AVG en GDPR verzoeken indienen

Wat moet een bedrijf doen na jouw AVG verwijderverzoek?

Femke de Vries Femke de Vries
· · 8 min leestijd

Je hebt de knoop doorgehakt. Je stuurt een e-mail naar dat ene bedrijf: "Verwijder al mijn gegevens." Je voelt je een soort digitale held die zijn privacy terugneemt.

Inhoudsopgave
  1. De wettelijke plicht: het recht op vergetelheid
  2. Stap 1: Het bedrijf ontvangt en beoordeelt je verzoek
  3. Stap 2: Niet altijd álles kwijt
  4. Stap 3: De reactietijd: hoe snel moet het?
  5. Stap 4: De daadwerkelijke verwijdering
  6. Stap 5: De bevestiging
  7. Wat als het bedrijf niets doet?
  8. Praktische tips voor jouw verzoek
  9. Veelgestelde vragen

Maar wat gebeurt er daarna eigenlijk? Hoofdje erbij houden, want een bedrijf mag niet zomaar alles in de prullenbak mikken of juist negeren. Er staan strenge regels op het spel, en die regels zijn er om jou te beschermen. Laten we eens kijken wat er in de keuken van een bedrijf gebeurt zodra jouw verzoek om gegevenswissing binnenkomt.

De wettelijke plicht: het recht op vergetelheid

Stel je voor: je bent uitgekeken op een datingapp of een webshop waar je ooit een account aanmaakte. Je wilt niet meer dat ze je gegevens hebben.

Onder de AVG (Algemene Verordening Gegevensbescherming) heb je dan het zogenaamde 'recht op vergetelheid'. Dit betekent simpelweg dat een organisatie jouw persoonsgegevens moet verwijderen als ze geen goede reden meer hebben om ze te bewaren. Een bedrijf kan niet zeggen: "Ach, we laten het wel even staan voor de statistieken." Nee, als jij vraagt om verwijdering, moeten ze actie ondernemen.

Het is niet vrijblijvend. Het is een wettelijke verplichting.

Als je minderjarig bent – onder de 16 jaar – en je gegevens staan online via een app of website, dan moet het bedrijf eigenlijk altijd gehoorzamen als jij om verwijdering vraagt. Zonder gedoe.

Stap 1: Het bedrijf ontvangt en beoordeelt je verzoek

Zodra jij die e-mail verstuurt of het contactformulier invult, start de stopwatch. Een bedrijf moet jouw verzoek serieus nemen. Ze mogen het niet zomaar naast zich neerleggen.

Eerst checken ze: is deze persoon wie hij zegt te zijn? Om misbruik te voorkomen, mag een bedrijf vragen om identificatie.

De uitzonderingen: wanneer mag een bedrijf nee zeggen?

Maar let op: ze mogen niet eisen dat je een paspoortupload stuurt als dat niet nodig is. Een simpele check via je account of een bevestigingsmail volstaat meestal.

Daarnaast beoordeelt het bedrijf of er sprake is van een 'goede reden' om je gegevens te houden. Soms mag een bedrijf nee zeggen. Bijvoorbeeld als ze de gegevens nog nodig hebben voor een wettelijke verplichting, zoals belastingaangifte, of als er een lopende rechtszaak is. Maar verder?

  • Er een wettelijke plicht is om ze te bewaren (denk aan 7 jaar fiscale gegevens).
  • Er een gerechtvaardigd belang is, zoals het beschermen van de rechten van anderen.
  • Je een contract hebt nog niet is afgelopen.

Wegwezen met die data. Hoewel het recht op vergetelheid sterk is, kent het grenzen.

Een bedrijf mag jouw gegevens bewaren als: In die gevallen verwijdert het bedrijf alleen de gegevens die niet onder die uitzondering vallen. Dat brengt ons bij een belangrijk punt.

Stap 2: Niet altijd álles kwijt

Dit is een valkuil waar veel consumenten intrappen. Je vraagt om verwijdering, maar het bedrijf zegt: "We verwijderen je account, maar we bewaren wel je e-mailadres op een zwarte lijst om te voorkomen dat je je opnieuw aanmeldt." Of: "We anonimiseren je aankoopgeschiedenis voor interne statistieken."

Mag dat? Ja, soms wel. Als de gegevens niet meer tot jou herleidbaar zijn (geanonimiseerd), tellen ze niet meer als persoonsgegevens.

En als ze een gerechtvaardigd belang hebben om jouw e-mailadres te bewaren (om fraude te voorkomen), mogen ze dat doen. Een bedrijf moet je wel duidelijk uitleggen wat ze precies verwijderen en wat ze eventueel bewaren en waarom. Transparantie is key.

Stap 3: De reactietijd: hoe snel moet het?

Geen eindeloos wachten. De AVG schrijft een strakke deadline voor.

Een bedrijf moet jouw verzoek binnen een maand afhandelen. Dertig dagen, niet meer. Als het ingewikkeld ligt of als je heel veel verzoeken tegelijk doet, mogen ze die termijn met nog eens twee maanden verlengen.

Maar ze moeten je daar wel over informeren vóór die eerste maand om is.

Stilte van het bedrijf? Dan is het antwoord helaas 'nee', tenzij ze een geldige reden hebben om langer te doen. Maar meestal verwachten ze wel een actieve houding van jou.

Stap 4: De daadwerkelijke verwijdering

Als het bedrijf akkoord gaat, gebeurt er iets magisch: de data wordt gewist. Maar wat betekent 'wissen' precies?

