Het recht op gegevenswissing ('recht op vergetelheid') in de Algemene Verordening Gegevensbescherming

Het recht op gegevenswissing

(‘recht op vergetelheid’)

in de Algemene Verordening Gegevensbescherming

W.A. Meijer

Velserbroek 2018

Begeleider: J. Huizenga

Universiteit van Amsterdam Business school

Amsterdam IT audit-programme (AITAP)

Inhoud Samenvatting ... 4 1. Inleiding ... 7 1.1 Aanleiding ... 7 1.2 Doel ... 8 1.3 Probleemstelling ... 8 1.4 Onderzoeksvragen ... 8 1.5 Werkwijze en onderzoeksmethode ... 9 1.6 Opbouw scriptie ... 9

2. Achtergrond van de AVG en belangrijkste aspecten ... 10

2.1 Inleiding ... 10

2.2 Waarom is privacywetgeving belangrijk? ... 10

2.3 Oorsprong recht op privacy ... 11

2.4 De acht basisprincipes van de OESO/OECD ... 11

2.5 Aanleiding voor de AVG... 12

2.6 Belangrijkste aspecten van de AVG ... 12

2.7 Tot slot ... 16

3. Het recht op gegevenswissing in de AVG ... 17

3.1 Inleiding ... 17

3.2 Oorsprong en kenmerken ... 17

3.3 Recht op gegevenswissing vs. Recht om vergeten te worden ... 17

3.4 Recht om vergeten te worden: De Costeja-zaak ... 18

3.5 Het Recht op gegevenswissing en Recht op vergetelheid in de AVG ... 20

3.6 Andere artikelen in AVG van belang voor gegevenswissing/recht op vergetelheid ... 21

3.7 Tot slot ... 22

4 Rol en verantwoordelijkheid van de verwerkingsverantwoordelijke en verwerker ... 23

4.1 Inleiding ... 23

4.2 Definities ... 23

4.3 Rollen en relatie ... 23

4.4 Tot slot ... 24

5. Welke beheersingsmaatregelen invoeren? ... 25

5.1 Inleiding ... 25

5.2 COSO... 25

5.4 Risicoanalyse ... 29

5.5 Beheersmaatregelen... Fout! Bladwijzer niet gedefinieerd. 5.6 Informatie en communicatie ... 32

5.7 Monitoring ... 34

5.8 Tot slot ... 35

6. Rol van de IT auditor ... 36

6.1 Inleiding ... 36

6.2 Assurance opdrachten ... 36

6.3 Certificeringsopdrachten ... 37

6.4 Certificering AVG ... 38

6.5 Adviesopdrachten ... 38

6.6 Guidance vanuit de beroepsorganisatie NOREA ... 38

6.7 Open normen in de AVG ... 38

6.8 Tot slot ... 39

7. Resultaten van de interviews ... 40

7.1 Inleiding ... 40

7.2 Doel en werkwijze ... 40

7.3 Beheeromgeving ... 41

7.4 Risico analyses ... 42

7.5 Beheersmaatregelen... Fout! Bladwijzer niet gedefinieerd. 7.6 Informatie en communicatie ... 44

7.7 Monitoring ... 44

7.8 Tot slot ... 44

8 Analyse van de resultaten ... 45

8.1 Inleiding ... 45

8.2 Beheeromgeving ... 45

8.3 Bedreigingen ... 45

8.4 Beheersmaatregelen / informatie en communicatie ... 45

8.5 Monitoring ... 46

8.6 Tot slot ... 46

9 Conclusies en reflectie ... 47

9.1 Inleiding... 47

9.2 Onderzoeksvraag en deelvragen ... 47

9.3 Conclusie centrale onderzoeksvraag ... 47

9.4 Conclusies deelvragen ... 48

9.6 Tot slot ... 50

Literatuur ... 51

Bijlage 1 ... 53

Samenvatting

De noodzaak tot bescherming van persoonsgegevens is de afgelopen twintig jaar enorm

toegenomen. Door de toegenomen beschikbaarheid van digitale persoonsgegevens zijn bedrijven en overheid in staat om deze op allerlei manieren te verzamelen en te gebruiken. Keerzijde hiervan is dat een individu niet meer weet wat er met zijn persoonsgegevens gebeurt, wie er toegang toe heeft en waarvoor ze gebruikt worden.

Op 25 mei 2018 wordt de nieuwe privacywetgeving Algemene Verordening Gegevensbescherming (AVG) van kracht. Dit onderzoek is uitgevoerd ter afsluiting van de AITAP opleiding en richt zich op één aspect van deze wetgeving namelijk het Recht op gegevenswissing (‘Recht op vergetelheid’). De AVG geeft een individu het recht om onder bepaalde voorwaarden wissing van zijn

persoonsgegevens te verlangen van een organisatie. Om hieraan te kunnen voldoen zal een

organisatie maatregelen moeten nemen om te waarborgen dat op verzoek van een betrokkene alle vastgelegde gegevens, zowel intern als extern, worden gewist. Het niet voldoen aan deze wet- en regelgeving kan onder meer leiden tot boetes en reputatieschade. Onderzocht is welke maatregelen hiervoor getroffen kunnen worden.

Hoofdstuk 2 schetst de achtergrond en de belangrijkste aspecten van de AVG. Het belang en de oorsprong van privacywetgeving en de acht basisprincipes van de OESO/OECD komen aan de orde. Verder gaat dit hoofdstuk in op de belangrijkste aspecten van de AVG.

Hoofdstuk 3 gaat in op het verschil tussen het recht op gegevenswissing en het recht op vergetelheid en de inmiddels klassiek geworden Costeja-zaak. In de AVG zijn het recht op gegevenswissing en het recht op vergetelheid verder uitgebreid ten opzichte van voorgaande wetgeving. Bij het recht op gegevenswissing gaat het er vooral om de macht tussen verwerkers en betrokkenen beter te verdelen. Bij het recht op vergetelheid gaat het om bescherming van de reputatie van een individu: voorkomen dat mensen tot in lengte van dagen geconfronteerd worden met hun verleden. De inmiddels klassieke Costeja-zaak was een voorbeeld van dit recht op vergetelheid. Hierbij was bijzonder dat het Hof vond dat Google onder het vergeetrecht viel en aangaf dat Google moest overgaan tot het verwijderen van links naar zoekresultaten. Het resultaat van de Costeja-zaak was een discussie over het recht op privacy in relatie tot de vrijheid van expressie. De Europese Commissie geeft aan dat er een ‘fair balance’ tussen deze rechten zal moeten zijn.

Vervolgens is ingegaan op het recht op gegevenswissing en recht op vergetelheid in de AVG: aan de orde zijn gekomen de condities in artikel 17 waaronder wissing wel en niet kan plaatsvinden. In een aantal gevallen zal een organisatie zelf moeten overgaan tot verwijderen van gegevens en niet wachten tot een verzoek van een betrokkene.

Tenslotte zijn artikel 12 over transparante informatie en communicatie en artikel 19 inzake de kennisgevingsplicht en de relevante overwegingen aan de orde geweest, evenals de overwegingen 59, 65 en 66.

Hoofdstuk 4 gaat in op de relatie tussen verwerkingsverantwoordelijke en verwerker. De

verwerkingsverantwoordelijke gaat na of de verwerking volgens de AVG rechtmatig is. Daarnaast dient hij de rechten van betrokkenen te respecteren en heeft hij de verantwoordingsplicht voor de verwerking. Het recht op gegevenswissing is een van de rechten van de betrokkenen en een

betrokkene zal zich dus in eerste instantie tot de verwerkingsverantwoordelijke moeten wenden. De verwerker assisteert de verwerkingsverantwoordelijke bij het nakomen van zijn verplichtingen, zorgt

voor een adequate informatiebeveiliging en voldoet aan de verplichting voor het vastleggen van verwerkingen in een register.

In hoofdstuk 5 wordt een overzicht gegeven van de maatregelen die een organisatie kan nemen om te voldoen aan het recht op gegevenswissing. Hierbij is gebruik gemaakt van het COSO-model. Op basis van de COSO-principles is een set aan maatregelen gepresenteerd voor verschillende niveaus in de organisaties.

Hoofdstuk 6 gaat in op de verschillende opdrachten die een IT auditor kan uitvoeren: assurance-opdrachten, certificeringsopdrachten en adviesopdrachten. Daarnaast is ingegaan op de verschillen in rol: geven van objectieve assurance met een uitgebreide scope/ diepgang. Het uitvoeren van cerificeringsaudits met een beperktere scope / diepgang dan de assurance opdrachten en het optreden als adviseur, waarbij gewaakt moet worden dat dit niet conflicteert met assurance opdrachten.

Belangrijke standaarden voor privacy-opdrachten zijn de Richtlijn 3600 en de SOC 1 en 2. Echter de huidige assurance standaards zijn niet gebaseerd op de AVG. Er is certificering ontwikkeld (en in ontwikkeling) die wel gebaseerd is op de AVG, onder meer van de Duitse Europrise en de Franse CNIL. Daarnaast zijn ISO 27001 en ISO 29100 belangrijk voor privacy gerelateerde opdrachten. In adviesopdrachten kan veel variatie bestaan. Hierbij geeft een auditor geen oordeel af.

