Beheer

Juridische zaken
Vergeten worden

Het recht om vergeten te worden

Kleine aanpassingen in de privacyregelingen kunnen voor pijnlijke verrassingen zorgen.

© Pixabay CC0 Public Domain
12 september 2016

Kleine aanpassingen in de privacyregelingen kunnen voor pijnlijke verrassingen zorgen.

Bij de invoering van de Algemene Verordening Gegevensbescherming ligt de nadruk vooral op de meldplichten bij datalekken. We zouden bijna vergeten, zegt Walter van Holst, waar het eigenlijk om gaat: de privacybelangen van de betrokken burgers en de rechten waar zij aanspraak op kunnen maken. In dit artikel besteedt hij extra aandacht aan ‘het recht om vergeten te worden’

Sinds 25 mei geldt in de Europese Unie de Algemene Verordening Gegevensbescherming (AVG). Alle organisaties in de publieke en private sector worden geacht vanaf die datum hun bedrijfsvoering in overeenstemming te brengen met die verordening; ze krijgen daarvoor de tijd tot 25 mei 2018. Sinds 1 januari geldt ook al de meldplicht datalekken, die verplicht om potentiële blootstelling van vertrouwelijke persoonlijke gegevens te melden bij de Autoriteit Persoonsgegevens. Beide regelingen leggen het accent op handhaving en compliance, en dat is natuurlijk niet voor niets. De basisprincipes blijven ongewijzigd, het is vooral de handhaving die met deze regelingen tanden krijgt.

Desalniettemin zijn er ook rond de uitwerking van de basisprincipes wijzigingen die, juist nu de handhaving tanden krijgt, voor pijnlijke verrassingen kunnen zorgen als men bij de huidige praktijk blijft. Daarom een overzicht van de verplichtingen van organisaties die persoonsgegevens verwerken vanuit hun eigen verantwoordelijkheid. Uitgaande van het voldoen aan de rechtmatigheidsvereisten voor de verwerking bestaan in essentie een drietal rechten van de betrokken individuen (de betrokkenen) waar aan voldaan moet worden:

1. Transparantie en inzage.

2. Correctierecht.

3. Verwijdering en verzet.

Dit type rechten kennen we al vanuit de Wet bescherming persoonsgegevens (Wbp), maar de betekenis ervan is in de AVG duidelijk aangescherpt. Hieronder een overzicht.

Transparantie

Bij transparantie moet gedacht worden aan privacyverklaringen vooraf, maar ook aan het inzagerecht van betrokkenen. Nu zijn de huidige privacyverklaringen in de praktijk ofwel zo kort dat ze nietszeggend zijn, of juist zo uitgebreid dat ze onleesbaar zijn. Hier zou de AVG verandering in moeten brengen. Want privacyverklaringen moeten volgens de AVG beknopt, helder, eenvoudig leesbaar en toegankelijk geschreven worden. En al helemaal als de doelgroep minderjarigen betreft.

De zaak Costeja: Google tegen Spanje

Terwijl het Brusselse wetgevingsproces rondom de AVG nog in volle hevigheid plaatsvond, vond er in de Europese jurisprudentie een opmerkelijke ontwikkeling plaats: de zaak-Costeja, ook wel bekend als Google tegen Spanje. In deze zaak ging het om ene Mario Costeja González die in 1998 in financiële problemen was geraakt, zozeer zelfs dat er onroerend goed van hem in het openbaar geveild moest worden. Dat was indertijd in een Spaanse krant, La Vanguardia, aangekondigd. Deze krant heeft later zijn archieven gedigitaliseerd en online gezet. Deze archieven zijn vervolgens door de zoekmachine van Google geïndexeerd, terwijl in de tussentijd de financiële problemen van Costeja waren opgelost. Gevolg hiervan was dat Costeja ruim tien jaar later problemen ondervond in het zakelijk verkeer omdat deze episode uit zijn leven als eerste door Google gepresenteerd werd als men op zijn naam zocht. Costeja liet het hier niet bij zitten en diende klachten in bij de Spaanse privacytoezichthouder (AEPD) tegen zowel Google als La Vanguardia. Hij eiste dat deze informatie niet langer meer ter beschikking wordt gesteld.

AEPD was het niet met Costeja eens wat betreft de online-archieven van La Vanguardia, dit zou een vergaande inbreuk op de uitingsvrijheid zijn, de openbare veiling was immers ooit aangekondigd. Die afweging pakte in het geval van Google anders uit. Google werd bevolen deze zoekresultaten te onderdrukken. Google heeft zich tot aan het Hof van Justitie van de Europese Unie verzet tegen dit bevel. En daar kreeg Google op alle fronten ongelijk en werd bevolen het ongelukkige verleden van Costeja niet langer in de zoekresultaten te tonen. Een belangrijke factor in de beslissing was de andere rol van Google dan La Vanguardia. La Vanguardia met haar online-archief kon zich beroepen op een bijzonder doel in de wetgeving (die ook na de inwerkingtreding van de AVG overeind blijft): de verwerking van persoonsgegevens voor historische, wetenschappelijke en statistische doeleinden. Daarnaast bestaat er nog een journalistieke uitzondering in zowel de Europese Richtlijn waar zowel de Spaanse privacywetgeving op is gebaseerd als de AVG.

Gevolg is dat Google gehoor moet geven aan verzoeken om zoekresultaten te onderdrukken om privacyredenen. Minder gelukkig is dat Google daarbij zelf telkens de afweging moet maken tussen het publieke belang bij de beschikbaarheid van de zoekresultaten en het persoonlijke belang bij het onderdrukken daarvan. Toch lijkt dit in de praktijk van de afgelopen twee jaar goed te gaan.

