Spring naar content

Recht om vergeten te worden

Het recht van verzet kennen we in Nederland al. In elke marketing-uiting waarin data worden gebruikt – een e-mail, een brief, een telefoontje – moet de ontvanger de mogelijkheid hebben zich af te melden. Als een consument hier gebruik van maakt, mag je hem of haar niet meer benaderen voor marketingdoeleinden via dat specifieke kanaal. Ook hebben mensen het recht om zich in het algemeen te verzetten tegen de verwerking van hun persoonsgegevens voor marketingdoeleinden.

Naast het recht van verzet kunnen klanten vanaf 25 mei 2018 een verzoek indienen om hun persoonlijke gegevens te laten verwijderen. Dit heet het recht om vergeten te worden, ook wel bekend als ‘right to be forgotten’. In het geval van marketing kunnen mensen altijd een beroep op dit recht doen. Soms moet je voor andere doeleinden wel een deel van de gegevens bewaren, bijvoorbeeld voor de Belastingdienst. Daarom moet je duidelijk in kaart hebben welke gegevens je voor welke doeleinden verwerkt.

Recht op informatie

Net als onder de huidige wetgeving ben je als verantwoordelijke verplicht om informatie te verstrekken over de manier waarop je persoonsgegevens verwerkt, en voor welke doeleinden. De bijbehorende verplichte informatievoorziening wordt vaak aangeboden via een privacy statement. Onder de AVG ben je verplicht om uitgebreid te informeren, ook over de nieuwe rechten van mensen. Loop dus je huidige privacy statement nog eens kritisch door. Daarin moet je namelijk ook:

  • De bewaartermijnen van de gegevens (of de manier waarop je deze vaststelt) vermelden.
  • Wijzen op het recht om gegevens in te zien, te laten aanpassen, aan te vullen of te verwijderen.
  • Wijzen op het recht om bezwaar te maken tegen en het beperken van de verwerking van gegevens (recht van verzet).
  • Wijzen op de mogelijkheid om een klacht bij de Autoriteit Persoonsgegevens in te dienen.
  • Wijzen op de mogelijkheid om toestemming op ieder moment in te trekken.
  • Indien van toepassing de contactgegeven van de Functionaris Gegevensbescherming vermelden.
  • De herkomst van de gegevens toelichten, wanneer deze niet direct door de betrokken zijn ingevuld/achtergelaten.
  • Vertellen of de gegevens worden doorgegeven naar landen buiten de EU

Recht op dataportabiliteit

Waar het recht om vergeten te worden en het recht op informatie al deels bestonden, is het recht op dataportabiliteit volledig nieuw. Met dit recht kunnen mensen voortaan een deel van hun gegevens opvragen bij een organisatie. Iemand kan dan kiezen om gegevens naar een andere organisatie te laten sturen of de data zelf te ontvangen in een ‘gangbaar bestandsformaat’. Met dit recht krijgen consumenten meer controle over hun eigen gegevens. Bovendien profiteren ze van extra gebruiksgemak, als bedrijven dit goed geregeld hebben. Overstappen van de ene naar de andere aanbieder, of het opvragen van een offerte bij een andere aanbieder zou hierdoor makkelijker moeten worden.

Omdat dit een nieuw recht is, is het nog lastig inschatten of en hoe mensen hiervan gebruik zullen maken. Een situatie die voor de hand ligt is het wisselen van bank, telecomprovider of zorgverzekeraar. Met dit nieuwe recht kunnen mensen bijvoorbeeld hun bel-verleden opvragen om te kijken welke aanbieder het beste bij hen past.

De Europese toezichthouders noemen als voorbeelden onder andere een online muziek streaming dienst waarbij je een playlist kunt exporteren zodat iemand weet wat hij/zij het meest luistert en dus wat hij/zij wil kopen. Of zodat je je muziek voorkeuren kunt meenemen als je van Spotify overstapt naar Google Music, Deezer of iTunes. Een ander voorbeeld dat wordt genoemd is een e-maildienst waarbij iemand zijn contactenlijst kan exporteren om een uitnodigingenlijst voor een feest te maken.

