Recht op verwijdering: de 7 fouten die de meeste bedrijven nog steeds maken
GDPR, Compliance
In februari 2026 publiceerde de European Data Protection Board (EDPB) de uitkomsten van het Coordinated Enforcement Framework over het recht op verwijdering. 32 nationale toezichthouders onderzochten samen honderden bedrijven en organisaties. De conclusie was geen verrassing, maar wel een wake-up call: bijna iedereen maakt dezelfde fouten.
Niet ingewikkelde fouten. Geen technische haarkloverij. Gewoon basisdingen die al sinds 2018 in de wet staan.
Voor mkb-bedrijven is dit relevant omdat de Autoriteit Persoonsgegevens heeft aangekondigd dat de handhaving in de tweede helft van 2026 omhoog gaat. De boetes voor het recht op verwijdering zijn vorig jaar al verdubbeld in aantal. Dit is het moment om je eigen procedure tegen het licht te houden.
Hieronder staan de zeven fouten uit het EDPB-rapport. Bij elke fout vind je een korte uitleg van wat er misgaat en wat je moet doen om het op te lossen. Aan het eind van het artikel staat een zelfevaluatie die je in tien minuten kunt doorlopen.
Fout 1: Geen interne procedure voor verwijderverzoeken
Het meest voorkomende probleem. De receptie krijgt een e-mail binnen, stuurt 'm door naar iemand die op vakantie is, en daar blijft het liggen. Niemand weet wie verantwoordelijk is, dus iedereen denkt dat een ander het oppakt.
De AVG eist dat je verzoeken binnen één maand afhandelt. Die maand begint te tikken op het moment dat het verzoek binnenkomt, niet wanneer de juiste persoon het ziet.
Wat je nu moet regelen: wijs één eigenaar aan (vaak de DPO of de privacy-coördinator), maak één centraal e-mailadres (privacy@), en zorg dat receptie, sales en support weten waar verzoeken naartoe moeten. Zet de procedure op één A4. Niet meer.
Fout 2: Pseudonimiseren en denken dat het anonimiseren is
Dit is technisch een grote. Veel bedrijven "verwijderen" door de naam te vervangen door een ID. Of door de e-mailadressen te hashen. Dat is geen anonimisering. Dat is pseudonimisering, en daar valt de AVG nog steeds op van toepassing.
Echte anonimisering betekent dat de data niet meer terug te leiden is naar een persoon, ook niet door jou, ook niet via een omweg via andere bronnen. Als je een hash-tabel bewaart waarmee je de mapping kunt terugdraaien, ben je niet klaar.
Wat je nu moet regelen: beslis per dataset of je echt anonimiseert of dat je gewoon verwijdert. Voor analytics is geaggregeerd vaak voldoende. Voor klantgegevens is verwijderen meestal de enige optie die juridisch standhoudt. Lees hier meer over hoe je betrokkenenrechten in de praktijk afhandelt.
Fout 3: Back-ups vergeten
De grootste blinde vlek in vrijwel elke organisatie. Je verwijdert keurig uit het CRM, uit je marketingplatform, uit je facturatiesysteem. En vervolgens staat de data nog in zes nachtelijke back-ups op een externe schijf.
De EDPB is hier streng over: persoonsgegevens in back-ups moeten ook onder de scope van het verzoek vallen. Maar er is praktische ruimte. Je mag wachten tot de back-up in normale rotatie overschreven wordt, mits je de data daaruit niet terughaalt voor productie.
Wat je nu moet regelen: documenteer je back-uprotatie. Voeg verwijderverzoeken toe aan een "do not restore" lijst. Spreek met je IT-leverancier af hoe lang de oudste back-up bewaard blijft. Zonder dit beleid kun je bij een controle niet aantonen dat je de wet volgt.
Fout 4: Inconsistente toepassing tussen afdelingen
Sales verwijdert de klant uit het CRM. Marketing houdt 'm in de nieuwsbriefdatabase omdat dat een ander systeem is. Finance bewaart de facturen terecht zeven jaar voor de fiscus, maar geeft dat niet door aan de klant.
Resultaat: de klant denkt dat hij verwijderd is, krijgt drie weken later weer een nieuwsbrief, en dient een klacht in bij de AP. Boete.
Wat je nu moet regelen: maak een verwijderingschecklist met álle systemen waar persoonsgegevens in kunnen staan. Inclusief Slack, Notion, gedeelde Drives, oude Excel-bestanden op de share. Loop bij elk verzoek de hele lijst door. Saai werk, maar essentieel.
Fout 5: Geen bevestiging naar de verzoeker
Verwijderen is niet genoeg. De AVG verplicht je ook om actief te bevestigen dat het gedaan is. Veel bedrijven verwijderen netjes, maar sturen geen mail terug. De verzoeker hoort niets, gaat ervan uit dat er niets gebeurd is, en dient een klacht in.
Uit het EDPB-rapport bleek dat bij 41% van de onderzochte verzoeken geen bevestiging was verstuurd. Dat is een directe overtreding van artikel 12 AVG.
Wat je nu moet regelen: voeg de bevestigingsmail toe als verplichte laatste stap in je procedure. Houd 'm kort: "Op [datum] hebben we uw verzoek ontvangen. Op [datum] hebben we uw gegevens verwijderd uit [systemen]. Het volgende bewaren we op grond van [wettelijke verplichting]: [opsomming]." Klaar.
