Roos, een masterstudent psychologie, begint over een aantal weken aan haar laatste vakken. Zoals iedere student weet, zijn de voorgeschreven studieboeken niet goedkoop. Roos koopt de voorgeschreven literatuur dan ook vaak tweedehands, leent het van vrienden of gaat een middag in de bibliotheek zitten om zich zo voor te bereiden. In haar eerste bachelorjaar bestelde Roos haar boeken bij Bookshop, een online boekenwinkel. Ze kreeg dan een nieuw studieboek thuisgestuurd. Toen ze er achter kwam dat ze ook op andere manieren aan de studieboeken kon komen, is ze gestopt met het bestellen bij de online boekenwinkel en heeft ze haar account daar verwijderd.
Aangezien Roos bij het bestellen van haar studieboeken veel persoonlijke informatie aan Bookshop heeft moeten geven, vraagt zij zich af of zij haar gegevens nog bewaren en, zo ja, wat zij er dan mogelijk mee doen.
Persoonsgegevens verwerken
Zoals gezegd heeft Roos bij het bestellen van haar studieboeken persoonlijke informatie moeten opgeven. Bookshop moet namelijk weten wie de bestelling doet, naar welk adres de studieboeken verzonden moeten worden en welke postcode bij dat adres hoort. Deze gegevens zijn stukjes informatie die over Roos gaan of stukjes informatie die naar Roos te herleiden zijn. Deze gegevens worden daarom ook persoonsgegevens genoemd.
Bedrijven ontkomen er niet aan om persoonsgegevens van hun klanten te gebruiken om bijvoorbeeld goederen te leveren of facturen te kunnen sturen. Alles wat een bedrijf met persoonsgegevens doet, wordt verwerken genoemd. Dit omvat onder andere in het opslaan, verzamelen en raadplegen van persoonsgegevens. Bookshop mag niet zomaar persoonsgegevens verwerken, omdat de wet dat moet toestaan. In de Algemene verordening gegevensbescherming (AVG) is bepaald wanneer een bedrijf persoonsgegevens mag verwerken. Dat is bijvoorbeeld het geval als Bookshop toestemming van Roos heeft gekregen om haar persoonsgegevens te verwerken. Bookshop mag Roos’ haar persoonsgegevens ook verwerken als dat nodig is om de koopovereenkomst van studieboeken uit te voeren. Als Bookshop niet meer aan de voorwaarden voldoet die uit de AVG volgen, dan mag zij geen persoonsgegevens verwerken.
Hoewel Roos haar account bij Bookshop heeft verwijderd, is zij er niet gerust op dat Bookshop haar persoonsgegevens niet meer verwerkt. Om haar onzekerheid weg te nemen, kan Roos gebruikmaken van haar inzagerecht en het recht op vergetelheid.
Inzagerecht
Roos wil graag weten of haar gegevens nog in de systemen van Bookshop voorkomen. Om daar achter te komen, kan ze, zoals gezegd, gebruikmaken van haar inzagerecht. Het inzagerecht is in de AVG opgenomen, zodat je kan achterhalen of een bedrijf persoonsgegevens van jou verwerkt. Als blijkt dat Bookshop Roos’ gegevens nog steeds in hun systemen heeft staan, kan ze op basis van het inzagerecht verzoeken om de gegevens in te zien. Daarnaast kan ze ook aanvullende informatie vragen, bijvoorbeeld hoelang Bookshop de persoonsgegevens van haar wil bewaren of voor welk doel Bookshop haar persoonsgegevens heeft verzameld. Roos hoeft haar inzageverzoek niet te onderbouwen. Dit betekent dat ze niet hoeft uit te leggen waarom ze gebruik wil maken van haar inzagerecht. Daarop dient Bookshop gehoor te geven aan haar verzoek.
Recht op vergetelheid
Naar aanleiding van het verzoek van Roos blijkt dat Bookshop nog steeds persoonsgegevens van haar verwerkt, ondanks dat ze haar account heeft verwijderd. Roos is hier niet blij mee en wil dat Bookshop stopt met het verwerken van haar persoonsgegevens. Om het verwerken van haar persoonsgegevens te beëindigen doet Roos een beroep op het recht om vergeten te worden. Wanneer Roos een dergelijk verzoek doet, is Bookshop verplicht hieraan mee te werken als de verwerking in strijd is met de wet. Dat is bijvoorbeeld het geval als Roos haar toestemming voor het verwerken van haar persoonsgegevens intrekt of wanneer de persoonsgegevens niet meer nodig zijn voor het doel waarvoor ze verzameld zijn.
Roos heeft haar account verwijderd. Dit betekent dat Roos niet meer wil dat Bookshop haar persoonsgegevens verwerkt. Daarmee vervalt de wettelijke basis voor Bookshop waarop zij Roos’ persoonsgegevens mogen verwerken en dient Bookshop mee te werken aan het verzoek van Roos om haar persoonsgegevens te verwijderen uit haar systemen.
Conclusie
Persoonsgegevens zijn gegevens van individuele personen of gegevens die herleidbaar zijn naar individuele personen. Wil een bedrijf persoonsgegevens verwerken, dan zal het daarvoor een wettelijke basis moeten hebben. Als die wettelijke basis er niet of niet meer is, dan mag een bedrijf geen persoonsgegevens verwerken. Wanneer iemand wil weten of een bedrijf persoonsgegevens verwerkt, kan diegene een inzageverzoek bij het bedrijf indienen. Het bedrijf moet vervolgens aangeven of er persoonsgegevens worden verwerkt, en zo ja, welke. Wanneer iemand niet langer wenst dat een bedrijf zijn persoonsgegevens verwerkt, heeft diegene het recht om vergeten te worden. Als een dergelijk ‘vergeetverzoek’ wordt ingediend, moet het bedrijf de persoonsgegevens verwijderen. Nu Roos weer zelf de controle in handen heeft over haar persoonsgegevens kan ze zich weer vol storten op haar laatste vakken.
Auteur: Carlo Olde Hanhof