Recht op vergetelheid (recht op wissing)
Het recht op vergetelheid, formeel het recht op wissing, stelt personen in staat om de verwijdering van hun persoonsgegevens te verzoeken wanneer deze niet langer nodig zijn, de toestemming is ingetrokken of de verwerking onrechtmatig is. Vastgelegd in artikel 17 van de AVG is dit recht niet absoluut en moet het worden afgewogen tegen andere wettelijke verplichtingen.
Het recht op vergetelheid vindt zijn oorsprong in het Google Spain-arrest van het Hof van Justitie van de EU uit 2014 en werd vervolgens gecodificeerd in de AVG. Het verplicht verwerkingsverantwoordelijken om persoonsgegevens 'zonder onredelijke vertraging' te wissen in meerdere gevallen: wanneer de gegevens niet langer nodig zijn voor het doel waarvoor ze zijn verzameld, wanneer de betrokkene toestemming intrekt, of wanneer de verwerking onrechtmatig is.
In de KYC- en compliance-context staat dit recht regelmatig op gespannen voet met de bewaarplichten uit antiwitwasregelgeving. De Wwft vereist dat identiteitsdocumenten en verificatieresultaten vijf jaar na beëindiging van de zakelijke relatie worden bewaard. Gedurende deze periode kan een wissingsverzoek rechtmatig worden geweigerd op grond van de wettelijke bewaarplicht.
Wanneer wissing wordt uitgevoerd, moet deze volledig zijn: productiedatabases, back-ups, systemen van derden en verwerkers moeten allemaal worden geïnformeerd. De verwerkingsverantwoordelijke moet ook alle ontvangers aan wie de gegevens zijn verstrekt op de hoogte stellen, overeenkomstig artikel 19 van de AVG.
Regelgeving
Praktijkvoorbeelden
- 1.Een voormalige bankklant verzoekt om wissing van zijn KYC-gegevens: de bank weigert omdat de zakelijke relatie minder dan vijf jaar geleden is beëindigd en de Wwft-bewaarplicht voorrang heeft.
- 2.Een gebruiker die een account heeft aangemaakt op een kredietplatform zonder de aanvraag af te ronden, oefent het recht op wissing uit: het platform moet alle gegevens verwijderen omdat er geen wettelijke bewaarplicht geldt.
- 3.Een verzekeringsmakelaar ontvangt een wissingsverzoek en moet zijn drie verwerkers (identiteitsverificatie, scoring, archivering) informeren zodat ook zij de gegevens van de betrokkene verwijderen.