Hoofdstuk 7 vermeldt de resultaten van de interviews die in de periode oktober 2017 tot en met maart 2018 hebben plaatsgevonden bij acht organisaties die bezig zijn met de implementatie van de AVG. Daarnaast zijn drie deskundigen op het gebied van de AVG geïnterviewd.

Hoofdstuk 8 presenteert een analyse van de resultaten van de interviews. Het blijkt dat organisaties bezig zijn met activiteiten in algemene zin zoals het uitvoeren van Data privacy impact assessments, awareness trainingen, het inventariseren van persoonsdata in de organisatie. Geen van de

organisaties heeft al een gestructureerd proces ontworpen en geïmplementeerd (inclusief de toewijzing van taken en bevoegdheden, prestatiebeoordeling, informatie en communicatie). waarmee verzoeken om gegevenswissing afgehandeld kunnen worden Wel hebben de organisaties een groot aantal knelpunten en bedreigingen geïdentificeerd.

In hoofdstuk 9 volgen de conclusies en de reflectie.

Uit het onderzoek komt naar voren dat organisaties momenteel niet beschikken over een adequate set aan maatregelen om verzoeken voor het recht om gegevenswissing / recht op vergetelheid adequaat af te handelen. Er wordt wel werk verzet: zes van de acht organisaties hebben een actueel gegevensbeschermingsbeleid en zeven organisaties hebben een Functionaris Gegevensbescherming aangesteld. Alle organisaties gaven aan dat de directie actief betrokken is en toezicht houdt en dat er aandacht is voor training en instructie. Er moet nog een grote hoeveelheid werk verzet worden. Een inzicht dat gedeeld wordt door de ervaringen van twee geïnterviewde deskundigen bij hun klanten. Oorzaken hiervoor zijn onder meer: onderschatten van de hoeveelheid werk, te laat starten doordat is gewacht op richtlijnen vanuit de brancheorganisatie en meerdere wettelijke vereisten waaraan (vrijwel gelijktijdig) gehoor gegeven moest worden, bijvoorbeeld de implementatie van IFRS 9. Daarnaast werd verschillende keren genoemd dat de Autoriteit Persoonsgegevens het eerste jaar geen controles gaat uitvoeren en geen boetes gaat uitdelen.

Uit al deze signalen kan worden afgeleid dat organisaties het onderwerp vooral zien als een

van de wetgeving -het zorgvuldig omgaan met persoonsgegevens van klanten of burgers krijgt minder aandacht. Het is dan ook twijfelachtig of organisaties volledig compliant zijn per 25 mei 2018. In de reflectie is ingegaan op het onderzoeksproces, dat bestond uit een literatuurstudie, interviews met drie deskundigen en gesprekken met vertegenwoordigers van acht organisaties.

1.

_Inleiding

1.1

Aanleiding

De noodzaak tot bescherming van persoonsgegevens is de afgelopen twintig jaar enorm toegenomen. Door de toegenomen beschikbaarheid van digitale persoonsgegevens zijn bedrijven en overheid in staat om deze op allerlei manieren te verzamelen, bijvoorbeeld bij bezoek aan een webshop, bij het in- en uitchecken met de OV-chipkaart of via social media, zoals Facebook en Twitter. Bedrijven gebruiken deze gegevens om hun doelgroep te analyseren, gericht te adverteren en nieuwe diensten te ontwikkelen. Keerzijde hiervan is dat een individu niet meer weet wat er met zijn persoonsgegevens gebeurt, wie deze gebruikt en wie er toegang toe heeft. Dit kan leiden tot ernstige gevolgen en zelfs het democratisch proces in een land beïnvloeden, zie onderstaand voorbeeld:

In maart 2018 werd bekend dat het Britse bedrijf Cambridge Analytica ongeoorloofd verkregen gegevens van 50 miljoen Amerikaanse Facebook gebruikers heeft misbruikt om er

kiezersprofielen mee te maken. Dit is gedaan om ten gunste van Donald Trump invloed uit te kunnen oefenen op de presidentiële verkiezingen van 2016.

Op 4 mei 2016 is de Algemene Verordening Gegevensbescherming (AVG) 1 _{in het Publicatieblad}

van de Europese Unie gepubliceerd. Op 25 mei 2016 is de Algemene Verordening

Gegevensbescherming (AVG) in werking getreden. De AVG is echter pas vanaf 25 mei 2018 van toepassing. Tot die tijd geldt nog de oude privacywetgeving: de Europese Richtlijn 95/46/EG2 _en

de daarop gebaseerde Nederlandse Wet bescherming persoonsgegevens (Wbp). Organisaties hebben tot 25 mei 2018 de tijd om te voldoen aan deze nieuwe wetgeving. Zij zullen moeten nagaan welke maatregelen daarvoor geïmplementeerd moeten worden.

Dit onderzoek is uitgevoerd ter afsluiting van de AITAP-opleiding en richt zich op één aspect van deze wetgeving namelijk het Recht op gegevenswissing (‘Recht op vergetelheid’).

Het recht op gegevenswissing is vastgelegd in artikel 17 van de Verordening. Dit artikel vermeldt onder welke voorwaarden een zogenoemde betrokkene recht heeft om zijn gegevens te laten wissen. Hoe de verwerkingsverantwoordelijke moet handelen als hij de gegevens openbaar heeft gemaakt bijvoorbeeld op internet en wanneer een betrokkene3 _{geen recht heeft om zijn}

gegevens te laten wissen. Dit laatste kan het geval zijn als de gegevens bijvoorbeeld bewaard moeten blijven vanwege archivering, onderzoek, andere wetgeving en vrijheid van

meningsuiting.

Andere relevante artikelen voor gegevenswissing zijn:

- Artikel 12: Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene.

- Artikel 19: Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking.

1 _{De Engelse benaming General Data Protection Regulation of GDPR wordt ook vaak gebruikt.}

2 _{Officiële naam: Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de}

bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

Organisaties zullen maatregelen moeten nemen om ervoor te zorgen dat op verzoek van een betrokkene alle persoonsgegevens uit alle bestanden in de organisatie worden verwijderd en niet verder worden verwerkt en zij dienen ook derde partijen (andere verwerkingsverantwoordelijken en ontvangers van persoonsgegevens) op de hoogte te stellen van de ontvangst van een verzoek om gegevenswissing.

1.2

Doel

Het doel van mijn onderzoek was om na te gaan hoe een organisatie kan waarborgen dat zij voldoet aan de bepalingen van het recht op gegevenswissing: Wat zijn de belangrijkste

technische en organisatorische beheersingsmaatregelen die een organisatie zal moeten nemen om hieraan blijvend te kunnen voldoen. De medewerkers die betrokken zijn bij de implementatie van de AVG en de leiding van de organisatie hebben dan een beeld welke maatregelen zij

moeten invoeren om aan de eisen van het recht op gegevenswissing te kunnen voldoen. Daarnaast is in het onderzoek aandacht besteed aan de positie van de IT auditor. Welke rollen kan hij vervullen?

1.3

Probleemstelling

Organisaties die verantwoordelijk zijn voor de verwerking van persoonsgegevens (volgens de AVG ‘Verwerkingsverantwoordelijken’) moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG) die in mei 2018 van toepassing4 _{wordt. Het Recht op}

gegevenswissing (‘Recht op Vergetelheid’), onder meer omschreven in artikel 17 maakt hiervan deel uit. Om hieraan te kunnen voldoen zal een organisatie maatregelen moeten nemen om te waarborgen dat op verzoek van een betrokkene alle vastgelegde gegevens, zowel intern als extern worden gewist. Het is belangrijk dat een organisatie deze maatregelen heeft

geïmplementeerd vóór 25 mei 2018, om boetes en reputatieschade vanwege het niet voldoen aan de bepalingen van de AVG te voorkomen.

1.4

Onderzoeksvragen

Centrale onderzoeksvraag:

Welke maatregelen moet een organisatie nemen om te waarborgen dat op verzoek van een individu ( in de AVG wordt dit een betrokkene genoemd) verwijdering plaatsvindt van alle intern en extern vastgelegde persoonsgegevens?

Deelvragen:

1. Wat zijn de achtergrond, aanleiding en verschillende aspecten van de AVG?

2. Wat zijn de oorsprong en kenmerken van het recht op gegevenswissing en recht op

vergetelheid en in welke bepalingen van de AVG komen het recht op gegevenswissing en het recht op vergetelheid terug?

3. Wat zijn de rollen en verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker en wat is de relatie tussen beiden?

4. Welke maatregelen kan een organisatie nemen om te voldoen aan een verzoek in het kader van het recht op gegevenswissing en recht op vergetelheid?

5. Welke maatregelen worden in de praktijk genomen en wat zijn best practices hierbij?

4_{Op 4 mei 2016 is de AVG gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 21} dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing

6. Wat is de rol van de IT auditor: welke typen (privacy gerelateerde) opdrachten kan een IT auditor uitvoeren en welke standaarden en guidance zijn hiervoor beschikbaar?

