Verzoek tot klantgegevens verwijderen: wat speelt (AVG)?
Klantgegevens verwijderen? De AVG geeft betrokkenen diverse rechten, waaronder het recht om vergeten of ‘gewist’ te worden. Stel, iemand belt, mailt of appt u en vraagt zijn gegevens uit uw bestanden en systemen te verwijderen. Wat betekent dat voor u?
Wanneer klantgegevens verwijderen?
U moet klantgegevens verwijderen (persoonsgegevens) als:
• deze niet meer nodig zijn voor de doelen waarvoor u de gegevens verwerkt;
• de betrokkene zijn eerder gegeven toestemming voor gebruik heeft ingetrokken;
• de betrokkene bezwaar maakt tegen het verwerken van zijn persoonsgegevens. Let op. Dit geldt alleen als het bezwaar gericht is tegen direct marketing. In andere gevallen moeten de belangen van de betrokkene zwaarder wegen dan het belang van uw organisatie;
• de verwerking onrechtmatig is (de wettelijke grondslag ontbreekt bijvoorbeeld);
• de bewaartermijn is verlopen.
En wanneer niet?
Soms hoeft u persoonsgegevens niet te verwijderen. Bijv. als de verwerking ervan noodzakelijk is voor de uitoefening van de vrijheid van meningsuiting en informatie of als het wettelijke verplicht is. Tip. De AVG kent ook een algemene uitzondering: het verzoek hoeft niet ingewilligd te worden als na belangenafweging blijkt dat de belangen van de organisatie zwaarder wegen dan het recht van de betrokkene.
Bestaande klanten
Als een bestaande klant u benaderd om zijn gegevens te wissen, is het allereerst van belang om zijn identiteit vast te stellen. Een telefoontje kan immers van iedereen afkomen. Dit kan bijv. door een e-mail of brief met een kopie van het legitimatiebewijs of inzage daarvan op kantoor.
Na ontvangst van het verzoek is het tijd om inzichtelijk te krijgen welke persoonsgegevens verwerkt worden door uw kantoor. Vallen de persoonsgegevens (of de verwerking hiervan) onder een van de hiervoor genoemde gronden? En zo ja, is er een uitzondering van toepassing? Veel gegevens worden bewaard in het kader van de Belastingwet en de Wwft vallen daarom onder de tweede uitzonderingsgrond. Gegevens die buiten de wettelijke verplichtingen vallen, moeten wel gewist of geanonimiseerd worden.
Potentiële klanten
Stel, u verwerkt persoonsgegevens van potentiële klanten om ze bijv. op de hoogte te stellen van nieuwe woningen die u in de verkoop heeft gekregen. Als u gevraagd wordt gegevens te verwijderen, zult u dat in de praktijk snel doen. Tenslotte verwerkt u deze gegevens (meestal) niet in het kader van een wettelijke verplichting. Gegeven toestemming zal bij een verzoek tot wissen vaak ingetrokken zijn of worden. Gegevens moeten dan gewist of geanonimiseerd worden. Let op. Dat geldt voor álle gegevens: gegevens in systemen, in de cloud en op papier. Denk dus aan uw mailingsysteem, uw lijst met contactpersonen, uw crm-systeem, uw boekhoudsysteem, enz.
Tot slot
Een verzoek tot wissen moet binnen één maand na indiening van het verzoek afgerond zijn. Bij zeer complexe zaken heeft u twee maanden de tijd, maar dit moet u binnen één maand gemotiveerd aan de betrokkene melden. Het is daarom zaak zo snel mogelijk met een verzoek te beginnen. Tip. Bij een bestaande klant zal het merendeel van de gegevens onder een wettelijke verplichting vallen. Bij potentiële klanten ligt dat vaak anders en moet er wel gewist of geanonimiseerd worden.