GDPR - AVG

Mag een organisatie persoonsgegevens gepseudonimiseerd bewaren na een verzoek tot wissing?

Joris Deene
6 dagen geleden
125 keer bekeken
6 minuten leestijd

In een arrest van 7 januari 2026 heeft het Marktenhof te Brussel de regels omtrent het ‘recht op vergetelheid’ (recht op gegevenswissing) genuanceerd. De kernvraag was of een incassobureau verplicht is om alle gegevens van een onterecht aangeschreven persoon te wissen, of dat het bureau bepaalde gegevens gepseudonimiseerd mag bewaren om te voorkomen dat de persoon in de toekomst opnieuw foutief wordt benaderd. Het Hof oordeelde dat het bewaren van minimale gegevens ter preventie van toekomstige fouten gerechtvaardigd kan zijn onder een uitzondering in de Algemene Verordening Gegevensbescherming (AVG/GDPR).

De feiten en achtergrond

De zaak draait om een incassobureau dat optreedt voor schuldeisers. In 2017 ontving een consument (de klager) een aanmaning voor een factuur die echter al kwijtgescholden was wegens een fout. De klager verzocht daarop om de wissing van zijn persoonsgegevens.

Het incassobureau bevestigde de wissing, maar door een menselijke fout werden de gegevens later opnieuw ingevoerd en ontving de klager in 2018 opnieuw onterechte betaalverzoeken. Na een klacht bij de Gegevensbeschermingsautoriteit (GBA) paste het bureau zijn procedures aan. In plaats van volledige verwijdering, koos het bureau ervoor om de gegevens te pseudonimiseren. Hierbij bleven beperkte gegevens (stad, klantreferentie, factuurnummer) bewaard in een soort “blokkeringslijst” om te voorkomen dat het dossier per ongeluk opnieuw zou worden aangemaakt.

De Geschillenkamer van de GBA oordeelde aanvankelijk in een beslissing van 5 juni 2025 (91/2025) dat dit een schending was van artikel 17 AVG (recht op gegevenswissing) en beval alsnog de volledige vernietiging van de data. Het incassobureau ging hiertegen in beroep bij het Marktenhof.

De beslissing van het Marktenhof

Het Marktenhof vernietigde de beslissing van de GBA en stelde het incassobureau in het gelijk.

Het Hof bevestigde eerst, onder verwijzing naar rechtspraak van het Hof van Justitie van de EU, dat gepseudonimiseerde gegevens nog steeds persoonsgegevens zijn. Zolang de organisatie over de middelen beschikt om de gegevens opnieuw te koppelen aan een persoon (re-identificatie), is de AVG van toepassing. Omdat het incassobureau de sleutel tot herleiding bezat, bleef het in principe gaan om persoonsgegevens die onder het recht op wissing vielen.

Echter, het Hof oordeelde vervolgens dat het incassobureau zich terecht kon beroepen op een uitzondering in de AVG, namelijk artikel 17.3(b). Dit artikel bepaalt dat gegevens niet gewist hoeven te worden als de verwerking nodig is om te voldoen aan een wettelijke verplichting.

Het Hof redeneerde als volgt:

  • Het doel van het bewaren van de beperkte dataset was het vermijden van toekomstige inbreuken op de AVG (zoals het opnieuw onterecht aanschrijven van de klager).
  • Het volledig wissen zou het risico inhouden dat bij een nieuwe (foutieve) opdracht van een klant, de klager opnieuw lastiggevallen zou worden.
  • De impact van onterechte aanmaningen op de betrokkene weegt zwaarder dan de impact van het gepseudonimiseerd bewaren van gegevens in een ‘black list’.

Juridische analyse en duiding

Deze uitspraak biedt een essentiële verduidelijking voor de praktijk van gegevensbescherming in België. Het Marktenhof past hier het proportionaliteitsbeginsel toe binnen de strikte kaders van artikel 17 AVG.

Pseudonimisering is geen anonimisering

Het arrest herbevestigt de recente lijn van het Europees Hof van Justitie (zaak C-413/23 P, EDPS) dat pseudonimisering geen “veilige haven” is die gegevens buiten de AVG plaatst. Indien de verwerkingsverantwoordelijke over aanvullende gegevens beschikt waarmee de identiteit kan worden achterhaald, blijven het persoonsgegevens. Organisaties kunnen zich dus niet simpelweg aan verplichtingen onttrekken door data te versleutelen als ze zelf de sleutel houden.

