Wanneer een klant “verwijder mij” zegt: waarom een zwakke GDPR-cultuur bedrijven nu zuur opbreekt
Het begint vaak onschuldig. Een belangrijke klant stuurt een korte mail naar de servicedesk: “Ik wens gebruik te maken van mijn recht op verwijdering. Gelieve al mijn persoonsgegevens te wissen en mij te bevestigen waar mijn gegevens werden gedeeld.”
Voor de klant is het één verzoek. Voor het bedrijf wordt het plots een stresstest.
Binnen enkele minuten wordt de vraag doorgestuurd naar legal. Legal vraagt IT welke systemen persoonsgegevens bevatten. IT vraagt aan sales welke CRM-records er bestaan. Marketing blijkt nog exports te hebben. Finance bewaart facturatiegegevens. HR heeft contactgegevens in een onboardingplatform. Customer support heeft tickets. De cloudpartner heeft logs. De back-upomgeving bevat snapshots. En niemand weet zeker of de gegevens ook gedeeld werden met verwerkers, onderaannemers of externe platformen.
Dan wordt duidelijk dat het probleem niet het verzoek van de klant is. Het probleem is dat het bedrijf acht jaar na de verplichte toepassing van de GDPR nog steeds geen volwassen GDPR-cultuur heeft opgebouwd.
De AVG geeft betrokkenen duidelijke rechten, waaronder het recht op inzage en het recht op verwijdering. Artikel 12 verplicht organisaties om verzoeken transparant en in principe binnen één maand te behandelen, artikel 15 geeft het recht op inzage en artikel 17 geeft het recht op verwijdering, ook bekend als het “recht om vergeten te worden”.
Maar in de praktijk blijkt dat veel organisaties nog steeds reageren alsof GDPR een juridisch document is, geen operationeel besturingssysteem.
De klant stelt één vraag, maar legt de hele organisatie bloot
Een klant die zijn recht op verwijdering inroept, vraagt niet alleen om een administratieve actie. Hij vraagt eigenlijk: weet u waar mijn data staat, waarom u die bewaart, met wie u die hebt gedeeld, hoe lang u die bewaart, hoe u die verwijdert, en kunt u dat bewijzen?
Wanneer het antwoord daarop afhankelijk is van losse Excel-lijsten, historische exports, verouderde CRM-velden en mondelinge afspraken met leveranciers, ontstaat onmiddellijk risico.
Het EDPB-rapport over het recht op verwijdering bevestigt precies dit probleem. Het recht op verwijdering is niet langer alleen een juridisch reactieproces, maar een capaciteit op het gebied van gegevensbeheer. Organisaties moeten weten waar persoonsgegevens worden opgeslagen, waarom ze worden bewaard, hoe lang ze worden bewaard, hoe verwijdering wordt uitgevoerd en hoe uitzonderingen worden gedocumenteerd. De terugkerende pijnpunten zijn procedures, training, informatie aan betrokkenen, uitzonderingen, bewaartermijnen, back-ups en anonimisering.
Daarmee verschuift GDPR van “privacy policy” naar “bewijsbare datacontrole”.
De Europese verwachtingen zijn duidelijk
Europa verwacht niet dat bedrijven perfect zijn. Europa verwacht wel dat bedrijven aantoonbaar georganiseerd zijn. De rode draad is: geen papieren compliance, maar werkende processen.
De belangrijkste verwachtingen zijn:
- Een gedocumenteerde procedure voor verwijdering
Een organisatie moet weten wie een verzoek ontvangt, wie het beoordeelt, welke deadline geldt, welke systemen worden gecontroleerd, wie beslist over uitzonderingen en hoe bewijs wordt opgeslagen. - Een actuele data-inventaris en ROPA
Zonder register van verwerkingsactiviteiten, datamap en systeeminventaris weet niemand waar persoonsgegevens zich bevinden. Dat maakt zowel inzage als verwijdering onbetrouwbaar. - Bewaartermijnen per doel en rechtsgrond
Data mag niet “voor de zekerheid” blijven staan. Elke categorie moet gekoppeld zijn aan een doel, rechtsgrond, bewaartermijn en verwijdertrigger. - Back-upbeheer dat verwijdering niet ondermijnt
Back-ups mogen geen verborgen vrijplaats worden waar gewiste data opnieuw tot leven komt na restore. Wanneer directe verwijdering technisch niet mogelijk is, moet er een gecontroleerde herstelprocedure bestaan die eerdere verwijderingsbeslissingen opnieuw afdwingt. - Echte anonimisering, geen cosmetische maskering
Pseudonimisering, tokenisatie of gedeeltelijke maskering is niet automatisch anonimiseren. Als heridentificatie nog redelijk mogelijk is, blijft de dataset onder GDPR vallen. - Controle over verwerkers en ontvangers
Wanneer data gedeeld is met leveranciers, cloudplatformen, marketingtools, hostingpartijen of subprocessors, moet het bedrijf weten wie welke data kreeg en hoe verzoeken worden doorgezet. - Bewijs van uitvoering
Een organisatie moet niet alleen zeggen dat data verwijderd werd. Ze moet het kunnen aantonen met tickets, logs, verwijderingscertificaten, DPIA/ROPA-koppelingen, beslisnota’s en managementrapportage.