1.5

Werkwijze en onderzoeksmethode

Bij het onderzoek is gebruik gemaakt van de onderzoeksstrategieën deskresearch en casestudy. De deskresearch bestond uit twee verschillende activiteiten:

1. Bestudering van de tekst van de Algemene Verordening Gegevensbescherming (primaire bron, gepubliceerd in het Publicatieblad van de Europese Unie L 119 op 4-5-2016). 2. Bestudering van publicaties verzameld via literatuuronderzoek op internet en in de

bibliotheek van de Universiteit van Amsterdam.

Met de verzamelde informatie ontstond een goed beeld van de verschillende aspecten van de AVG en in het bijzonder van het recht op gegevenswissing. Aan de hand van het

COSO-framework is vervolgens een set van maatregelen opgesteld die een organisatie kan gebruiken om het recht op gegevenswissing in te richten en te implementeren.

Deze set aan maatregelen vormde de basis voor het praktijkonderzoek. Dit praktijkonderzoek bestond uit het voeren van gesprekken met verschillende typen organisaties (commerciële, non-profit en overheid). Uitgangspunt bij de keuze van deze organisaties was dat zij veel te maken hebben met het verwerken van persoonsgegevens. Onderwerp van gesprek bij deze gesprekken was of de opgestelde set aan maatregelen bruikbaar was om het recht op gegevenswissing adequaat in te richten. Daarnaast is bij deze gesprekken ingegaan op de rol van de IT auditor. Tenslotte is in deze gesprekken ook aandacht besteed aan de vraag of zij denken de

implementatie van dit recht op gegevenswissing tijdig (mei 2018) te kunnen realiseren. Naast deze gesprekken met organisaties hebben ook een aantal gesprekken met deskundigen plaatsgevonden. De reden hiervan was een goede validatie te krijgen van de voorgestelde set aan maatregelen.

1.6

Opbouw scriptie

Hoofdstuk 2 Gaat in op deelvraag 1 en beschrijft de achtergrond, aanleiding en verschillende aspecten van de AVG.

Hoofdstuk 3 Behandelt deelvraag 2: Wat zijn de oorsprong en kenmerken van het recht op gegevenswissing en recht op vergetelheid en in welke bepalingen van de AVG komen het recht op gegevenswissing en het recht op vergetelheid terug?

Hoofdstuk 4 schetst de rol, taken en verantwoordelijkheid van de

verwerkingsverantwoordelijken en verwerkers en de relatie tussen beiden (deelvraag 3). Hoofdstuk 5 gaat in op de maatregelen die een organisatie kan nemen om te voldoen aan een verzoek om gegevenswissing (deelvraag 4).

Hoofdstuk 6 gaat in de rol van de IT auditor (deelvraag 6).

Hoofdstuk 7 schetst de resultaten van de interviews en gaat in op de maatregelen die in de praktijk genomen worden (deelvraag 5).

Hoofdstuk 8 vermeldt de analyse van de resultaten. Hoofdstuk 9 vermeldt de conclusie en reflectie.

2. Achtergrond van de AVG en belangrijkste aspecten

2.1

Inleiding

Dit hoofdstuk gaat in op deelvraag 1: Wat zijn de achtergrond, aanleiding en verschillende aspecten van de AVG? Paragraaf 2.2 gaat in op het belang van privacywetgeving. Paragraaf 2.3 schetst de oorsprong van privacywetgeving. Vervolgens gaat paragraaf 2.4 in op de acht basisprincipes van de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO). De aanleiding tot en de belangrijkste aspecten van de AVG staan centraal in de paragrafen 2.5 en 2.6.

2.2

Waarom is privacywetgeving belangrijk?

Het rapport Respect4U (Van Lieshout, Djafari & Vermeulen, 2017) vermeldt vier ontwikkelingen die het belang van privacy voor organisaties onderstrepen:

1. De enorme groei van vrijelijk verkrijgbare gegevens.

2. Veel nieuwe diensten zijn gebaseerd op de verwerking van persoonlijke gegevens. 3. De ontwikkeling van het internet der dingen vergroot de ontwikkeling van nieuwe

persoonlijke dienstverlening. Veel van deze nieuwe diensten hebben een impact op de privacy van individuen.

4. Kunstmatige intelligentie en lerende machines zijn in staat verbanden tussen gegevens te leggen die ‘met de hand’ nooit zouden zijn gevonden. Dit kan leiden tot nieuwe vormen van onheuse bejegening, discriminatie, stigmatisering en uitsluiting.

Bedrijven verzamelen gegevens van internetgebruikers. Hiervoor wordt gebruik gemaakt van trackers, meestal zijn dit cookies. Hiermee is informatie te verzamelen zoals surfgedrag, locatie en informatie over de gebruikte computer. Hoe meer informatie een organisatie verzamelt, hoe beter zij in staat is gericht te adverteren of nieuwe diensten te ontwikkelen. Een organisatie hoeft deze informatie niet zelf te verzamelen. Zij kan deze ook kopen van een databroker. Een databroker verhandelt persoonsinformatie die hij op het internet vindt.

Het Internet der dingen bestaat ondermeer uit beveiligingscamera’s, Network Attached Storage (NAS) en slimme thermostaten. Deze zijn gekoppeld aan het internet en op afstand te bedienen. De beveiliging is vaak slecht; hacken is eenvoudig, waardoor toegang mogelijk is tot privé-omgeving en privé informatie.

Op basis van grote hoeveelheden persoonsdata zijn scores te berekenen. Hiermee is te bepalen of je een bepaald recht krijgt of een bepaalde dienst kan gebruiken, bijvoorbeeld een lening. Maar het kan ook leiden tot discriminatie en uitsluiting getuige onderstaand bericht van de Website van NRC van 13 maart 2017:

De Chinese regering is bezig een landelijk 'Sociaal Krediet Systeem' in te voeren waarbij aan iedere burger een score voor zijn gedrag wordt toegekend. Het idee van de sociale kredietscore is door middel van het verzamelen en analyseren van grote hoeveelheden digitale informatie iedere burger, ieder bedrijf en iedere overheidsdienst punten toe te kennen. Er wordt gebruikgemaakt van zowel informatie die wordt verstrekt door de politie, financiële instellingen en de overheid als van persoonlijke data van burgers van internetbedrijven. Niet alleen het tijdig afrekenen van aankopen en het aflossen van leningen levert punten op, ook een blanco strafblad, respect voor de autoriteiten en onberispelijk internetgedrag zijn van invloed op de scores.

Bij wijze van proef werken de autoriteiten nauw samen met internethandelshuis Alibaba,

enorme hoeveelheden data van de bijna 800 miljoen Chinese internetters. Over de exacte aard van de samenwerking met de staat doen de ondernemingen uiterst geheimzinnig.

Het is nog niet precies duidelijk wat de exacte consequenties zullen zijn van het hebben van een goede of een slechte score. Er zijn wel voorbeelden bekend uit lopende experimenten, waaruit blijkt dat een slechte score verstrekkende gevolgen kan hebben: je kunt bijvoorbeeld geen lening krijgen bij een bank, het land niet verlaten of je kinderen worden niet toegelaten tot bepaalde scholen. Vanaf 2020 moeten alle volwassen burgers naast hun identiteitskaart over zo’n ‘kredietcode’ beschikken.

De invoering van de AVG geeft individuen meer controle over hun persoonsgegevens. Zij hebben meer rechten gekregen en organisaties zijn verplicht om betrokkenen te informeren wanneer zij hun gegevens verwerken. Paragraaf 2.6 gaat hier verder op in.

2.3

Oorsprong recht op privacy

Het rapport Respect 4U (Van Lieshout, et al., 2017) vermeldt dat het artikel ‘The right to privacy’ uit 1890 van de Amerikaanse advocaat Samuel Warren en rechter Louis Brandeis de basis vormde voor het moderne recht op privacy. In 1948 stelt de Universele Verklaring van de rechten van de mens dat ‘Niemand onderworpen zal worden aan willekeurige inmenging in zijn privéaangelegenheden, gezinsleven, tehuis of briefwisselingen’. Het Europees handvest van grondrechten gaat een stap verder, naast artikel 7 over ‘de eerbiediging van het privéleven en het familie- en gezinsleven’, gaat artikel 9 in op de bescherming van persoonsgegevens.

2.4

De acht basisprincipes van de OESO/OECD

In de Organisatie voor economische samenwerking en ontwikkeling (OESO/OECD) werken 35 landen samen op het gebied van sociaal- en economisch beleid. De OESO/OECD houdt zich ook bezig met bescherming van persoonsgegevens. De website van de OESO/OECD (www.oecd.org) bevat onderstaand statement:

“Privacy is a fundamental social value that concerns one and all. Protection of personal information within and across borders is essential for building trust in e-business, e-government and other online activities.”

De OESO/OECD formuleerde en publiceerde al in 1980 de acht basisprincipes die ook terugkomen in de AVG:

1. Dataminimalisatie: Het verzamelen van gegevens moet gelimiteerd zijn binnen de wettelijke grenzen en waar mogelijk met toestemming van de betrokkenen. Daarnaast is het

noodzakelijk om zoveel mogelijk gegevens te verzamelen als nodig voor een goede

bedrijfsvoering, maar zo weinig mogelijk ter bescherming van de privacy van de betrokkenen. 2. Datakwaliteit: de data moet juist, compleet en up-to date zijn. De persoonsgegevens moeten

relevant zijn voor het doel waarvoor ze verwerkt worden.

