ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: onderdeel van onze dienstverlening is een website waar klanten zich kunnen registreren en aanvragen doen. Nu las ik dat je als natuurlijk persoon het recht hebt om verwijderd te worden uit databanken, dus ook uit de onze. Maar van de belastingwetgeving moeten wij de administratie bewaren, dus ook onze databank met klantgegevens en aanvragen/bestellingen. Welke wet wint er nu?
Antwoord: een persoon kan zich beroepen op de Wet bescherming persoonsgegevens (Wbp). Die wet geeft iedereen het recht om verwijdering of correctie van zijn persoonsgegevens te eisen (art. 36 Wbp).
Voor verwijdering moet het wel gaan om gegevens die "feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt." Oftewel, ze moeten niet meer nodig zijn.
Als er een wettelijke plicht is om zekere gegevens te bewaren (belastingtechnisch of anderszins) dan is er geen sprake van "niet ter zake dienend", ze dienen immers wél ter zake. Daarom is verwijderen niet meer toegestaan.
Sommige slimmeriken zeggen dan, ik trek mijn toestemming in (art. 8 sub a Wbp) zodat u geen grond meer heeft de gegevens te verwerken. Maar dat werkt niet. Toestemming is inderdaad een grond, maar als die wegvalt dan mág je de gegevens nog bewaren mits je een andere grond kunt aanwijzen die dat rechtvaardigt. En dat zou hier artikel 8 sub c zijn: "de gegevensverwerking [is] noodzakelijk om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is".
Die bewaarplicht betreft alle "boeken, bescheiden en andere gegevensdragers op zodanige wijze te bewaren, dat te allen tijde hun rechten en verplichtingen alsmede de voor de heffing van belasting overigens van belang zijnde gegevens hieruit duidelijk blijken." (Art. 52 Algemene wet inzake rijksbelastingen).
De verkoopadministratie valt hieronder. En dit kan behoorlijk diep gaan met wat je moet bewaren. Desondanks kan het goed zijn kritisch te kijken naar wat je allemaal bewaart, en of dat niet een onsje minder kan. Is de geboortedatum van de klant bijvoorbeeld echt nodig? Moet dat account er überhaupt nog zijn, of is een kopie van de facturen en verkoopoverzichten ook genoeg voor de Belastingdienst? Het geldt immers alleen voor gegevens die noodzakelijk zijn voor de belastingheffing.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.