Het studiedocument benadrukt daarom dat opslagomgevingen vindbaarheid, selectieve verwijdering, beperking, scheiding, herstelcontrole van back-ups en verdedigbare bewaartermijnen moeten ondersteunen. Een opslagontwerp dat persoonsgegevens niet kan identificeren of isoleren, maakt naleving van artikel 17 moeilijk aantoonbaar.
Waarom bedrijven na acht jaar nog steeds worstelen
De pijnlijke waarheid is dat veel bedrijven GDPR hebben ingevoerd als project, niet als cultuur. In 2018 werden privacyverklaringen herschreven, cookie banners geplaatst, verwerkersovereenkomsten verzameld en awareness-sessies gegeven. Daarna ging de business verder.
Maar data bleef groeien.
Nieuwe SaaS-tools kwamen erbij. Marketing bouwde campagnes. Sales koppelde CRM-systemen. Finance automatiseerde facturatie. HR gebruikte externe platforms. Support ging naar ticketing in de cloud. IT zette back-ups, logging en monitoring op. Data lakes werden gevoed. AI-projecten begonnen met historische datasets.
Wat ontbrak, was een levende blauwdruk van de persoonsgegevens.
Daarom lopen bedrijven vandaag vast op drie basisvragen:
Waar staat de data?
Veel organisaties hebben geen volledig overzicht van applicaties, databases, exports, logbestanden, rapporten, mailboxen, SharePoint-sites, data lakes, testomgevingen en back-ups.
Waarom staat de data daar?
Zonder koppeling tussen gegevenscategorie, doel, rechtsgrond en bewaartermijn wordt elk verwijderverzoek een discussie.
Wie heeft de data gekregen?
Zonder degelijke DPA’s, verwerkersregister en subprocessorinventaris is het onduidelijk welke externe partijen moeten worden geïnformeerd of aangestuurd.
Daar zit het heikele punt: de verspreiding van data is vaak sneller gegaan dan de governance erachter. De DPA of verwerkersovereenkomst werd soms gezien als contractuele formaliteit, terwijl ze eigenlijk de operationele keten van verantwoordelijkheid moet ondersteunen.
Data-inzage is vaak de voorbode van het probleem
Het recht op inzage is meestal de eerste barst in het systeem. Een klant vraagt: “Welke gegevens heeft u over mij?” Als het bedrijf daar geen volledig antwoord op kan geven, wordt duidelijk dat het ook niet betrouwbaar kan verwijderen.
Inzage en verwijdering zijn twee kanten van dezelfde medaille. Wie niet weet wat hij heeft, kan niet uitleggen wat hij verwerkt. Wie niet weet waar het staat, kan het niet wissen. Wie niet weet met wie het gedeeld is, kan ontvangers niet informeren. En wie geen bewijs bewaart, kan tegenover een toezichthouder niet aantonen dat het proces correct verliep.
GDPR faalt dus zelden door één grote fout. Het faalt door kleine structurele leegtes: geen datamap, geen ROPA-update, geen eigenaar per systeem, geen verwijdermatrix, geen back-upstrategie, geen test van het proces, geen training, geen bewijs.
De link met NIS2: governance komt in de boardroom
NIS2 maakt dit verhaal nog belangrijker. NIS2 verhoogt het Europese ambitieniveau voor cyberbeveiliging met een bredere scope, duidelijkere regels, sterkere supervisie en verplichtingen rond risicobeheer en rapportering. De Europese Commissie benadrukt bovendien dat topmanagement verantwoordelijker wordt voor niet-naleving van cyberrisicobeheer, waardoor cybersecurity nadrukkelijk in de boardroom terechtkomt.
