Achtergrond
image

Juridische vraag: welke wet heeft voorrang bij het verwijderen van klantdata? De Wpb of de AWR?

woensdag 4 mei 2016, 13:17 door Arnoud Engelfriet, 4 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: onderdeel van onze dienstverlening is een website waar klanten zich kunnen registreren en aanvragen doen. Nu las ik dat je als natuurlijk persoon het recht hebt om verwijderd te worden uit databanken, dus ook uit de onze. Maar van de belastingwetgeving moeten wij de administratie bewaren, dus ook onze databank met klantgegevens en aanvragen/bestellingen. Welke wet wint er nu?

Antwoord: een persoon kan zich beroepen op de Wet bescherming persoonsgegevens (Wbp). Die wet geeft iedereen het recht om verwijdering of correctie van zijn persoonsgegevens te eisen (art. 36 Wbp).

Voor verwijdering moet het wel gaan om gegevens die "feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt." Oftewel, ze moeten niet meer nodig zijn.

Als er een wettelijke plicht is om zekere gegevens te bewaren (belastingtechnisch of anderszins) dan is er geen sprake van "niet ter zake dienend", ze dienen immers wél ter zake. Daarom is verwijderen niet meer toegestaan.

Sommige slimmeriken zeggen dan, ik trek mijn toestemming in (art. 8 sub a Wbp) zodat u geen grond meer heeft de gegevens te verwerken. Maar dat werkt niet. Toestemming is inderdaad een grond, maar als die wegvalt dan mág je de gegevens nog bewaren mits je een andere grond kunt aanwijzen die dat rechtvaardigt. En dat zou hier artikel 8 sub c zijn: "de gegevensverwerking [is] noodzakelijk om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is".

Die bewaarplicht betreft alle "boeken, bescheiden en andere gegevensdragers op zodanige wijze te bewaren, dat te allen tijde hun rechten en verplichtingen alsmede de voor de heffing van belasting overigens van belang zijnde gegevens hieruit duidelijk blijken." (Art. 52 Algemene wet inzake rijksbelastingen).

De verkoopadministratie valt hieronder. En dit kan behoorlijk diep gaan met wat je moet bewaren. Desondanks kan het goed zijn kritisch te kijken naar wat je allemaal bewaart, en of dat niet een onsje minder kan. Is de geboortedatum van de klant bijvoorbeeld echt nodig? Moet dat account er überhaupt nog zijn, of is een kopie van de facturen en verkoopoverzichten ook genoeg voor de Belastingdienst? Het geldt immers alleen voor gegevens die noodzakelijk zijn voor de belastingheffing.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (4)
05-05-2016, 19:20 door Anoniem
Desondanks kan het goed zijn kritisch te kijken naar wat je allemaal bewaart, en of dat niet een onsje minder kan.
Nogal een under-statement als het om gegevensverwerking gaat. Er valt niet serieus aan de wetgeving te voldoen als je vooraf niet weet wat je aan soorten gegevens gaat bewaren en met welk doel dat valt te rechtvaardigen. Hoe wil je anders bewijzen dat je aan je verplichtingen voldoet of rechten naleeft? Met de bewering dat je het niet in je opgekomen is dat je aan de wet moet voldoen? Dat je verwacht dat je softwareleverancier wel het beste weet wat jij nodig hebt voor een goede bedrijfsvoering? En wat doe je na het verlopen van de 7 jaar bewaartermijn voor de financiele administratie terwijl 3 jaar geleden een klant verzocht heeft om zijn persoonsgegevens te verwijderen? Hoop dat het wel goed komt is juridisch bespottelijk!
09-05-2016, 11:31 door Anoniem
Goed artikel, onderwerpen die ik me ook vaker afvraag. Daarnaast, als een klant een verzoek doet tot verwijdering en het bedrijf stemt daarmee in, hoe weet je dan als klant hoe volledig dit gebeurt? bij het aanmaken krijg je altijd een bevestiging, maar het verwijderen gebeurt m.i. veelal op goed vertrouwen... een vertrouwen dat niet voor de eerste keer kan worden misbruikt. Veel transparantie lijkt hier niet te zijn.

Wat mag je trouwens eisen bij bedrijven die offertes doen en in deze een hoop gegevens van je verzamelen? Bijv. een aannemer of Nuon die langs komt en een vrijblijvende offerte maakt, terwijl je uiteindelijk de offerte niet accepteert. Kan je daarop blind vertrouwen dat ze de gegevens verwijderen of moet je ook daar actief op zijn?
10-05-2016, 15:51 door Anoniem
Lang verhaal in het kort; AWR loopt ook al jaren achter en benadeelt de WPB. Dat benoemden experts nog maar sinds het begin, maar men had het alsnog nooit kunnen zien aankomen! (sarcasme)
13-05-2016, 14:45 door Anoniem
Door Anoniem: bij het aanmaken krijg je altijd een bevestiging, maar het verwijderen gebeurt m.i. veelal op goed vertrouwen... een vertrouwen dat niet voor de eerste keer kan worden misbruikt. Veel transparantie lijkt hier niet te zijn.

Ik heb ooit klantenservice werk gedaan, als wij persoonsgegevens moesten verwijderen van een klant, waren we alles kwijt, inclusief de correspondentie over het verwijderen van de gegevens. Bevestiging na verwijdering was daarom niet mogelijk, bevestiging voor het uitvoeren van de verwijdering wel.

Daarnaast is het niet te bewijzen dat iemands gegevens niet binnen het bedrijf bekend zijn, zonder toegang tot alle data van dat bedrijf. Het bevestigen van inschrijving is daarmee veel eenvoudiger.

Transparantie is een mooie wens, maar niet echt een optie zonder grove schending van de privacy van alle andere klanten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search