Op 25 mei 2018 wordt de Wet Bescherming Persoonsgegevens vervangen door de Algemene verordening gegevensbescherming (AVG). Deze verordening zal een aantal wijzigingen in het privacy-recht met zich mee brengen.
Al veelbesproken is het in de AVG verankerde recht “om vergeten te worden”.
Dit recht houdt in, dat de gegevens van een betrokkene – de persoon over wie gegevens worden verwerkt – uit een gegevensverwerkend systeem moeten worden gewist.
Dat wissen kan een betrokkene in de in art. 17 lid 1 van de AVG beschreven gevallen eisen, waaronder:
– de gegevens niet langer nodig zijn voor het doel van de gegevensverwerking;
– de betrokkene een verleende toestemming intrekt;
– er sprake is van onrechtmatige verwerking van persoonsgegevens.
De AVG bepaalt concreet dat de gegevens gewist moeten worden. In de praktijk blijkt dat lang niet alle systemen in staat zijn om gegevens fysiek te wissen. Er kunnen functionele restricties in het systeem zijn ingebouwd die het wissen van gegevens verhinderen, bijvoorbeeld om te voorkomen dat de historie onbetrouwbaar wordt. Er kunnen ook technische redenen zijn waardoor het wissen van gegevens niet wordt gefaciliteerd, bijvoorbeeld omdat de werking van een database dan beïnvloed kan worden. Dit is onder de huidige regels een minder groot probleem, want die staan toe dat gegevens niet gewist worden maar ontoegankelijk gemaakt worden.
Wat daar van zij, de toezichthouder zal zich waarschijnlijk op het standpunt stellen dat het haar probleem niet is en uw systeem in staat moet zijn persoonsgegevens te wissen.
In ieder geval is het van belang hier bij de aanschaf van een nieuw systeem rekening mee te houden. Hoe toezichthouders omdenken te gaan met al bestaande systemen is nog duidelijk.
Mocht u meer willen weten over de nieuwe eisen aan software op grond van de Algemene verordening gegevensbescherming neem dan contact op met Walter van Holst.