Een bedrijf mag niet zomaar een bestand markeren als 'verborgen'. Nee, de gegevens moeten fysiek worden vernietigd of zodanig worden gewijzigd dat ze niet meer herstelbaar zijn. Dit geldt voor alle systemen.

Dus niet alleen in de hoofddatabase, maar ook in back-ups, logbestanden en bij derde partijen waarmee ze samenwerken.

Als ze jouw data hebben doorverkocht aan een marketingpartner, moeten ze ook die partner vragen om jouw gegevens te verwijderen. Een lastige klus, maar wel hun verantwoordelijkheid.

Stap 5: De bevestiging

Een bedrijf mag je niet in het ongewisse laten. Zodra ze je verzoek hebben verwerkt, moeten ze je laten weten dat je gegevens zijn verwijderd.

Of, als ze dat niet hebben gedaan, waarom niet. Die communicatie is verplicht. Als je het niet eens bent met hun beslissing – bijvoorbeeld omdat ze zeggen dat ze je gegevens moeten bewaren voor de belastingdienst terwijl jij denkt dat het niet nodig is – dan kun je bezwaar maken.

Wat als het bedrijf niets doet?

Stuur je een verzoek en hoor je niets? Dan is het tijd voor actie.

Je kunt een klacht indienen bij de Autoriteit Persoonsgegevens (AP). De AP houdt toezicht op de privacywetgeving in Nederland.

Ze kunnen een onderzoek instellen en boetes uitdelen. En die boetes kunnen flink oplopen – tot wel 20 miljoen euro of 4% van de wereldwijde jaaromzet. Maar voordat je de autoriteiten inschakelt, is het slim om het bedrijf nog een herinnering te sturen.

Soms is een verzoek per ongeluk in de spamfolder beland of is er een technische glitch. Een vriendelijke maar fermere tweede poging werkt vaak al.

Praktische tips voor jouw verzoek

Wil je zeker weten dat je verzoek serieus wordt genomen? Volg dan deze stappen:

  • Stuur een e-mail: Gebruik een e-mailadres dat je zeker weet dat ze hebben (bijvoorbeeld het adres van je account).
  • Wees duidelijk: Schrijf: "Ik vraag om verwijdering van al mijn persoonsgegevens conform het recht op vergetelheid onder de AVG."
  • Vraag om bevestiging: Vraag expliciet om een bevestiging zodra de gegevens zijn gewist.
  • Bewaar bewijs: Sla de e-mail op en bewaar de datum.

Met deze aanpak weet je zeker dat je niet voor verrassingen komt te staan en dat je digitale voetafdruk echt verdwijnt.

Veelgestelde vragen

Wat houdt het recht op vergetelheid precies in?

Onder de AVG heb je het recht om je persoonsgegevens te laten verwijderen als een bedrijf geen legitieme reden meer heeft om ze te bewaren. Dit betekent dat je kunt vragen om je gegevens te wissen, bijvoorbeeld als je geen account meer wilt hebben bij een datingapp of webshop, zolang er geen wettelijke verplichting is om ze te bewaren.

Hoe reageert een bedrijf op mijn verzoek om gegevens te verwijderen?

Wanneer een bedrijf je verzoek ontvangt, moeten ze eerst controleren of je daadwerkelijk degene bent die je beweert te zijn. Vervolgens beoordelen ze of er een goede reden is om je gegevens te behouden, zoals een wettelijke verplichting of een lopende rechtszaak. Als er geen dergelijke reden is, moeten ze je gegevens verwijderen binnen een maand.

Zijn er uitzonderingen op het recht om gegevens te laten verwijderen?

Ja, er zijn uitzonderingen. Een bedrijf mag je gegevens bewaren als ze nodig zijn voor wettelijke doeleinden, zoals belastingaangifte, of als ze een gerechtvaardigd belang hebben, bijvoorbeeld om de rechten van anderen te beschermen. Ook als je nog een lopend contract hebt, mogen ze je gegevens bewaren zolang dat nodig is.

Hoe lang hoef ik te wachten voordat mijn gegevens verwijderd worden?

Een bedrijf heeft één maand de tijd om te reageren op je verzoek om gegevensverwijdering. Zodra ze je identiteit hebben geverifieerd en geen uitzondering van toepassing is, zullen ze je gegevens verwijderen. Het is belangrijk om te weten dat dit een wettelijke verplichting is.

Wat als ik minderjarig ben?

Als je minder dan 16 jaar bent, mag een bedrijf je gegevens bijna altijd verwijderen zonder verdere vragen. Dit is een belangrijke bescherming voor jongeren die online actief zijn.

Lees ook
Wat is de AVG en wat betekent die voor jouw online privacy in 2026? Jouw recht op inzage: welke data heeft een bedrijf van jou? Hoe dien je een inzageverzoek in bij een Nederlands bedrijf? Jouw recht op verwijdering: hoe werkt dat in de praktijk? Een verwijderverzoek schrijven dat bedrijven niet kunnen negeren Hoelang heeft een bedrijf de tijd om jouw AVG verzoek te behandelen?
Femke de Vries
Femke de Vries
Domeinnaam quarantaine en WHOIS specialist

Femke helpt u bij het veilig stellen van uw domeinnamen.

Meer over AVG en GDPR verzoeken indienen

Bekijk alle 25 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is de AVG en wat betekent die voor jouw online privacy in 2026?
Lees verder →