Vallen de gegevens van overleden personen onder de RGPD?
In principe niet!
Het principe is dat de gegevens van overleden personen niet onder de GDPR vallen, zoals staat in overweging 27: "Deze verordening is niet van toepassing op de persoonsgegevens van overleden personen. De lidstaten kunnen regels vaststellen voor de verwerking van persoonsgegevens van overleden personen".
Dit is een van de weinige punten in de RGPD die van land tot land kunnen verschillen. In de meeste landen is de GDPR niet van toepassing op de persoonsgegevens van een overledene, maar in geval van twijfel raden we je aan om dit punt te controleren met je nationale wetgeving. Sommige landen kennen namelijk rechten toe aan erfgenamen of zijn van mening dat de gegevens van de betrokken personen gedurende een bepaalde periode na hun overlijden onder de AVG vallen.
Moeten we de gegevens van overleden personen uit onze databases verwijderen?
Onder de GDPR zijn bedrijven wettelijk verplicht om hun gegevens up-to-date te houden, wat betekent dat in theorie gegevens van overleden personen moeten worden verwijderd.
Er zijn echter regels die vereisen dat gegevens na overlijden worden bewaard. Volgens de boekhoudwetgeving moeten bijvoorbeeld alle aankopen en betalingen gedurende de wettelijke bewaartermijn worden bewaard, zelfs als een klant is overleden.
Pas op voor de houdbaarheid!
De RGPD vereist dat gegevens niet langer worden bewaard dan noodzakelijk is, hetzij op grond van een wet of voorschrift, hetzij afhankelijk van het doel waarvoor de gegevens worden verwerkt.
In werkelijkheid zien we echter vaak dat de vernietiging van gegevens aan het einde van de levensduur nogal theoretisch is en dat er vaak geen systematisch mechanisme voor gegevensvernietiging is ingesteld.
Door de gegevens niet te vernietigen, nemen we een risico
Aangezien cybercriminaliteit een wijdverspreide plaag is, kunnen voor de verwerking verantwoordelijken aansprakelijk worden gesteld als persoonsgegevens van bijvoorbeeld overleden personen, die ze hadden moeten vernietigen, worden gestolen en verspreid.
Conclusie: gegevens aan het einde van de levensduur bewaken
Als gegevensbeheerder of onderaannemer bent u verantwoordelijk voor het beheer van de bewaartermijnen van gegevens, met name van overleden personen.
Weet je zeker dat je een mechanisme hebt voor het vernietigen van gegevens aan het einde van de levensduur?
Wil je meer weten?
Bent u op zoek naar een kant-en-klare oplossing voor uw RGPD-beheer?
Neem contact met ons op voor meer informatie over onze oplossing en de toepassingen ervan.