Daarnaast worden er gedetailleerdere eisen aan de inhoud van de privacyverklaring gesteld dan nu het geval is. Zo moet de betrokkene onder meer geïnformeerd worden over het bestaan van een DPO (Data Privacy Officer), de juridische grondslag voor de gegevensverwerking, de opslagduur van de persoonsgegevens (of de criteria daarvoor), maar ook gedetailleerde informatie over de rechten van de betrokkene, met inbegrip van het recht van verwijdering en verzet.

Inzagerecht is veel gedetailleerder dan we gewend zijn

De eisen zijn nog iets uitgebreider als de gegevens niet rechtstreeks van de betrokkene zijn verkregen, maar van derde partijen. Dan moet de verantwoordelijke binnen een maand actief de betrokkene informeren, met inbegrip van de bron van de gegevens. In gevallen waarin dat onredelijk of onpraktisch zou zijn, kan hier van worden afgeweken, maar dan moet de informatie in ieder geval gepubliceerd worden.

Uit het voorgaande vloeit voort dat in AVG-conforme systemen in de toekomst ook de bron van persoonsgegevens wordt bijgehouden, bijvoorbeeld van welke gegevensleverancier of ketenpartner deze afkomstig is.

Ook het inzagerecht van betrokkenen is in de AVG veel gedetailleerder beschreven dan we nu in de Wbp gewend zijn. Daarnaast is het recht op inzage in de logica van geautomatiseerde besluitvorming op basis van persoonsgegevens uitgebreid. Naast inzage in de beslissingsregels moet de verantwoordelijke ook inzicht geven in de impact en de consequenties van de geautomatiseerde besluitvorming. Met name in de context van Big Data zal dit nog tot interessante discussies leiden, juist omdat daar de beslissingsregels veelal door algoritmes gegenereerd zijn en niet altijd begrepen worden door de partijen die er gebruik van maken.

Met name bij uitwisseling van persoonsgegevens met derden is het oppassen

Eveneens nieuw is dat elektronisch verwerkte persoonsgegevens bij een inzageverzoek beschikbaar gesteld moeten worden in ‘algemeen gangbare formaten’. Dit wordt ook wel dataportabiliteit genoemd. Hoe dit in de praktijk uit gaat pakken, weet nog niemand, maar het betekent wel dat het logisch is om de uitwisselbaarheid van data een compliance-eis te laten zijn bij de inkoop van systemen.

Correctierecht

Het recht op correctie en aanvulling van de betrokkene blijft eigenlijk ongewijzigd met de komst van de AVG. Als er onjuiste of onvolledige persoonsgegevens verwerkt worden, heeft de betrokkene (onder meer) recht op correctie of aanvulling. De AVG is op dit punt veel minder gedetailleerd dan de Wbp. Die gaat ervan uit dat het niet altijd mogelijk zal zijn om alle kopieën van de gegevens te corrigeren (bijvoorbeeld als ze op een write-only medium zijn opgeslagen); de AVG staat niet stil bij dit soort praktische details. Ook kent de Wbp de optie om te vergen dat correcties en aanvullingen doorgegeven worden aan derden waaraan de onjuiste of onvolledige persoonsgegevens verstrekt zijn. De AVG gaat zegt daar niets over.

Verwijdering en verzet

Uiteraard wordt het pas echt interessant als bij een inzageverzoek blijkt dat er persoonsgegevens verwerkt worden op een wijze die niet langer proportioneel is voor het doel waarvoor ze verwerkt werden. Een andere interessante situatie is de betrokkene die een ooit gegeven toestemming intrekt. In die gevallen kan de betrokkene eisen dat de gegevens verwijderd worden en zich verzetten tegen toekomstige verwerkingen. In de tekst van de AVG is dat ook wel het ‘recht om vergeten te worden’ genoemd, een recht wat al voorafgaand aan de AVG in de jurisprudentie erkend is door de hoogste Europese rechter (zie kader). Opvallend is dat een verwijderingsverzoek in de AVG, in tegenstelling tot een correctieverzoek, wél expliciet aan opvolgende verwerkers van de persoonsgegevens doorgegeven moet worden. De huidige Wbp maakt in dat opzicht geen onderscheid tussen correctie en verwijderingsverzoeken. Wil een organisatie AVG-compliant zijn, dan zal ook hiervoor een boekhouding van partijen aan wie persoonsgegevens doorgegeven worden, vereist zijn.

716.500 URL’s ‘vergeten’

Sinds de inrichting van het officiële proces heeft Google naar eigen zeggen 546.460 ‘vergeetverzoeken’ ontvangen en in verband daarmee 1.662.415 URL’s geëvalueerd; 43,1 procent van die links is verwijderd. In Nederland zijn 27.495 verzoeken ingediend met betrekking tot 95.495 URL’s; daarvan is 45,8 procent verwijderd. Sinds de uitspraak in 2014 is er regelmatig geprocedeerd tegen Google in gevallen waarin de onderneming verwijdering weigerde. En doorgaans heeft Google gelijk gekregen. Minder zichtbaar is het aantal gevallen waarin Google zoekresultaten onderdrukt zonder dat dit gerechtvaardigd zou zijn.

Lees meer over
Zie ook Beheer op AG Connect Intelligence
1
Reacties
evisser 12 september 2016 13:46

Artikel 19 van de verordening staat over kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking: De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectifictie of wissing van persoonsgegevens of beperking van de vrwerking overeenkomstig artikel 16, artikel 17, lid 1. en artikel 18 tenzij...
Dus volgens mij is de opmerking "De AVG gaat zegt daar niets over." niet correct

Reactie toevoegen