3. Doelbinding: Het doel van de verwerking moet gespecificeerd worden ten tijde van de verwerking en de data mag uitsluitend voor dit doel worden gebruikt, anders moet opnieuw toestemming gevraagd worden aan de betrokkenen.

4. Gebruiksminimalisatie: Persoonsgegevens mogen niet openbaar gemaakt worden, ter beschikking worden gesteld, of gebruikt worden voor andere doelen dan waarvoor de data initieel verzameld is. De uitgangspunten dataminimalisatie, datakwaliteit, doelbinding en gebruiksminimalisatie komen in artikel 5 ‘Beginselen inzake verwerking van

5. Beveiliging: Persoonlijke data moet op een redelijke wijze beschermd worden tegen onder meer diefstal, verlies, vernietiging, ongeautoriseerde toegang, gebruik, wijziging en

openbaarmaking. De beveiliging van de persoonsgegevens door de verwerker komt aan de orde in artikel 32 van de AVG.

6. Transparantie: Er moet een beleid van openheid zijn over ontwikkelingen, uitvoering en beleid voor persoonsgegevens. Personen waarvan gegevens zijn verzameld moeten

eenvoudig toegang kunnen krijgen tot deze gegevens. De identiteit van de verwerker en het doel van de verwerking moeten bekend zijn. Artikel 12 van de AVG gaat in op het

transparantiebeginsel.

7. Rechten van betrokkenen (degenen van wie verwerking van persoonsgegevens

plaatsvindt): Betrokkenen moeten informatie kunnen krijgen of er al dan niet

persoonsgegevens van hen worden verwerkt en deze zo nodig kunnen corrigeren, wijzigen, aanvullen of verwijderen. De rechten van de betrokkenen komen in een groot aantal artikelen van de AVG voor. Het betreft de artikelen 12, 13, 14, 15-22 en 34. Het recht op gegevenswissing (art. 17) valt hieronder.

8. Verantwoordelijkheid: Verwerkers van data hebben de verantwoordelijkheid om

bovenstaande principes na te komen door maatregelen te nemen. De verantwoordelijkheid

van Verwerkers en Verwerkingsverantwoordelijken wordt besproken in Hoofdstuk IV van de AVG (artikelen 24-43).

2.5

Aanleiding voor de AVG

De AVG vervangt de Europese privacyrichtlijn uit 1995 en heeft directe werking in alle lidstaten, wat wil zeggen dat zij geen nationale wetgeving hoeven aan te passen. In Nederland vervangt de AVG de Wet bescherming persoonsgegevens (Wbp). Specifiek Nederlandse aspecten zijn geregeld in de Uitvoeringswet AVG. Voorbeelden hiervan zijn het gebruik van het Burgerservicenummer (BSN) en de wettelijke basis voor de Autoriteit Persoonsgegevens. De AVG is sinds mei 2016 van kracht, echter om organisaties de kans te geven om de wetgeving te implementeren is een periode van twee jaar afgesproken tussen het moment van inwerkingtreding en de daadwerkelijke toepassing. Tot 25 mei 2018 geldt de Wbp nog altijd.

De vernieuwing van de wetgeving was nodig om verschillende redenen. In de eerste plaats was de richtlijn toe aan vernieuwing. In 1995 vond nog geen verwerking van persoonlijke data plaats op de schaal waarop dat nu gebeurt. Internet stond nog in de kinderschoenen. Het was een totaal andere tijd, zonder Cloud computing, big data, social media en smartphones. Door deze ontwikkelingen is de hoeveelheid digitale persoonsgegevens enorm toegenomen. Dit maakt adequate wetgeving nodig. Daarnaast bleek dat steeds meer lidstaten de bestaande privacywetgeving, de richtlijn uit 1995 verschillend interpreteerden en toepasten. De afzonderlijke lidstaten hadden aparte bepalingen voor het melden van datalekken en ook bij het toepassen van boetes deden zich aanzienlijke verschillen voor. Harmonisatie van de bestaande wetgeving bleek noodzakelijk. N.B. Eén van de voor het praktijkonderzoek geïnterviewde deskundigen gaf aan dat deze harmonisatie al weer bedreigd wordt.

2.6

Belangrijkste aspecten van de AVG

2.6.1. Inleiding

De basisprincipes van de OESO/OECD komen voor een deel ook terug in artikel 5 van de AVG. Ze vormen de uitgangspunten waar een verwerking aan moet voldoen. Het gaat hierbij om:

transparantie, doelbinding, minimalisatie, datakwaliteit, beveiliging van data en rechten van betrokkenen.

Artikel 4 bevat de definities van begrippen gebruikt in de AVG. Een probleem hierbij is dat de AVG niet voor alle begrippen een duidelijke omschrijving geeft: er zijn nog veel ‘open normen’. Dit geldt bijvoorbeeld voor de begrippen ‘risico’ en ‘hoog risico’ en het begrip ‘privacy by design’. Voor deze begrippen zijn richtlijnen nodig van de European Data Protection Board (EDPB). Jurisprudentie zal eveneens helpen om deze begrippen te verduidelijken.

De AVG hanteert een ruime definitie voor persoonsgegevens5_{. Voor de hand liggende voorbeelden}

zijn: naam, postadres, telefoonnummer. Echter het betreft hier niet alleen gegevens die direct over iemand gaan, maar ook informatie die naar hem te herleiden is, zoals een BSN-nummer of een kenteken.

2.6.2 Wat moet een organisatie regelen?

De AVG onderscheidt drie hoofdverplichtingen: 1. Documentatieplicht

2. Verantwoordingsplicht 3. Informatieplicht

Bij de punten 1, 2 en 3 vindt bespreking van deze hoofdverplichtingen plaats, de punten 4 en 5 gaan in op verwerkingen buiten de EU en boetes.

1 Documentatieplicht

Organisaties moeten processen die persoonsgegevens verwerken vastleggen in een Register van de verwerkingsactiviteiten. Artikel 30 van de AVG schrijft voor waar dit register aan moet voldoen. Elke verwerking moet getoetst worden op rechtmatigheid, met andere woorden aan de hand van de voorwaarden in artikel 6 van de AVG nagaan of de verwerking is toegestaan. Indien de verwerking berust op basis van toestemming dan gelden de bepalingen van artikel 7. Een schriftelijke verklaring van de betrokkene is dan onder meer van belang. Van elke verwerking moet nagegaan worden of deze een hoog risico6 _{inhoudt en zo ja een gegevensbeschermingseffect-beoordeling (Data}

Protection Impact Assessment, DPIA) behoeft.

Een organisatie moet beschikken over gedocumenteerd beleid, processen en procedures zodat zij kan aantonen dat ze voldoet aan de AVG.

Bij het ontwerp en de bouw van software moet een organisatie rekening houden met de principes Privacy by design en Privacy by default. Maatregelen die hierbij een rol spelen zijn bijvoorbeeld gebruik maken van minimalisatie principe: niet meer gegevens verwerken dan noodzakelijk, gebruik maken van encryptie en pseudonimisering en zorgen voor gegevensbescherming.

5_{De AVG definieert in artikel 4 ‘persoonsgegevens’ als volgt: ‘alle informatie over een geïdentificeerde of identificeerbare}

natuurlijke persoon (de betrokkene)’als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer,

locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die persoon’.

Een voorbeeld van Privacy by design is dat in de software is ingebouwd dat een gebruiker slechts een beperkt aantal persoonsgegevens kan opvragen. Een ander voorbeeld is dat de programmatuur rekening houdt met de wettelijke bewaartermijnen van gegevens.

Privacy by default houdt in dat technische en organisatorische maatregelen genomen moeten worden om te garanderen dat standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor het specifieke doel. Standaardinstellingen moeten privacyvriendelijk zijn. Het is bijvoorbeeld niet toegestaan om bij een vraag op een website als ‘wilt u een reisverzekering afsluiten’ of ‘wilt u een nieuwsbrief ontvangen’ al vooraf een standaardvinkje in te vullen.

2 Verantwoordingsplicht

Een organisatie moet zorgen voor het toewijzen van taken en verantwoordelijkheden op het gebied van privacy. Het aanwijzen van een Functionaris Gegevensbescherming (FG) maakt hiervan

onderdeel uit.

Daarnaast is het belangrijk dat de organisatie zorgt voor voorlichting en training van directie en medewerkers, vooral van de privacyfunctionarissen, binnen de organisatie.

Aansluiten bij gedragscodes en certificering helpen om naleving aan te tonen.

3 Informatieplicht

Bij de verkrijging van de persoonsgegevens moet een verwerkingsverantwoordelijke een betrokkene informatie verstrekken7 _{over onder meer verwerkingsdoelen, de rechtsgrond, de ontvangers van}

gegevens, periode van opslag, de rechten: inzage, rectificatie, wissing etc. Hierbij kan gebruik gemaakt worden van privacy statements.