De wettelijke verwerkingsverplichting als vangnet (Art. 17.3 AVG)

Het vernieuwende aspect van dit arrest is de toepassing van artikel 17.3(b) AVG. Het Hof erkent impliciet dat een organisatie een “negatieve lijst” mag (en soms moet) bijhouden om de rechten van de betrokkene in de toekomst te beschermen. Paradoxaal genoeg moet men bepaalde gegevens bewaren om de privacy en rust van de betrokkene te garanderen. Dit wordt gezien als onderdeel van de wettelijke verplichting om zorgvuldig om te gaan met persoonsgegevens en onrechtmatige verwerking (zoals onterechte incasso) te voorkomen.

Het Marktenhof corrigeerde de GBA, die had gesteld dat deze uitzondering niet was ingeroepen. Het Hof oordeelde met volle rechtsmacht dat het bureau in zijn verdediging wel degelijk feitelijk had aangetoond waarom bewaring noodzakelijk was, ook al werd het wetsartikel aanvankelijk niet expliciet genoemd.

Wat dit concreet betekent

Deze uitspraak heeft gevolgen voor diverse sectoren, met name incasso, marketing en fraudepreventie.

  • Voor ondernemingen en verwerkingsverantwoordelijken: U bent niet altijd verplicht om bij een “recht op vergetelheid” alle data blindelings te vernietigen. Als het wissen van gegevens zou leiden tot een risico dat u de betrokkene later onbedoeld opnieuw benadert (bijvoorbeeld bij marketing ‘do-not-contact’ lijsten of betwiste schulden), mag u minimale gegevens bewaren. Zorg er wel voor dat deze gegevens strikt gepseudonimiseerd zijn en enkel voor dat doel worden gebruikt.
  • Voor de Data Protection Officer (DPO): Documenteer duidelijk waarom bepaalde gegevens na een wisverzoek worden bewaard. Het argument moet zijn dat dit noodzakelijk is om toekomstige inbreuken of fouten te voorkomen (compliance).
  • Voor consumenten: Uw recht op wissing is niet absoluut. Een bedrijf kan weigeren uw gegevens volledig te wissen als dit nodig is om te garanderen dat u in de toekomst niet meer wordt lastiggevallen. Dit is in uw eigen belang.

Veelgestelde Vragen (FAQ)

Is gepseudonimiseerde data hetzelfde als anonieme data?
Nee. Bij anonieme data is de persoon onherleidbaar en is de AVG niet meer van toepassing. Bij gepseudonimiseerde data zijn de gegevens versleuteld, maar kan de organisatie met een ‘sleutel’ (aanvullende gegevens) nog steeds achterhalen om wie het gaat. Daarom blijft de AVG van toepassing.

Mag een bedrijf weigeren mijn gegevens te wissen als ik daarom vraag?
Ja, in specifieke gevallen. Artikel 17.3 AVG voorziet uitzonderingen, bijvoorbeeld wanneer de verwerking nodig is om te voldoen aan een wettelijke verplichting, voor het algemeen belang, of voor de instelling van een rechtsvordering.

Waarom oordeelde de rechter dat het bewaren van gegevens in dit geval beter was?
Het Hof oordeelde dat volledige wissing het risico inhield dat de consument door een fout bij de opdrachtgever opnieuw onterecht zou worden aangeschreven. Door minimale gegevens te bewaren op een blokkeerlijst, kan het incassobureau toekomstige foutieve dossiers direct filteren en stoppen.

Conclusie

Het arrest van het Marktenhof van 7 januari 2026 toont aan dat de AVG (GDPR) niet zwart-wit is. Het recht op vergetelheid moet wijken wanneer het bewaren van beperkte gegevens noodzakelijk is om juist verdere inbreuken op de privacy te voorkomen. Voor organisaties is dit een bevestiging dat het bijhouden van ‘suppression lists’ of blokkeerlijsten juridisch verdedigbaar is, mits goed onderbouwd.

Heeft u te maken met een complexe zaak rond privacy, gegevensbescherming of discussies met de GBA? Onze advocaten, gespecialiseerd in privacyrecht en GDPR-compliance, staan klaar om uw dossier te analyseren en uw belangen te verdedigen. Neem contact op voor een eerste strategisch advies.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics