Veel organisaties denken dat ze pas gegevens hoeven te verwijderen als iemand daar expliciet om vraagt. Maar onder de AVG is gegevensverwijdering geen reactieve stap, maar een ingebouwde verplichting. En dat vraagt om actie.
Persoonsgegevens verwijderen onder de AVG: het is niet optioneel
Je mag persoonsgegevens alleen bewaren zolang dat écht nodig is. Zodra het doel waarvoor je de gegevens hebt verzameld is vervuld, of als blijkt dat je de gegevens niet langer gebruikt, moet je ze verwijderen.
Je hebt geen formeel verwijderingsverzoek nodig. De AVG verplicht je zelfs om hier proactief op te handelen. Het monitoren en verwijderen van onnodige persoonsgegevens is een basisverplichting voor elke organisatie.
Wanneer moet je gegevens verwijderen?
Zodra je weet dat persoonsgegevens niet meer worden gebruikt of nodig zijn, verwacht de AVG dat je actie onderneemt. In de praktijk betekent dit bijvoorbeeld:
- Sollicitaties worden verwijderd zodra ze niet meer gekoppeld zijn aan een actuele vacature.
- Camerabeelden worden gewist na de standaard bewaartermijn, tenzij er sprake is van een incident.
- Inactieve klantgegevens worden verwijderd zodra ze niet meer nodig zijn voor support, facturatie of opvolging.
Dus bewaar nooit meer dan je gebruikt, en nooit langer dan nodig is.
Ja, er zijn uitzonderingen, maar die zijn beperkt
In sommige gevallen verplicht de wet je om bepaalde gegevens te bewaren, zoals financiële gegevens of juridische documenten. Maar deze uitzonderingen zijn duidelijk omschreven. Voor de meeste persoonsgegevens gelden de verwijderregels van de AVG zodra de gegevens niet langer relevant zijn.
Proactieve naleving betekent: niet afwachten
Persoonsgegevens verwijderen onder de AVG betekent niet dat je wacht tot de bewaartermijn afloopt. Het draait erom dat je regelmatig controleert of de gegevens die je hebt nog steeds kloppen en relevant zijn.
Dat betekent dat:
- Regelmatig controleert of gegevens nog actueel zijn
- Verouderde gegevens bijwerkt of corrigeert
- En gegevens verwijdert die je niet meer nodig hebt – zelfs vóórdat daar formeel om wordt gevraagd
Zelfs als je wettelijk gezien bepaalde gegevens langer mag bewaren, verplicht de AVG je om te toetsen of er nog een legitiem doel is. Is dat er niet (meer), dan moet je de gegevens wissen.
Wat moet jouw organisatie regelen?
Om AVG-compliant te blijven, zou elke organisatie het volgende moeten doen:
- In kaart brengen welke persoonsgegevens worden opgeslagen, waarom en hoelang
- Bewaartermijnen per gegevenscategorie vaststellen
- Regelmatig controleren of gegevens nog juist en relevant zijn
- Periodieke opschoning plannen, niet alleen reageren op verzoeken
- Procedures opzetten om verwijderverzoeken efficiënt af te handelen
Het verwijderen van persoonsgegevens onder de AVG is meer dan een vinkje zetten. Het draait om vertrouwen opbouwen, risico’s beheren en zorgvuldig omgaan met informatie. ook als niemand kijkt.
RealCob helpt je controle te houden
Handmatig data opschonen kost tijd en wordt snel over het hoofd gezien. RealCob geeft je direct inzicht in welke persoonsgegevens je organisatie bewaart, hoelang dat gebeurt en welke data verwijderd moeten worden.