De rechten van betrokkenen spelen een belangrijke rol in de AVG. Belangrijke rechten zijn: het recht op inzage, correctie en rectificatie, gegevenswissing en dataportabiliteit. Om hier aan te kunnen voldoen dient een organisatie processen in te richten.

In geval van verlies van data geldt de meldplicht datalekken. Voorbeelden hiervan zijn verlies van een USB stick, het versturen van een bestand met persoonlijke gegevens naar een verkeerd e-mail adres en gegevens die gestolen worden door een hacker. In bepaalde gevallen is het verplicht om zowel de Autoriteit Persoonsgegevens (AP) als de betrokkene van het verlies op de hoogte te stellen.

4 Verwerkingen buiten de EU

De AVG is niet alleen van toepassing voor Europese organisaties die persoonsgegevens (laten) verwerken. Zij geldt ook voor organisaties gevestigd buiten de Europese Unie, die gegevens verwerken van EU-burgers. Voor organisaties die grensoverschrijdende verwerkingen uitvoeren houdt de AVG een belangrijke verbetering in. Grensoverschrijdende verwerkingen zijn verwerkingen die plaatsvinden in meerdere EU-staten of verwerkingen die in meerdere staten impact hebben. Met de introductie van het one stop shop principe hoeven dit soort verwerkingen allen nog gemeld te worden bij de toezichthouder in de staat waarin de hoofdvestiging van de organisatie is gevestigd.

5 Boetes

Het is belangrijk om te realiseren dat de boetes die opgelegd kunnen worden behoorlijk kunnen oplopen. Overtreding van de verplichtingen uit de AVG kan leiden tot een boete van maximaal 10

miljoen Euro of 2% van de wereldwijde jaaromzet. Als een verantwoordelijke de beginselen of grondslagen van de verordening overtreedt of de rechten van de betrokkenen schaadt, dan bedraagt de boete maximaal 20 miljoen Euro of 4% van de jaaromzet, in geval dat dit bedrag hoger is.

2.7

Tot slot

In dit hoofdstuk zijn de achtergrond en belangrijkste aspecten van de AVG geschetst. Ingegaan is op de oorsprong van de privacywetgeving en de acht basisprincipes van de OESO/OECD, die nu ook de basis vormen voor de AVG. Daarna zijn de redenen voor herziening van de Europese privacyrichtlijn van 1995 aan de orde gekomen. Tenslotte is ingegaan op de belangrijkste aspecten van de AVG. Dit hoofdstuk heeft het kader en de achtergrond geschetst voor het onderwerp van deze scriptie: het recht op gegevenswissing.

3. Het recht op gegevenswissing in de AVG

3.1

Inleiding

Dit hoofdstuk behandelt deelvraag 2: Wat zijn de oorsprong en kenmerken van het recht op gegevenswissing en recht op vergetelheid en in welke bepalingen van de AVG komen het recht op gegevenswissing en het recht op vergetelheid terug?

3.2

Oorsprong en kenmerken

Het recht op gegevenswissing is niet nieuw in de AVG. Het komt al aan de orde in de in hoofdstuk 2 genoemde basisprincipes van de OESO/OECD onder ‘rechten van betrokkenen’ en in de

databeschermingsrichtlijn van 1995.

De relevante artikelen van de voorganger van de AVG -de databeschermingsrichtlijn van 1995 (Richtlijn 95/46/EG)- zijn artikel 12 en artikel 14. Artikel 12b vermeldt dat een persoon om verwijdering van zijn persoonsgegevens kan vragen wanneer deze niet overeenstemmen met de richtlijn, met name als de gegevens onjuist en onvolledig zijn.8 _{Artikel 14 vermeldt dat een}

betrokkene recht van verzet heeft. Op grond hiervan kan een betrokkene zich in verband met bijzondere persoonlijke omstandigheden verzetten tegen de verwerking van zijn gegevens. In artikel 17 van de AVG (Recht op gegevenswissing ‘Recht op Vergetelheid’) is het recht op

gegevenswissing verder uitgebreid. Artikel 17.1 geeft aan onder welke voorwaarden een betrokkene een beroep kan doen op dit artikel. Artikel 17.2 gaat in op wat een verwerkingsverantwoordelijke moet doen als hij gegevens openbaar heeft gemaakt, bijvoorbeeld via zijn website. Artikel 17.3 geeft aan wanneer het niet mogelijk is om persoonsgegevens te laten verwijderen.

3.3

Recht op gegevenswissing vs. Recht om vergeten te worden

In de literatuur9 _{over het recht op gegevenswissing en recht om vergeten te worden komen twee}

verschillende concepten voor. Het klassieke recht om vergeten te worden, wordt vaak aangeduid met de Franse term droit à l’oublie of de Engelse term ‘right to oblivion’. Het gaat er hierbij om dat iemand die een strafrechtelijk vonnis heeft ondergaan niet langer in verband gebracht wil worden met zijn criminele verleden. Het recht van het individu om te voorkomen dat anderen informatie over zijn criminele verleden communiceren, wordt afgewogen tegen het recht van het publiek op toegang tot de informatie (Ambrose & Ausloos, 2013).

Naast dit recht om vergeten te worden, bestaat er een recht op gegevenswissing. Dit houdt in dat verwijdering of wissing van informatie plaatsvindt die een betrokkene passief heeft onthuld. In een dergelijke context, waarbij gegevens worden verzameld en verwerkt door derden zou een meer nauwkeurige beschrijving zijn ‘recht op gegegevenswissing’.

Bij het recht om vergeten te worden gaat het om bescherming van reputatie, identiteit en waardigheid. Bij het recht op gegevenswissing gaat het erom de macht tussen datagebruikers en -verwerkers te verdelen (Ambrose & Ausloos, 2011).

De handleiding Algemene verordening gegevensbescherming (Schermer, Hagenauw &Falot, 2018) verwoordt het als volgt: ‘Onder bepaalde omstandigheden hebben betrokkenen het recht om hun

8_{) Naar gelang van het geval, de rectificatie, de uitwissing of de afscherming van de gegevens waarvan de verwerking}

niet overeenstemt met de bepalingen van deze richtlijn, met name op grond van het onvolledige of onjuiste karakter van de gegevens.

gegevens door de verwerkingsverantwoordelijke te laten verwijderen, bijvoorbeeld wanneer de verwerking onrechtmatig is. Daarnaast heeft de betrokkene het recht ‘om vergeten te worden’. Dit recht is met name in het leven geroepen zodat mensen op internet niet voor altijd (ten onrechte) met hun verleden worden geconfronteerd. Het recht ligt in het verlengde van het recht op

verwijdering van gegevens. Het gaat dan om de situatie waarbij u als verwerkingsverantwoordelijke persoonsgegevens openbaar heeft gemaakt (bijvoorbeeld door ze online te zetten) en de betrokkene u gevraagd heeft de gegevens te wissen. Naast het wissen van de gegevens uit uw eigen systemen moet u redelijke technische en organisatorische maatregelen nemen om andere

verwerkingsverantwoordelijken ervan op de hoogte te stellen dat de betrokkene vergeten wil worden. Dit betekent dat iedere koppeling naar en kopie of reproductie gewist moet

worden‘(Schermer et al., 2018).

Artikel 17 van de AVG “Recht op gegevenswissing (‘recht op vergetelheid’) omvat beide concepten. 17.210 _{gaat in op het recht om vergeten te worden: als een verwerkingsverantwoordelijke}

persoonsgegevens openbaar heeft gemaakt en hij is verplicht ze te wissen, dan moet hij andere verwerkingsverantwoordelijken van dit verzoek op de hoogte brengen. Hij hoeft niet na te gaan of deze andere partijen de gegevens ook daadwerkelijk wissen.

3.4

Recht om vergeten te worden: De Costeja-zaak

Een klassieke zaak bij het recht om vergeten te worden is de Costeja-zaak. Het gaat hierbij om een uitspraak in een zaak aangespannen door een Spaanse ondernemer (Costeja) die op Google steeds geconfronteerd werd met zijn faillissement uit 1998. De hoogste Europese rechter, de Court of Justice van de Europese Unie (CJEU) heeft aangegeven dat Google zoekresultaten naar berichtgeving over dit faillissement moest verwijderen. Deze zaak is interessant, omdat de rechter daarmee aangeeft dat ook providers van zoekmachines op het internet binnen de scope van EU

databeveiligingsregime11 _{vallen en dat zij optreden als verwerkers voor de data die is vastgelegd in}

hun indexen. Iemand is gerechtigd om verwijdering van zoekresultaten naar zijn naam te vragen als deze tot ontoereikende, irrelevante of niet langer relevante of buitensporige zoekresultaten leiden (Sobkow, 2017).

