anonym.legal
Terug naar BlogGDPR & Naleving

GDPR Recht op Vergetelheid in 2025: Wat de...

Het Gecoördineerde Handhavingskader van de EDPB in 2025 onderzocht de naleving van het recht op vergetelheid bij 32 AP's.

April 20, 20269 min lezen
GDPR right to erasureEDPB coordinated enforcement 2025Article 17 compliancedata minimizationanonymization vs deletion

De Handhaving Actie van de EDPB in 2025

De Handhaving Actie van het Europees Comité voor Gegevensbescherming (EDPB) in 2025 richtte zich op GDPR Artikel 17 — het recht op vergetelheid. Tweeëndertig Gegevensbeschermingsautoriteiten (AP's) in de EU en EEA onderzochten gelijktijdig hoe organisaties reageren op verzoeken om vergetelheid. De gecoördineerde aanpak was ontworpen om systematische tekortkomingen te identificeren in plaats van individuele uitzonderingsgevallen.

De bevindingen identificeerden zeven terugkerende nalevingsuitdagingen bij de onderzochte organisaties:

  1. Slecht gedocumenteerde interne procedures voor het verwerken van verzoeken om verwijdering
  2. Te brede afwijzing van legitieme verzoeken (het te breed toepassen van toegestane uitzonderingen)
  3. Onredelijke lasten voor individuen wanneer zij verzoeken om verwijdering indienen
  4. Onvermogen om alle persoonlijke gegevens in systemen te lokaliseren bij het verwerken van een verzoek om verwijdering
  5. Overmatige vertragingen bij het verwerken van verzoeken die de 30-dagenreactietermijn van de GDPR overschrijden
  6. Onvoldoende communicatie naar betrokkenen over de uitkomst van hun verzoeken
  7. Inefficiënte anonimiseringstechnieken gebruikt als alternatief voor verwijdering — specifiek gemarkeerd als organisaties die technisch defecte "anonimisering" gebruiken die gegevens re-identificeerbaar laat

Negen AP's startten formele onderzoeken op basis van de bevindingen van het CEF. De zevende terugkerende uitdaging — inefficiënte anonimisering — is direct relevant voor organisaties die anonimisering als hun primaire strategie voor gegevensminimalisatie gebruiken.

De Anonimisering als Alternatief voor Verwijdering

Het recht op vergetelheid volgens de GDPR vereist niet in alle gevallen verwijdering. Overweging 65 merkt op dat verwijdering kan worden bereikt door middel van anonimisering waar verwijdering technisch niet haalbaar is (bijvoorbeeld in back-up tapes of geïntegreerde analysesystemen waar het verwijderen van individuele records systeemherstructurering zou vereisen).

De bevindingen van het CEF van de EDPB geven aan dat dit alternatief wordt misbruikt: organisaties claimen "anonimisering" voor gegevenstransformatie die de gegevens technisch re-identificeerbaar laat — het gebruik van het woord om de operationele last van daadwerkelijke verwijdering te vermijden in plaats van het gegevensbeschermingsresultaat te bereiken dat anonimisering zou moeten bieden.

Het onderscheid dat de EDPB maakt: echte anonimisering — waarbij de link tussen de gegevens en het individu niet kan worden hersteld door enig middel dat beschikbaar is voor de gegevensbeheerder of een derde partij — verwijdert de gegevens uit de reikwijdte van de GDPR en voldoet aan het verzoek om verwijdering. Pseudonimisering — waarbij re-identificatie mogelijk is met de juiste sleutel — voldoet niet aan het verzoek om verwijdering; de persoonlijke gegevens van de betrokkene bestaan nog steeds en moeten worden verwijderd of de sleutel moet worden vernietigd.

Praktische Nalevingsstrategie

Voor organisaties die anonimisering gebruiken als alternatief voor verwijdering in analysesystemen:

De juiste architectuur scheidt gegevensinvoer (ruwe persoonlijke gegevens) van gegevensanalyse (geanonimiseerde afgeleiden). Persoonlijke gegevens in de invoerlaag zijn onderhevig aan verzoeken om verwijdering — wanneer een betrokkene zijn rechten uit Artikel 17 uitoefent, worden de persoonlijke gegevens in de invoerlaag verwijderd. De geanonimiseerde afgeleiden in de analyset laag — als de anonimisering uitgebreid en onomkeerbaar was — hoeven niet te worden gewijzigd omdat ze geen persoonlijke gegevens meer zijn.

Deze architectuur vereist dat de anonimisering op de grens tussen invoer en analyse technisch solide is: onomkeerbaar (geen tokenisatie), uitgebreid (alle identificatiecategorieën aangepakt), en gedocumenteerd (de organisatie kan aan een AP aantonen dat de anonimiseringstechniek voldoet aan de normen van de EDPB). Het retailbedrijf dat de aankoopgeschiedenis van klanten anonimiseert voordat het wordt verwerkt in analyses, waarbij namen en contactgegevens worden vervangen door tokens onder omkeerbare encryptie, heeft de gegevens gepseudonimiseerd (niet geanonimiseerd) — de analyset dataset bevat nog steeds persoonlijke gegevens die onderhevig zijn aan verzoeken om verwijdering.

Bronnen:

Gerelateerde Artikelen

GDPR & Naleving

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Naleving

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Naleving

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klaar om uw gegevens te beschermen?

Begin met het anonimiseren van PII met 285+ entiteitstypen in 48 talen.

Start Gratis ProefperiodeBekijk Kenmerken