Het recht om te worden vergeten
De Algemene Verordening Gegevensbescherming (AVG) biedt burgers het recht om te worden vergeten. Burgers (bijvoorbeeld consumenten, abonnees) kunnen vanaf 25 mei 2018 bij een partij een verzoek indienen om te worden vergeten. Wat zijn de aandachtspunten bij een dergelijke vraag?
De casus
Als voorbeeld nemen we een website, waarop bedrijven hun producten of diensten kunnen aanbieden en geïnteresseerde consumenten zich kunnen registreren om regionale aanbiedingen van deze aanbieders te ontvangen (zoals bijvoorbeeld SocialDeal.nl op hoofdlijnen werkt). Om een match te kunnen maken zijn zowel van aanbieders als van consumenten de adresgegevens in het systeem opgeslagen en wordt bij inloggen het IP-adres en het type apparaat waarmee de gebruiker inlogt (laptop, smartphone), geregistreerd. Daarnaast is het voor een goede match belangrijk dat het systeem de leeftijdscategorie en een aantal voorkeuren van de consument kent. Deze worden deels door de gebruiker zelf aangegeven tijdens het aanmaken of beheren van zijn profiel (expliciet) of door het systeem afgeleid (impliciet). Het systeem houdt bij welke aanbiedingen de consument bekijkt. Tenslotte wordt iedere match geregistreerd, zodat in de toekomst vergelijkbare aanbiedingen kunnen worden aangeboden.
Benodigde voorzieningen
Het systeem achter de website bevat persoonsgegevens, namelijk de consumentengegevens (naam, adresgegevens, voorkeuren, et cetera). Daarmee is deze wettelijke verplichting van toepassing voor onze casus. De bedrijfsgegevens blijven buiten beschouwing. Immers, deze kunnen ook via andere kanalen gevonden worden, bijvoorbeeld via de afzonderlijke websites van de aanbieders.
Om in deze casus te voorzien in de wettelijke verplichting om gebruikers te kunnen vergeten, zijn een aantal voorzieningen noodzakelijk.
- Aannemend dat het systeem achter de website de mogelijkheid biedt om alle persoonsgegevens van een gebruiker te verzamelen, zodat deze verwijderd kunnen gaan worden, dan kunnen twee oplossingsrichtingen gevolgd worden om het daadwerkelijke "vergeten" uit te voeren. De eerste is het daadwerkelijk verwijderen van het gebruikersaccount met alle bijbehorende kenmerken. De andere richting bestaat uit het overschrijven van de gegevens van de gebruiker met een standaard waarde, bijvoorbeeld "XXX". Daar waar op databaseniveau specifieke of unieke waarden vereist worden (bijvoorbeeld voor de gebruikersnaam, die uit de aard der zaak uniek dient te zijn) dient dan een passende waarde gegenereerd te worden.
- De actie om de gebruiker te vergeten kunnen we achteraf niet meer melden aan de gebruiker; immers zijn gegevens, zoals zijn e-mailadres zijn niet meer beschikbaar. Indien een e-mail notificatie gewenst is, dient deze voorafgaand gegenereerd te worden.
- Na verwijdering van de gegevens dient het account van de gebruiker niet meer te werken. In de gebruikersregistratie dienen hiervoor voorzieningen ingebouwd te worden. Het mag niet mogelijk zijn na het deactiveren van het account dit opnieuw te activeren.
- Na verwijdering van de gegevens van de consument blijven mogelijk nog wel statistische gegevens achter (wanneer was de gebruiker ingelogd, welke aanbiedingen werden bekeken, welke matches zijn ontstaan). Na het verwijderen van de gebruikersgegevens mogen dergelijke statistische gegevens niet meer naar deze gebruiker zijn te herleiden. Bij het systeemontwerp dient hiermee dan ook expliciet rekening te worden gehouden. We spreken dan over een voorziening ter anonimisering van gegevens.
- Omdat we aantoonbaar gebruikers willen vergeten, is een goede registratie (logging) van verwijderacties noodzakelijk. Alleen zo kunnen we de gebruiker aannemelijk maken dat zijn gegevens daadwerkelijk zijn verwijderd. Dit soort logging biedt een "audit trail" van de verwijderactie. De vraag rijst hierbij: hoe lang kan een gebruiker nog om deze "audit trail" vragen - en hoe kan de beheerder van de website zeker weten dat deze "audit trail" wordt afgegeven aan de juiste persoon, omdat diens gegevens immers al uit het systeem zijn verwijderd?
- En nog een praktisch aspect voor beheerders: de back-ups van de databases die onder het systeem liggen, bevatten eveneens persoonsgegevens. Om te zorgen dat een gebruiker ook vergeten kan worden in de back-ups, mogen back-ups niet langer dan een bepaalde periode bewaard worden.
Er zijn natuurlijk nog veel meer aandachtspunten. Neem daarvoor contact met ons op.