Volgens Sobkow (2017) is de beslissing van de CJEU in de Costeja-casus omstreden geweest: ‘Academics and advocates of the freedom of expression have been highly critical of this right, warning that it will be ‘the biggest threat to free speech on the internet in the coming decade’. Wanneer iemand zoekgegevens wil laten verwijderen dan moet een afweging plaatsvinden tussen het recht op privacy van die persoon en de rechten van andere internetgebruikers om informatie te zoeken, te vinden en te verkrijgen. Het European Court of Human Rights (EHCR) heeft regelmatig aangegeven dat het recht op privacy en het recht op vrijheid van meningsuiting beide gerespecteerd dienen te worden en dat het ene recht niet boven het andere gaat. Echter volgens Sobkow (Sobkow, 2017) hebben de CJEU en de EU Justice commissaris aangegeven dat ‘the RTBF takes precedence as a rule’.

In het artikel het Internetvergeetrecht (Zwenne, 2015) bevestigt de auteur het voorgaande:

10 _{Artikel 17 lid 2 - Wanneer de verwerkingsverantwoordelijke gegevens openbaar heeft gemaakt en overeenkomstig lid 1}

verplicht is de persoonsgegevens te wissen, neemt hij rekening houdend met de beschikbare technologie en de

uitvoeringskosten, redelijke maatregelen om verwerkingsverantwoordelijken die de persoonsgegevens verwerken ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijke heeft verzocht om iedere koppeling naar of kopie of reproductie van die persoonsgegevens te wissen.

1-‘Het Hof (De CJEU) stelt voorop dat de Privacyrichtlijn moet worden uitgelegd op basis van de grondrechten die in het Handvest van de grondrechten van de Europese Unie (Het Handvest) zijn opgenomen. Oftewel het recht op bescherming van de persoonlijke levenssfeer en de

bescherming van persoonsgegevens. Daarmee lijkt het Hof te willen zeggen dat er bij de uitleg van het verwijder- en verzetsrecht overwegend betekenis moet worden toegekend aan deze privacyrechten. Waarom dat niet ook zou gelden voor het ook in het handvest vastgelegde recht om informatie te verstrekken en te ontvangen, laat het arrest helaas in het midden.’

2-‘Voor het Hof komt aan de privacybelangen van betrokkenen meer gewicht toe dan aan de belangen van de zoekmachines en die van de internetgebruikers bij het kunnen kennisnemen van ongefilterde (of ‘ongecensureerde’) zoekresultaten.’

In de Factsheet on the ‘Right to be forgotten’ Ruling (C-131/12) (European Commission, 2014) wordt dit ontkend: “The Court in its judgement did not elevate the right to be forgotten to a ‘super right’ trumping other fundamental right, such as the freedom of expression or the freedom of media” en “Neither the right to protection of personal data not the right to freedom of expression are absolute rights. A fair balance should be sought between the legitimate interest of internet users and the person’s fundamental rights. Freedom of expression carries with it responsibilities and has its limits both in the online and offline world’ en ‘The Case itself provides an example of this balancing exercise. While the court ordered Google to delete access to the information deemed irrelevant by the Spanish citizen, it did not rule that the content of the underlying newspaper archive had to be changed…”

Een ander probleem waar de auteur van het artikel Forget me, forget me not (Sobkow, 2017) op ingaat is dat er geen algemene lijst van criteria bestaat aan de hand waarvan een verzoek kan worden beoordeeld. De Article 29 Data protection Working party heeft een lijst voorgesteld. Deze criteria zijn echter vaag en subjectief.

Een derde probleem is dat beslissingen omtrent verwijdering van zoekresultaten genomen worden door commerciële partijen. Deze partijen hebben geen ervaring met democratisch toezicht en het wegen van fundamentele rechten. In combinatie met het ontbreken van duidelijke criteria is dit zorgwekkend. Het is mogelijk dat organisaties zoals Google ook met het oog op boetes, verzoeken tot verwijdering te snel zullen inwilligen. In ieder geval is nu niet duidelijk op basis waarvan zij een verzoek inwilligen (Sobkow, 2017).

In mei 2014 heeft Google een formulier ontworpen waarmee Europeanen een verzoek om

verwijdering van internetzoekresulaten (op hun naam) konden indienen. Gedurende een periode van 20 maanden heeft Google 367.463 verzoeken ontvangen en 1.3 miljoen URL’s gereviewed. Volgens hun ‘Transparency report van 2016’ heeft Google 42,3% van de URL’s verwijderd. (Youm & Park, 2016).

In het artikel ‘Het Internetvergeetrecht’ (Zwenne, 2015) stelt de auteur dat het door het Hof erkende vergeetrecht van belang is voor sociale netwerken als Google+, Twitter en LinkedIn, voor Wikipedia en YouTube en voor gespecialiseerde webanalyse-dienstverleners als Coosto en newsaggregators. Hij geeft aan dat het veel minder voor de hand ligt dat er ook gebruik kan worden gemaakt buiten de context van het internet. Het belang dat het Hof wil beschermen is het belang dat betrokkenen ertegen worden beschermd dat anderen via internet zomaar kunnen kennisnemen van de hen betreffende persoonsgegevens. Hij vindt het daarom beter om het vergeetrecht uit het arrest aan te duiden als ‘internetvergeetrecht’: ‘Het is geen algemeen vergeetrecht, waarvan ook gebruik kan worden gemaakt in andere contexten dan die van internet, zoals het veelbesproken vergeetrecht

voorgesteld in de verschillenden ontwerpversies van de Algemene Verordening Gegevensbescherming.’

De paragrafen 3.5 tot en met 3.8 gaan in op het vergeetrecht in de AVG.

3.5

Het Recht op gegevenswissing en Recht op vergetelheid in de AVG

3.5.1 Wanneer kan een betrokkene hiervan gebruik maken?

Artikel 17 lid 1 geeft aan in welke situaties een betrokkene gebruik kan maken van dit recht: a) De persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of

anderszins verwerkt. Dit is bijvoorbeeld na afloop van een transactie. Iemand bestelt iets in een webshop en verstrekt hiervoor zijn persoonsgegevens. Na afloop van de transactie kan

verwijdering van deze gegevens plaatsvinden.

b) De betrokkene trekt zijn toestemming in en er is geen andere rechtsgrond voor de verwerking. Als er nog wel een andere rechtsgrond voor verwerking bestaat dan kan de

verwerkingsverantwoordelijke het verzoek weigeren.

c) De betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2.

Het zou dan bijvoorbeeld kunnen gaan om een telecom- en internetaanbieder die gegevens over het betaalgedrag van abonnees verwerkt bij beslissingen over nieuwe abonnementen die deze abonnees willen aangaan. De grondslag van deze gegevensverwerking zal een gerechtvaardigd belang van deze aanbieder zijn. Dat betekent dat abonnees (natuurlijke personen) daartegen bezwaar kunnen maken op gronden die verband houden met hun bijzondere situatie. Als de aanbieder aan dit bezwaar tegemoetkomt of moet komen, kan de abonnee om verwijdering van gegevens verzoeken (Zwenne, 2012).

d) De persoonsgegevens zijn onrechtmatig verwerkt.

e) De persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijk recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust. De persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1. Dit houdt in dat persoonsgegevens zijn verzameld in verband met een rechtstreeks aanbod van internetdiensten aan een kind.

In de gevallen a, d en e moeten de persoonsgegevens hoe dan ook gewist worden. Hieraan zou geen verzoek van een betrokkene aan ten grondslag moeten liggen. De Verwerkingsverantwoordelijke zou de gegevens uit eigen beweging moeten wissen.

3.5.2 Wanneer kan een betrokkene geen gebruik maken van dit recht?

Artikel 17 vermeldt tevens situaties waarin verwijdering niet mogelijk is.

a) Dit is het geval als de verwijdering de vrijheid van meningsuiting en informatie aantast. Artikel 85 is dan van toepassing. Lidstaten mogen in hun nationale wetgeving afwijken hiervan, voor zover het gaat om de verwerking van persoonsgegevens voor uitsluitend journalistieke of voor artistieke en literaire doeleinden. De gegevensverwerkingen door nieuwssites zoals die van Volkskrant, NRC en NU.nl vallen daarmee al snel buiten de werking van het vergeetrecht. Voor uitingen op sociale media, videosites etc. is dit minder duidelijk. Er kan van degenen die informatie over natuurlijke personen openbaar maken en van

degenen die dit mogelijk maken, verlangd worden dat ze aangeven waarom dit noodzakelijk is. Veel zal afhangen van de criteria die de verschillende lidstaten hiervoor zullen ontwikkelen en vanwege de verschillen in opvatting over privacy zal in de ene lidstaat meer mogelijk zijn dan in de andere (Zwenne, 2012).

b) De belangen van de volksgezondheid in het geding zijn. Het gaat hierbij om

gegevensverwerkingen die nodig zijn om redenen van openbaar belang op het gebied van de volksgezondheid, bijvoorbeeld om ernstige grensoverschrijdende bedreigingen van de gezondheid of het garanderen van de kwaliteits- en veiligheidsnormen voor geneesmiddelen en medische hulpmiddelen (Zwenne, 2012).

c) Data bewaard moet blijven voor historische, statistische of wetenschappelijke doeleinden. Er moet dan wel aan twee voorwaarden zijn voldaan. In de eerste plaats mogen de doeleinden niet op een andere manier (zonder persoonsgegevens) kunnen worden bereikt. Verder wordt geëist dat de persoonsgegevens waarmee de betrokkene kan worden geïdentificeerd zoveel mogelijk gescheiden worden bewaard van andere informatie. Gebruik van persoonsgegevens in publicaties van onderzoeksresultaten mag alleen met toestemming van de betrokkene of als de betrokkene de gegevens zelf heeft bekend gemaakt, anders is dit alleen toegestaan als dat nodig is om de onderzoeksresultaten te presenteren of onderzoek te vergemakkelijken. Er moet dan een belangenafweging plaatsvinden waarin de belangen van de betrokkenen worden afgewogen tegen die bij de publicatie van hun gegevens (Zwenne, 2012).

d) De persoonsgegevens nodig zijn om te voldoen aan een verwerkingsverplichting vastgelegd in Unierecht of lidstatelijk recht en wanneer ze nodig zijn voor de instelling, onderbouwing of uitoefening van een rechtsvordering.