Fout 6: Uitzonderingen niet vastleggen
Soms mag je weigeren te verwijderen. Een fiscale bewaarplicht, een lopende juridische procedure, een rechtsvordering. Prima. Maar je moet kunnen uitleggen wélke uitzondering van toepassing is op welke gegevens.
"We bewaren dit omdat dat moet" is geen acceptabel antwoord. Je moet de rechtsgrond noemen, de bewaartermijn benoemen, en duidelijk maken wat er na afloop alsnog verwijderd wordt.
Wat je nu moet regelen: koppel je verwijderprocedure aan je verwerkingsregister. Per type gegeven moet daar staan op welke grondslag je bewaart en hoe lang. Dan kun je bij een verzoek meteen verwijzen naar je register.
Fout 7: Geen tijdlijntracking
Eén maand. Dat is de termijn. Wie houdt bij wanneer het verzoek binnenkwam, wanneer de identiteit gecontroleerd is, wanneer de bevestiging eruit ging? Bij de meeste mkb-bedrijven: niemand systematisch.
Resultaat: een verzoek blijft drie weken liggen, schiet er bijna doorheen, wordt op dag 28 in paniek afgehandeld. Of erger: schiet er wél doorheen en niemand merkt het tot de klacht binnenkomt.
Wat je nu moet regelen: een simpel register volstaat. Datum binnen, datum identiteit gecontroleerd, datum verwijderd, datum bevestigd. In Excel mag, in een compliance tool is beter. Maar je moet het kunnen aantonen.
Zelfevaluatie: tien minuten, eerlijke antwoorden
Loop deze checklist door. Eén "nee" is een waarschuwing. Twee of meer betekent dat je vandaag nog moet beginnen.
- [ ] Er is één persoon eindverantwoordelijk voor het afhandelen van verwijderverzoeken
- [ ] Er is een centraal e-mailadres of formulier waar verzoeken binnenkomen
- [ ] Receptie, sales en support weten waar ze een verzoek moeten neerleggen
- [ ] We weten het verschil tussen anonimiseren en pseudonimiseren, en handelen daarnaar
- [ ] We hebben beleid voor het omgaan met persoonsgegevens in back-ups
- [ ] We hebben een complete lijst van alle systemen waar persoonsgegevens in kunnen staan
- [ ] We sturen bij elk afgehandeld verzoek een schriftelijke bevestiging
- [ ] Onze uitzonderingen zijn gekoppeld aan een rechtsgrond in het verwerkingsregister
- [ ] We registreren per verzoek de datum binnen, datum afgehandeld, datum bevestigd
- [ ] We bewaren het dossier van elk verzoek minimaal drie jaar
Wat nu
Als de checklist je heeft laten zien dat er gaten zitten in je procedure: prima. Dat geldt voor de meerderheid van de Nederlandse mkb-bedrijven. Het verschil tussen een boete en een goede afloop is niet of je nu perfect bent, maar of je nu in actie komt.
De AP kijkt bij een controle vooral naar twee dingen: of je weet wat je doet, en of je kunt aantonen dat je het doet. Een gedocumenteerde procedure plus een dossier van afgehandelde verzoeken is in 90% van de gevallen voldoende om een onderzoek met een waarschuwing in plaats van een boete af te sluiten.
Met ComplianceHive AVG-software regel je verwijderverzoeken van binnenkomst tot bevestiging in één tool. Procedure, registratie, bewijslast: allemaal op één plek. Probeer het twee weken gratis en breng je betrokkenenrechten op orde voor de handhaving omhoog gaat.
Veelgestelde vragen
Hoe lang mag je een verwijderverzoek laten liggen?
Je hebt één maand vanaf het moment dat het verzoek binnenkomt. Bij een complex verzoek mag je die termijn met twee maanden verlengen, maar dan moet je de verzoeker binnen die eerste maand schriftelijk laten weten dat je verlengt en waarom. Geen bericht sturen telt als een overtreding, ook als je later wel netjes verwijdert.
Moet ik data ook uit back-ups verwijderen?
Ja, maar je hoeft niet meteen je hele back-up te slopen. De Autoriteit Persoonsgegevens accepteert dat persoonsgegevens in back-ups blijven staan totdat die back-up in de normale rotatie overschreven wordt, mits je de data daar niet uit terughaalt voor actief gebruik. Leg dat beleid wel vast en zet de gegevens op een uitsluitlijst, zodat ze bij een restore niet ineens weer in productie staan.
Wanneer mag ik een verwijderverzoek weigeren?
Bij een wettelijke bewaarplicht (denk aan de fiscale bewaartermijn van zeven jaar), bij lopende juridische procedures, of als de gegevens nodig zijn voor de uitvoering van een overeenkomst die nog loopt. Je mag ook weigeren als het verzoek kennelijk ongegrond of buitensporig is. In álle gevallen moet je de weigering schriftelijk motiveren binnen één maand.
Hoe documenteer ik de afhandeling van een verwijderverzoek?
Leg minimaal vast: datum van ontvangst, hoe je de identiteit hebt gecontroleerd, welke systemen je hebt doorzocht, wat je hebt verwijderd of geanonimiseerd, wat je bewaard hebt en op welke grondslag, en de datum waarop je de verzoeker hebt bevestigd. Bewaar dit dossier minstens drie jaar. Bij een controle is dit het eerste wat de AP opvraagt.
Dit artikel is algemene informatie en geen juridisch advies. Raadpleeg een gekwalificeerde jurist voor juridische interpretatie.