De AVG verplicht organisaties om persoonsgegevens te verwijderen in zes specifieke situaties: wanneer het verwerkingsdoel wegvalt, de bewaartermijn verstrijkt, toestemming wordt ingetrokken, gegevens onrechtmatig zijn verwerkt, wettelijke verplichtingen dit vereisen, of bezwaar wordt gemaakt tegen de verwerking. Deze verplichting geldt ook bij uitoefening van het recht op vergetelheid door betrokkenen.
Wanneer moet je persoonsgegevens verwijderen volgens de AVG?
Organisaties zijn verplicht persoonsgegevens te verwijderen in zes wettelijk vastgelegde situaties. Het wegvallen van het verwerkingsdoel vormt de meest voorkomende grond, gevolgd door het verstrijken van vastgestelde bewaartermijnen en intrekking van eerder gegeven toestemming.
De zes wettelijke gronden voor verwijdering zijn duidelijk omschreven in artikel 17 van de AVG. Wanneer het oorspronkelijke doel van gegevensverwerking is weggevallen, bijvoorbeeld na afloop van een arbeidscontract of beëindiging van een klantrelatie, moet je de bijbehorende persoonsgegevens verwijderen. Dit geldt ook wanneer je geen rechtmatige grond meer hebt voor verdere opslag.
Het verstrijken van bewaartermijnen vormt een tweede belangrijke grond. Elke organisatie moet vooraf vaststellen hoe lang verschillende categorieën gegevens bewaard blijven. Zodra deze termijn verloopt, is verwijdering verplicht. Ook bij intrekking van toestemming door de betrokkene moet je onmiddellijk actie ondernemen, tenzij andere rechtmatige gronden voor verwerking bestaan.
Daarnaast geldt de verwijderplicht bij onrechtmatige verwerking, wettelijke verplichtingen tot verwijdering, en wanneer betrokkenen gegrond bezwaar maken tegen de verwerking van hun gegevens.
Wat houdt het recht op vergetelheid precies in?
Het recht op vergetelheid, vastgelegd in artikel 17 AVG, geeft betrokkenen het recht om verwijdering van hun persoonsgegevens te verzoeken. Organisaties moeten binnen één maand reageren op dergelijke verzoeken en hebben beperkte mogelijkheden om verwijdering te weigeren.
Betrokkenen kunnen het recht op wissing uitoefenen wanneer hun gegevens niet langer noodzakelijk zijn voor het oorspronkelijke verwerkingsdoel, zij hun toestemming intrekken, of bezwaar maken tegen de verwerking. Ook bij onrechtmatige verwerking of wanneer wettelijke verplichtingen verwijdering vereisen, kunnen zij een beroep doen op dit recht.
Organisaties hebben echter uitzonderingsmogelijkheden. Verwijdering kan worden geweigerd voor uitoefening van het recht op vrijheid van meningsuiting, naleving van wettelijke verplichtingen, volksgezondheidsdoeleinden, archiveringsdoeleinden in het algemeen belang, of voor het instellen van rechtsvorderingen.
De reactietermijn bedraagt één maand vanaf ontvangst van het verzoek. In complexe gevallen mag deze termijn met twee maanden worden verlengd, mits de betrokkene hierover wordt geïnformeerd. Bij weigering moet je de redenen duidelijk toelichten en wijzen op klachtmogelijkheden bij de Autoriteit Persoonsgegevens.
Hoe lang mag je gegevens bewaren onder de AVG?
De AVG hanteert het beginsel van opslagbeperking: persoonsgegevens mogen alleen worden bewaard zolang dit noodzakelijk is voor de verwerkingsdoeleinden. Organisaties moeten bewaartermijnen vaststellen op basis van het verwerkingsdoel, wettelijke verplichtingen en branchespecifieke regelgeving.
Het vaststellen van bewaartermijnen vereist een zorgvuldige afweging per gegevenstype. Voor personeelsgegevens gelden vaak langere termijnen vanwege fiscale en sociale zekerheidsverplichtingen, terwijl marketinggegevens doorgaans korter bewaard mogen worden. Klantgegevens kunnen variëren afhankelijk van de sector en specifieke wettelijke vereisten.
Wettelijke verplichtingen bepalen vaak minimale bewaartermijnen. De Wet op de loonbelasting vereist bijvoorbeeld zeven jaar bewaring van loonadministratie, terwijl de Algemene wet bestuursrecht verschillende termijnen hanteert voor verschillende documenten. Deze wettelijke minimums vormen het uitgangspunt voor je bewaartermijnen.
Praktische richtlijnen variëren per gegevenstype. CV’s van niet-aangenomen sollicitanten kun je na vier weken verwijderen, tenzij kandidaten toestemming geven voor langere bewaring. Websitelogbestanden bewaar je doorgaans niet langer dan 12 maanden, terwijl contractgegevens vaak vijf tot zeven jaar bewaard blijven voor mogelijke geschillen.
Welke technische eisen stelt de AVG aan data verwijdering?
Definitief verwijderen volgens de AVG betekent dat gegevens volledig en onherstelbaar worden gewist uit alle systemen, inclusief back-ups en kopieën bij derde partijen. Organisaties moeten technische maatregelen implementeren die herstel van gegevens onmogelijk maken, zelfs met geavanceerde technieken.
De AVG vereist veilige gegevensvernietiging die voldoet aan internationale standaarden. Simpel verwijderen uit databases of het legen van prullenbakken is onvoldoende, omdat gegevens technisch vaak nog herstelbaar blijven. Professionele data-wissing gebruikt gespecialiseerde software die gegevens meerdere keren overschrijft volgens erkende protocollen.
Back-up beheer vormt een complexe uitdaging bij gegevensverwijdering. Organisaties moeten procedures ontwikkelen om gegevens ook uit back-upsystemen te verwijderen, of aantonen dat back-ups binnen afzienbare tijd automatisch worden overschreven. Het bewaren van verwijderde gegevens in back-ups kan alleen tijdelijk, mits deze niet toegankelijk zijn voor normale bedrijfsprocessen.
Bij cloud-providers en derde partijen moet je contractueel vastleggen hoe gegevensverwijdering wordt uitgevoerd. Vraag om certificaten die aantonen dat verwijdering heeft plaatsgevonden volgens AVG-vereisten. Voor fysieke gegevensdragers geldt dat professionele vernietiging noodzakelijk is. Gecertificeerde IT recycling diensten gebruiken gespecialiseerde software en procedures om gegevens volledig en aantoonbaar te wissen voordat hardware wordt hergebruikt of gerecycled.
De technische implementatie van gegevensverwijdering vereist vaak maatwerk per organisatie. Ontwikkel duidelijke procedures, train medewerkers in correcte verwijderingsmethoden, en documenteer alle verwijderingsactiviteiten voor mogelijke controles door de Autoriteit Persoonsgegevens. Zo waarborg je volledige AVG compliance bij data governance binnen je organisatie.