3.6

Andere artikelen in AVG van belang voor gegevenswissing/recht op vergetelheid

Artikel 12 geeft aan hoe de communicatie met de betrokkenen moet verlopen: in begrijpelijke taal en schriftelijk of mondeling. Mondeling is alleen toegestaan als de identiteit van de betrokkene ‘met andere middelen bewezen is’. Een verwerkingsverantwoordelijke mag een verzoek niet weigeren, alleen als hij niet in staat is om de identiteit vast te stellen is dit mogelijk. Verder gaat het artikel in op de termijn waarin aan een verzoek moet worden voldaan (één maand en twee maanden

verlenging mogelijk). De organisatie moet de gevraagde informatie gratis verstrekken; alleen als een verzoek ‘kennelijk ongegrond’ of buitensporig is, dan is het mogelijk om hiervoor een bedrag in rekening te brengen of om het verzoek te weigeren. De organisatie moet dit dan wel aantonen. Volgens artikel 19 Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking, moet een organisatie iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis stellen van elke wissing van persoonsgegevens, behalve als dit niet mogelijk is of ‘onevenredig veel inspanning vergt’. Als de betrokkene erom vraagt dan verstrekt de organisatie informatie over deze ontvangers.

Naast artikelen bevat de AVG overwegingen, een soort toelichtingen op de artikelen. Hiervan zijn met name de overwegingen 59, 65, 66 van belang. Overweging 59 stelt dat er regelingen moeten zijn om de betrokkene in staat te stellen zijn rechten uit te oefenen, waaronder het recht op

gegevenswissing. De verwerkingsverantwoordelijke moet mogelijk maken dat dit gratis kan en moet faciliteren dat verzoeken elektronisch ingediend kunnen worden.

In Overweging 65 wordt duidelijk aangegeven dat bij gegevenswissing de positie van een kind belangrijk is, aangezien een kind nog niet goed op de hoogte kan zijn van de verwerkingsrisico’s van een handeling. Het is mogelijk dat hij niet overziet dat internet niet snel vergeet.

Overweging 66 bepaalt dat wanneer een verwerkingsverantwoordelijke persoonsgegevens

openbaar heeft gemaakt hij anderen die deze gegevens verwerken op de hoogte dient te stellen van een verzoek om gegevenswissing.

3.7

_{Tot slot}

In de AVG zijn het recht op gegevenswissing en het recht op vergetelheid verder uitgebreid ten opzichte van voorgaande wetgeving. Bij het recht op gegevenswissing gaat het er vooral om de macht tussen verwerkers en betrokkenen beter te verdelen. Bij het recht op vergetelheid gaat het om bescherming van de reputatie van een individu: voorkomen dat mensen tot in lengte van dagen geconfronteerd worden met hun verleden. De inmiddels klassiek Costeja-zaak was een voorbeeld van dit recht op vergetelheid. Hierbij was bijzonder dat het Hof vond dat Google onder het vergeetrecht viel en aangaf dat Google moest overgaan tot het verwijderen van links naar zoekresultaten. Het resultaat van de Costeja-zaak was een discussie over het recht op privacy in relatie tot de vrijheid van expressie. De Europese Commissie geeft aan dat er een ‘fair balance’ tussen deze rechten zal moeten zijn.

Vervolgens is ingegaan op het recht op gegevenswissing en recht op vergetelheid in de AVG. Dit bestond uit bespreking van de condities in artikel 17 waaronder wissing wel en niet kan plaatsvinden. In een aantal gevallen zal een organisatie zelf moeten overgaan tot verwijderen van gegevens en niet wachten op een verzoek van een betrokkene.

Tenslotte zijn artikel 12 over transparante informatie en communicatie en artikel 19 inzake de kennisgevingsplicht en de relevante overwegingen aan de orde geweest, evenals de overwegingen 59, 65 en 66.

4

_{Rol en verantwoordelijkheid van de verwerkingsverantwoordelijke}

en verwerker

4.1

Inleiding

Dit hoofdstuk gaat nader in op deelvraag 3: Wat zijn de rollen en verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker en wat is de relatie tussen beide.

Dit hoofdstuk is gebaseerd op de tekst van de AVG en op de Handleiding Algemene verordening gegevensbescherming en uitvoeringswet Algemene verordening gegevensbescherming van het ministerie van justitie (Schermer et al., 2017).

4.2

_Definities

Bij de verwerking van persoonsgegevens zijn drie verschillende rollen betrokken, waarvan onderstaande definiëring afkomstig is uit de AVG:

1. De verwerkingsverantwoordelijke: een natuurlijk persoon of rechtspersoon, een

overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijk recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

2. De verwerker: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat voor de verwerkingsverantwoordelijke gegevens verwerkt. 3. De betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon.

4.3

Rollen en relatie

In de AVG hebben verwerkingsverantwoordelijke en verwerker een aantal specifieke taken en verantwoordelijkheden toebedeeld gekregen.

4.3.1 Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is eindverantwoordelijk voor de verwerking. Hij heeft vanuit de AVG een aantal verplichtingen.

Hij heeft de verplichting om de gegevenshuishouding goed in te richten. Aspecten die hierbij een rol spelen zijn een adequate beveiliging van persoonsgegevens, het uitvoeren van zogenoemde

gegevensbeschermingseffectbeoordelingen als een verwerking een groot risico kan inhouden voor ‘de rechten en vrijheden van natuurlijke personen’ en de concepten ‘Privacy by design’ en ‘Privacy by default’ toepassen. Daarnaast moet de verwerkingsverantwoordelijke voldoen aan de rechten van betrokkenen. Dit houdt in het op verzoek verstrekken van informatie, rectificeren van gegevens, staken van de verwerking, wissen van gegevens en overdracht van gegevens (dataportabiliteit). De verwerkingsverantwoordelijkhede moet datalekken melden: deze verplichting bestond ook al in de Wet Bescherming Persoonsgegevens (Wbp), maar in de AVG ligt de nadruk op melding aan de betrokkene in plaats van aan de toezichthouder. De verwerkingsverantwoordelijke moet

verantwoording kunnen afleggen of en hoe hij aan bovenstaande verplichtingen heeft voldaan. De verwerkingsverantwoordelijke neemt een Functionaris Gegevensbescherming (FG) in dienst als de verwerkingsverantwoordelijke een overheids- of bestuursorgaan is of een particuliere onderneming die persoonsgegevens verwerkt die qua omvang en gevoeligheid aan bepaalde kenmerken voldoet.

4.3.2 Verwerker

De verwerker verwerkt persoonsgegevens in opdracht van de verwerkingsverantwoordelijke. Hij verwerkt de gegevens uitsluitend op basis van schriftelijke instructies van de

verwerkingsverantwoordelijke. Hij moet zorgen voor maatregelen om de verwerking adequaat te beveiligen (overeenkomstig artikel 32 uit de AVG). Datalekken dient hij te melden aan de

gegevensverantwoordelijke. Hij heeft geen zelfstandige meldplicht. De verwerker moet de

verwerkingsverantwoordelijke helpen bij het nakomen van zijn verplichtingen (zie boven) en als dit nodig is hiervoor technische en organisatorische maatregelen treffen. Na afloop van de

verwerkingsdiensten moet de verwerker op verzoek van de verwerkingsverantwoordelijke of alle persoonsgegevens wissen of ze terugbezorgen aan de verwerkingsverantwoordelijke en kopieën verwijderen. De verwerker moet informatie aan de verwerkingsverantwoordelijke geven waarmee vastgesteld kan worden dat hij voldoet aan zijn verplichtingen (volgens artikel 28). Daarnaast moet hij audits en controles namens de verwerkingsverantwoordelijke toestaan.

4.3.3 Relatie tussen verwerkingsverantwoordelijke en verwerker

Artikel 28 van de AVG regelt de relatie tussen de verwerkingsverantwoordelijke en de verwerker. Een verwerkingsverantwoordelijke moet een verwerker kiezen die afdoende technische en

organisatorische maatregelen heeft genomen, zodat aan de bepalingen van de AVG voldaan kan worden. Daarnaast dient een overeenkomst te zijn opgesteld tussen de verantwoordelijke en de verwerker waarin de verwerking geregeld wordt..

