingsverzoek moet worden voldaan. Er moeten belangen worden afgewogen. Het zal aan de betrokkenen zijn, dus degene die het verzoek doet, om aan te tonen dat de verwerking niet rechtmatig zou zijn. Of dat het doel waarvoor ze zijn verzameld er inmiddels niet meer is en dat de gegevens om die reden zouden moeten worden verwijderd. Anders dan bijvoorbeeld bij het inzagerecht heb je hier meer te maken met een afweging van allerlei belangen. Interessant. Deze rechtspraak is tot ontwikkeling gekomen, doordat Mario Costeja , in Spanje, er bezwaar tegen maakte dat als je via Google op zijn naam zocht, zoekresultaten dan verwezen naar zijn faillissement van 14/15 jaar geleden.

Gerrit-Jan Zwenne: Het Hof van Justitie zei dat die zoekresultaten, van 14/15 jaar later niet meer relevant zijn en dat Google ze moet verwijderen, als iemand zoekt op naam van deze meneer Costeja. Je ziet hier dat er meer belangen moeten worden afgewogen. Het belang van de vrijheid van meningsuiting bij Google. Het belang van de internetgebruiker om bepaalde informatie te kunnen vinden tegenover het privacybelang van, in dit geval, meneer Costeja.

Interviewer : We weten dat bij inzagerecht, een responstermijn beschreven staat van vier weken, een maand. Is er in dit geval een langere periode aangehouden, omdat er meer complexiteit is?

Gerrit-Jan Zwenne: Nee, dat is in beginsel een maand. Als het complex is, kan het langer zijn. Organisaties die hierop zijn ingericht, zoals Google, YouTube of Big Tech, hebben hier processen voor ingericht. Die werken niet altijd goed, maar vaak ook wel. Bij een mkb'er of een kleine gemeente zal men minder processen hebben, want men heeft minder vaak te maken met dit soort verzoeken. Daar zie je ook dat als de Gemeentewet, de Jeugdwet, de Participatiewet of de Wmo zegt dat die gegevens er moeten zijn, ze niet hoeven te worden verwijderd. Dan staat er in de wet dat de gemeente over die gegevens moet beschikken. Je ziet ook veel dat mensen bij BKR, het Bureau Kredietregistratie, een verwijderingsverzoek doen. Men vindt het vervelend, dat is niet onbegrijpelijk, dat men geregistreerd staat als iemand met schulden.

Gerrit-Jan Zwenne: Dat hindert je. Als jij een hypotheek wenst, zal de bank zeggen dat ze in BKR hebben gekeken en zien dat er nogal wat schulden zijn. Om die reden zijn ze terughoudend met het verstrekken van de hypotheek. Daar hebben mensen hinder van. Mensen doen dan een verwijderingsverzoek. Je ziet daar, wat juristen noemen, een hoop casuïstiek. Veel omstandigheden van het geval. Feitelijkheden. 'Misschien was mevrouw getrouwd met meneer en had meneer die schulden gemaakt. Nu zijn ze gescheiden, maar mevrouw heeft wel haar best gedaan om de schulden zoveel mogelijk op tijd af te betalen en de gegevens zouden sowieso over een half jaar worden verwijderd.' Als het niet te wijten was aan de desbetreffende persoon, wil de rechter nog wel eens meegaan met de gedachte om het nu alvast te verwijderen. Het is hinderlijk dat juristen voortdurend met die toverformule, die disclaimer, komen, maar zo zit het wel. Omstandigheden van het geval. Casuïstiek.

Interviewer : Is dit anders of complexer geworden door de intrede van AI algoritme, trainingen van allerlei modellen en zo? Waarbij het juist gaat om het zo lang mogelijk bewaren om daarin transparant te zijn?

Gerrit-Jan Zwenne: Ja. Daar is een enorm spanningsveld, omdat er vanuit de gedachte om AI te ontwikkelen, een neiging zal zijn om nooit meer iets weg te gooien en alles te bewaren. Terwijl je vanuit de AVG gegevens niet langer dan nodig mag bewaren. Dan heb ik het niet eens over het verwijderingsrecht, maar dingen als doelbinding. De vraag gaat dan zijn: wat is nodig? Wat nodig is, is waarvoor je het hebt verzameld. Als je het hebt verzameld in het kader van de kredietverlening, ik wil besluiten of ik deze cliënt, klant, consument, een krediet kan geven, is het niet vanzelfsprekend dat gegevens ook worden gebruikt om een AI te trainen. Het is bijvoorbeeld lastig om gegevens uit zo'n LLM te verwijderen. Een Large Language Model, Chat GPT, Cloud, Gemini, worden getraind met veel gegevens, ook veel persoonsgegevens.