Het recht om vergeten te worden staat overigens los van het recht op dataportabiliteit. Je bent als organisatie niet verplicht data te verwijderen na het overdragen. Als iemand daar wel om vraagt dan moet je daar uiteraard mee aan de slag.

Uitdagingen

Uiteraard brengen deze extra rechten van individuen voor organisaties een aantal uitdagingen met zich mee. Als iemand een beroep doet op het recht van inzage, moet je weten welke persoonsgegevens je van hem of haar verwerkt, waar die gegevens vandaan komen en wat de grondslag is om die gegevens te verwerken. Dat vergt structurering van de data(systemen), en dat is voor veel organisaties een uitdaging. Met name wat betreft oude data, ook wel legacy data genoemd, kan dat een hele kluif zijn.

Een extra uitdaging daarbij is dat het bij de nieuwe rechten nog niet precies duidelijk is welke persoonsgegevens daaronder vallen, of hoe je in de praktijk te werk moet gaan. Wat is bijvoorbeeld ‘machineleesbaar’? Niet iedereen heeft de mogelijkheid om een API naar de concurrent in te bouwen. De Europese toezichthouder heeft al toelichting gegeven , maar in de praktijk blijven er veel open eindjes. De verwachting is dat daar voor 25 mei meer duidelijkheid over is, maar het bemoeilijkt de voorbereiding natuurlijk wel. Wat je in ieder geval kunt doen is je zo goed mogelijk voorbereiden op de zaken die wél bekend zijn, zoals eerder in dit stuk beschreven.

Vertrouwen

De toegenomen controle van consumenten over hun eigen data biedt ook kansen voor bedrijven op het vlak van service en gebruiksgemak. In plaats van je af te vragen of mensen wel gebruik gaan maken van deze rechten, kun je ook kijken hoe je deze verzoeken zo makkelijk mogelijk kunt maken – voor jezelf en voor je klant. Daarmee laat je zien dat je als marketeer en als organisatie belang hecht aan privacy en databescherming en bouw je vertrouwen op bij je (potentiële) klanten.

Dat kan bijvoorbeeld door proactief aan te bieden dat mensen al hun gegevens uit jouw applicatie kunnen downloaden. Of door transparant te zijn over waarom je om bepaalde gegevens vraagt. Natuurlijk moet je privacy statement juridisch kloppen, maar bij het invulformulier kun je met een paar heldere zinnen al duidelijk maken wat je intenties zijn. Je geeft de klant een veilig gevoel als je bij de opt-in direct aangeeft dat hij of zij ieder moment zijn of haar gegevens kan laten verwijderen. Van het vertrouwen dat je daarmee opbouwt profiteer je uiteindelijk zelf ook.

In dit artikel lag de focus op de rechten van consument op de AVG, maar dat betekent niet dat deze nieuwe wet geen implicaties heeft voor B2B-organisaties. Daarover meer in deel 4 van deze blogserie.

Lees meer:

Matthias de Bruyne

Voormalig Senior legal counsel bij DDMA

Ook interessant

Lees meer
DDMA |

DDMA maakt genomineerden voor DDMA Experimentation Heroes 2024 bekend

De genomineerden voor DDMA Experimentation Heroes zijn bekend. Genomineerd zijn: Odido, DPG Media, Primera, Vattenfall, NS Internationaal, Albert Heijn, De Efteling, KLM en Ben. Zij lichten hun case toe tijdens…
Lees meer
AVG |

Hof zet AP na 5 jaar op zijn plek: belang van KNLTB kan wél gerechtvaardigd zijn

Na vijf jaar heeft het Europese Hof van Justitie (Hof) eindelijk duidelijkheid gebracht: gerechtvaardigde belangen kunnen ook commercieel zijn onder de AVG. Deze uitspraak is een grote tegenslag voor de…
Lees meer
Experimentation & Optimisation |

Is Your Webshop Ready for the European Accessibility Act 2025?

That’s a question many businesses should be asking themselves right now. In just a year (on June 28, 2025), the European Accessibility Act (EEA) will come into effect. This new…