4.4

Tot slot

In dit hoofdstuk zijn de taken en verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker aan de orde gekomen. De verwerkingsverantwoordelijke gaat na of de verwerking volgens de AVG rechtmatig is. Daarnaast dient hij de rechten van betrokkenen te respecteren en heeft hij de verantwoordingsplicht voor de verwerking.

Het recht op gegevenswissing is een van de rechten van de betrokkene en een betrokkene zal zich dus in eerste instantie tot de verwerkingsverantwoordelijke moeten wenden.

De verwerker assisteert de verwerkingsverantwoordelijke bij het nakomen van zijn verplichtingen, zorgt voor een adequate informatiebeveiliging en voldoet aan de verplichting voor het vastleggen van verwerkingen in een register.

De AVG schrijft voor dat de verwerker en verwerkingsverantwoordelijke een overeenkomst opstellen met daarin een aantal verplichte elementen.

5.

_{Welke beheersingsmaatregelen invoeren?}

5.1

Inleiding

Het onderwerp van dit hoofdstuk is deelvraag 4: Welke maatregelen kan een organisatie nemen voor het recht op gegevenswissing en recht op vergetelheid? Om een goede set aan maatregelen te verkrijgen is gebruik gemaakt van het COSO-model. Paragraaf 5.2 gaat kort in op het COSO-model. Paragraaf 5.3 bespreekt de factoren die in de beheeromgeving spelen. In paragraaf 5.4. en 5.5 staan de doelen en risico’s centraal. Paragraaf 5.6 gaat in op de beheersmaatregelen. De paragrafen 5.7 en 5.8 bespreken de rapportages en de monitoring.

5.2

COSO

Voor een analyse van de te nemen maatregelen door een organisatie om het recht van

gegevenswissing goed te regelen is gebruik gemaakt van het COSO-model12_{. Met het COSO-model is}

inrichting van de interne beheersing mogelijk. COSO definieert interne beheersing als volgt: ‘Internal control is a process, effected by an entity’s board of directors, management and other personnel designed to provide reasonable assurance regarding the achievements of objectives relating to operations, reporting and compliance’(COSO, 2013).

Voor het COSO model is gekozen omdat het een internationaal aanvaard raamwerk is voor interne beheersing. Daarnaast vanwege de bekendheid van COSO bij een breed publiek. Tenslotte vanwege het holistische karakter van het model. Het biedt de mogelijkheid om maatregelen te formuleren voor verschillende niveaus en activiteiten in een organisatie.

COSO onderscheidt de volgende niveaus: functie, afdeling (operating unit), divisie en entiteit. COSO onderscheidt drie doelstellingen (COSO, 2013):

• _{Een doelstelling gericht op de bedrijfsprocessen (operations) van een organisatie: het gaat} hierbij om de effectiviteit en efficiency van de activiteiten, inclusief operationele en financiële doelstellingen en het beschermen van middelen tegen verlies.

• _{Een doelstelling verwijzend naar de betrouwbaarheid, tijdigheid en transparantie van de} rapportages (intern en extern) van de entiteit.

• Een doelstelling gericht op het voldoen aan wet- en regelgeving (compliance).

COSO bestaat uit vijf componenten: beheeromgeving, risicobeoordeling, beheersmaatregelen, rapportage en informatie en monitoring. Binnen deze componenten onderscheidt COSO 17 principes. De paragrafen 5.3 tot en met 5.8 geven per COSO-component aan welke maatregelen een

organisatie zou kunnen nemen om het recht op gegevenswissing adequaat te regelen.

12 _{Voor dit onderzoek is gebruik gemaakt van het vernieuwde COSO-model uit 2013. Dit is gebaseerd op het oorspronkelijke}

model uit 1992. Er is gekozen voor het internal control model en niet voor het uitgebreidere ERM-model. Het ERM-model biedt een uitgebreidere mogelijkheid voor het uitvoeren van een risicoanalyse, wat voor dit onderzoek minder van belang is.

Per COSO principe (zie de gele kaders in de onderstaande paragrafen) is nagegaan wat dit betekent voor maatregelen voor gegevensbescherming in het algemeen en voor het recht op gegevenswissing en recht op vergetelheid in het bijzonder. Hierbij is gebruik gemaakt van algemene management literatuur: Grondslagen van het Management van Keuning & de Lange. De publicatie Respect 4U (Van Lieshout et al. , 2017) gaat in op een groot aantal maatregelen die een organisatie kan nemen. Hiervan is eveneens gebruik gemaakt. Voor paragraaf 5.6 is gebruik gemaakt van een position paper van de IIA wat het three lines of defense model toelicht (institute of Internal auditors, 2013). De wettekst van de AVG is ook zelf als bron gebruikt evenals de guidance die beschikbaar is op de website van de Autoriteit Persoonsgegevens (https://www.autoriteitpersoonsgegevens.nl/). Tenslotte is bij het samenstellen van de set van maatregelen ook gebruik gemaakt van eigen kennis en ervaring.

Centraal in mijn keuze voor maatregelen stond de relevantie voor het afhandelen van een verzoek om gegevenswissing / vergetelheid.

5.3

Beheeromgeving

COSO-principles:

1.The organization demonstrates a commitment to integrity and ethical values. 2. The board of directors demonstrates independence from management and exercises oversight of the

development and performance of internal control. 3. Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of

objectives. 4. The organization demonstrates a commitment to attract, develop, and retain

competent individuals in alignment with objectives. 5. The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives (COSO, 2013).

De Board of directors en het Senior management zetten de ‘tone at the top’ voor het belang van interne beheersing, waaronder verwachte gedragsnormen. Daarnaast zal de directie de

gedragscodes vaststellen en de naleving daarvan controleren (COSO, 2013). Integer gedrag van directie en werknemers is van groot belang voor de reputatie van een bedrijf. De publicatie Respect4U noemt eveneens aanvaarding van een Gedragscode door een organisatie als een belangrijke maatregel. Artikel 40 van de AVG gaat in op gedragscodes. Een branchevereniging kan een gedragscode opstellen en deze voorleggen aan de Autoriteit Persoonsgegevens. Aansluiten bij een gedragscode en de naleving ervan geeft de directie (en de toezichthouder) ook een goed beeld van de naleving van de vereisten van de AVG.

Daarnaast gaat Respect4U in op het uitvoeren van een ethische impact assessment. Een organisatie zou bij uitvoering hiervan specifieke aandacht moeten hebben voor de negatieve gevolgen van het verzamelen en verwerken van persoonsgegevens: in hoeverre kan er sprake zijn van onheuse bejegening, discriminatie, stigmatisering, uitsluiting? Is er sprake van het gebruik van gevoelige gegevens die tot extra aandacht nopen? (Van Lieshout et al., 2017). De AVG stelt het uitvoeren van zogenoemde Data Privacy Impact Assessments (DPIA’s) verplicht wanneer een gegevensverwerking ‘waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen’13_.

5.3.2 Toezicht door directie en raad van commissarissen

De directie en de raad van commissarissen houden toezicht op het correct functioneren van het geïmplementeerde privacybeleid. Deze verplichting staat ook omschreven in de AVG. Artikel 5.1 vermeldt de algemene beginselen voor verwerking van persoonsgegevens. Artikel 5.2 geeft vervolgens aan dat de verwerkingsverantwoordelijke verantwoordelijk is voor naleving ervan en in staat is de naleving aan te tonen. Deze verantwoordingsplicht of accountability is een belangrijk element van de AVG.

De Functionaris Gegevensbescherming (FG)14 _{heeft hierbij een belangrijke rol. Hij is verantwoordelijk}

voor het verstrekken van adviezen en het monitoren van tal van zaken zoals privacybeleid, privacy by design en default, uitbesteding en verzoeken van de toezichthouder. Hij zal hierover rapporteren aan de directie.

Certificering is ook een belangrijke maatregel die de directie kan nemen15_{. Hiermee kan zij aantonen}

dat zij aan bepaalde normen voldoet. Artikel 42 van de AVG gaat in op certificering. Hoofdstuk 6 De rol van de Internal auditor / IT auditor behandelt onder meer certificering.

Organisaties die het three lines of defense model hebben ingevoerd, steunen op de controles en monitoringactiviteiten die het lijnmanagement (1e _{lijn) en risicoafdelingen als Compliance en Risk}

management (2e _{lijn) uitvoeren. Daarnaast steunen zij op de resultaten van audits die de interne}

auditafdeling uitvoert (3e _{lijn). Om adequaat toezicht te kunnen houden zal het bestuur nagaan of}

het onderwerp voldoende terugkomt in controleprogramma’s en auditjaarplannen of ad hoc verzoeken doen voor inspecties en audits.

5.3.3 Structuur, autoriteit en verantwoordelijkheid.

Het bestuur van de organisatie stelt de organisatorische structuur vast en de verdeling van

bevoegdheden en verantwoordelijkheden (COSO, 2013). Voor de AVG houdt dit in dat zij vaststelt welke afdelingen en functies zich gaan bezighouden met de taken op het gebied van naleving van de AVG en wat hun bevoegdheden en verantwoordelijkheden zullen zijn. Het rapport Respect4U stelt

13 _{Artikel 35 AVG} 14