Gerrit-Jan Zwenne: Die gegevens zijn nooit voor dat doel verzameld. Er zijn dus hele serieuze twijfels of dit wel mag. In die Digital Omnibus, het pakket van maatregelen, dat werd gepresenteerd door de Europese Commissie om de AVG, maar ook de AI Act, aan te passen, wil men het gebruik van persoonsgegevens om AI te trainen vergemakkelijken. Ik denk dat er nog veel discussie over gaat zijn, of dit echt de bedoeling zou moeten zijn.

Interviewer : Jij noemde net een aantal Big Tech organisaties die hiermee te maken krijgen. Wat is jouw beeld van de Nederlandse overheden in algemene zin? Zijn die goed in het reageren op verzoeken tot rectificatie of vergetelheid?

Gerrit-Jan Zwenne: Ja. Je hoort een beetje de aarzeling in mijn stem. Dat is omdat een verwijderingsverzoek, of vergeetverzoek, bij de overheid in de regel niet zo veel kans van slagen heeft, omdat de overheid persoonsgegevens verwerkt. De overheid heeft de bevoegdheid daartoe of legt een wettelijke plicht op. Als dat aan de orde is, zul je met je verwijderingsverzoek niet veel succes hebben. Deze gemeente heeft dan allerlei gegevens verzameld, die niet nodig zijn in het kader van de publieke taken van deze gemeente. Dat is toch een complexere discussie. Vragen zoals BKR, Bureau Kredietregistratie, en die bijzonderheidsnoteringen zullen meer vereisen dat je kijkt naar de omstandigheden van het geval. Bijvoorbeeld dat iemand een schuld heeft van meer dan €250,- of dat iemand rood staat.

Gerrit-Jan Zwenne: Bij publiekrechtelijke organisaties, overheden, gemeenten en dergelijke, zul je meer kijken wat de wet nou precies van de gemeente verlangt. Naar mijn indruk is dat een gemakkelijker te beantwoorden vraag. Verwijderingsverzoeken zie je minder bij publieke organisaties.

Interviewer : Wij maken deze serie vooral voor Privacy Officers, privacy professionals. Bij het reageren op dit soort verzoeken, zijn ongetwijfeld meer soorten disciplines nodig dan alleen de privacy kant. Wat zou jij over rectificatie en verwijderingsverzoeken als advies willen meegeven aan privacy professionals? Wat moeten ze vooral op orde hebben? Wat moeten ze weten?

Gerrit-Jan Zwenne: Je moet erop voorbereid zijn dat die verzoeken kunnen komen. Je kunt een hoop gedoe voorkomen door op voorhand voor jezelf te hebben bepaald wat we wel en niet gaan bewaren, en waarom. Dat is typisch iets wat bij een DPIA aan de orde zou moeten komen. Dat is een ander onderdeel van deze serie. Als die verzoeken binnenkomen, moet je processen hebben om daar op een nette manier aan te voldoen. Dat betekent dat je allerlei stroomschema's hebt bedacht, weet naar wie het verzoek gestuurd moet worden, wie daar in de organisatie een beslissing op neemt. Wees voorbereid. Be prepared.

Interviewer : Ook hier zijn we aan de oppervlakte gebleven van een onderwerp met een heleboel complexe en casusspecifieke kanten. Voor het leggen van het fundament lijkt het mij zo voldoende. Gerrit-Jan Swennen. Je bent hoogleraar en advocaat. Dank je wel voor je uitleg over rectificatie en verwijdering onder de AVG. Bekijk of beluister ook de andere afleveringen in deze serie, waarin we aandacht besteden aan onderwerpen als: persoonsgegevens, verwerkingsverantwoordelijkheid, een DPIA, verwerkingsregister, datalekken en nog veel meer. Deze serie is geproduceerd door CIP, Centrum Informatiebeveiliging en Privacybescherming, en werd mede mogelijk gemaakt door CIO Rijk.

Interviewer : Je luisterde naar een podcast van het CIP. Wij ontwikkelen en delen kennis op het gebied van informatieveiligheid. Meer daarover kun je vinden op onze website CIP-overheid.nl. Tot de volgende keer.