Artikel 20 van NIS2 vereist dat bestuursorganen cybersecuritymaatregelen goedkeuren, de uitvoering ervan opvolgen en opleiding volgen. Artikel 21 spreekt over passende technische, operationele en organisatorische maatregelen, waaronder risicoanalyse, incidentafhandeling, business continuity, back-upmanagement, disaster recovery, supply-chain security, veilige ontwikkeling, kwetsbaarhedenbeheer, effectiviteitsmetingen en cyberhygiëne.
Dat betekent dat GDPR en NIS2 elkaar in de praktijk raken. GDPR vraagt: kunt u persoonsgegevens rechtmatig beheren en verwijderen? NIS2 vraagt: kunt u uw netwerk- en informatiesystemen veilig, weerbaar en bestuurbaar houden?
Zonder datablauwdruk is geen van beide overtuigend.
Het boeterisico is reëel
Wanneer een organisatie niet tijdig of niet correct reageert op rechten van betrokkenen, komt ze in de hoge risicocategorie van GDPR terecht. Inbreuken op de rechten van betrokkenen onder artikelen 12 tot 22 kunnen administratieve boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet meebrengen, afhankelijk van welk bedrag hoger is.
Maar de boete is niet het enige risico. Een belangrijke klant die merkt dat zijn verwijderverzoek chaotisch wordt behandeld, ziet meer dan een complianceprobleem. Hij ziet een governanceprobleem. Hij ziet een bedrijf dat zijn eigen data niet beheerst. Dat raakt vertrouwen, contractverlenging, aanbestedingen, verzekerbaarheid en reputatie.
Het studiedocument vat dit scherp samen: geen enkel systeem kan garanderen dat een toezichthouder nooit een boete oplegt, maar betere technische en organisatorische maatregelen verminderen de omstandigheden die doorgaans tot boetes leiden: ongecontroleerde dataverspreiding, ontbrekend bewijs, gebrekkige procedures, slechte opleiding, onduidelijke bewaartermijnen en onveilige back-upherstelprocedures.
Wat moet er nu gebeuren?
Bedrijven moeten stoppen met GDPR te behandelen als een juridisch archief. Ze moeten starten met een operationeel data-erasure programma.
Concreet betekent dit:
- Maak een volledige inventaris van systemen, datastromen, verwerkers, subprocessors, exports, logs en back-ups.
- Koppel elke gegevenscategorie aan doel, rechtsgrond, bewaartermijn en eigenaar.
- Herwerk DPA’s zodat ze niet alleen juridisch correct zijn, maar ook operationeel uitvoerbaar.
- Bouw een verwijderworkflow met intake, verificatie, juridische beoordeling, uitvoering, back-upcontrole en bewijs.
- Test het proces met scenario’s: klantverwijdering, inzageverzoek, bezwaar, beperking, datalek, restore na ransomware.
- Veranker DLP niet alleen op e-mail of endpoint, maar in applicaties, API’s, databases, logging, analytics, back-up en governance.
- Rapporteer KPI’s aan het management: aantal verzoeken, doorlooptijd, uitzonderingen, openstaande acties, bewijsstatus.
Het CATS-GAM/ZT9-denken brengt DLP naar de plaats waar het nodig is: niet alleen aan de rand van de organisatie, maar in de digitale applicatie, het datamodel, het back-upmodel en de governance. Het model beschrijft negen DLP-locaties: gegevensinvoer, applicatielogica, databaselaag, API-laag, logboeklaag, rapportage en analyse, AI-agentmonitoring, back-up en herstel, en bestuurslaag.
Slot: GDPR-cultuur is geen privacyteam, maar bedrijfsdiscipline
De vraag van die ene belangrijke klant is dus geen uitzondering. Het is een wake-upcall.
Een organisatie met een volwassen GDPR-cultuur schrikt niet van een verwijderverzoek. Zij activeert een proces. Zij weet waar data staat. Zij kent haar verwerkers. Zij begrijpt haar bewaartermijnen. Zij kan uitleggen waarom bepaalde gegevens worden gewist, beperkt of wettelijk bewaard. Zij voorkomt dat back-ups oude fouten terugbrengen. En zij kan bewijs leveren.
Een organisatie zonder die cultuur begint te zoeken.
En zoeken is precies wat toezichthouders, klanten en auditors niet meer willen zien.
De toekomst van GDPR en NIS2 ligt niet in meer documenten, maar in aantoonbare beheersing. Wie vandaag geen datablauwdruk heeft, heeft morgen geen verdedigbaar antwoord.
BRON: https://www.edpb.europa.eu/news/news/2026/marking-10-years-gdpr-evolution-european-data-protection-landscape_en
