Een klant mailt je webshop: “Ik betwist de juistheid van de gegevens die jullie over mij hebben. Doe er voorlopig niets mee.” Mag je de gegevens gewoon bewaren? Wissen? Of iets anders? Dit is precies het moment waarop het recht op beperking van de verwerking geldt, en de meeste website-eigenaren weten niet wat ze dan moeten doen. Terwijl het antwoord gewoon in je privacyverklaring hoort te staan.
Beperking is niet hetzelfde als wissen
Hier gaat het meteen al mis. Veel mensen denken dat beperking betekent dat gegevens verwijderd worden, maar dat klopt niet. Beperking van de verwerking persoonsgegevens AVG betekent letterlijk: je bevriest de gegevens. Ze blijven bestaan, maar je mag er (bijna) niets meer mee doen.
Vergelijk het met een dossier in een afgesloten kast. Het ligt er nog, maar niemand mag het openslaan totdat het sein veilig is. Je mag de gegevens in die periode niet analyseren, niet delen met derden, niet gebruiken voor marketingdoeleinden en niet meenemen in rapportages. Bewaren mag wel, want dat is juist de bedoeling.
Dit onderscheid is cruciaal voor je interne beleid. Als je bij een beperkingsverzoek automatisch de gegevens wist, voldoe je niet aan de AVG en kun je zelfs in conflict komen met je bewaarplicht (denk aan factuurgegevens).
De vier situaties waarin iemand beperking kan vragen
Artikel 18 van de AVG omschrijft vier concrete gronden. Hieronder leg ik ze uit in gewone taal, met een voorbeeld erbij.
1. De betrokkene betwist de juistheid van de gegevens
Een klant zegt: “Mijn adres klopt niet, maar ik wil dat jullie ondertussen niets met mijn gegevens doen terwijl ik dat uitzoek.” Zolang jij de juistheid controleert, moet de verwerking beperkt blijven. De duur is doorgaans de tijd die nodig is voor verificatie.
2. De verwerking is onrechtmatig, maar de betrokkene wil geen verwijdering
Stel: je hebt geen geldige rechtsgrond voor een bepaalde verwerking. Normaal gesproken zou je de gegevens moeten wissen. Maar de betrokkene kan ervoor kiezen om wissing te weigeren en in plaats daarvan beperking te vragen, bijvoorbeeld omdat ze de gegevens later zelf nog nodig hebben voor een klacht of rechtszaak.
3. Jij hebt de gegevens niet meer nodig, maar de betrokkene wel
Jouw bewaartermijn is verstreken en je wil de gegevens wissen. De betrokkene zegt echter: “Ik heb die gegevens nodig voor een juridische procedure, bewaar ze alsjeblieft.” In dat geval moet je de gegevens bewaren maar de verwerking beperken.
4. De betrokkene heeft bezwaar gemaakt en wacht op de uitkomst
Iemand maakt bezwaar tegen de verwerking op grond van gerechtvaardigde belangen (artikel 21 AVG). Zolang nog niet vaststaat of jouw belangen zwaarder wegen dan die van de betrokkene, mag de verwerking beperkt worden.
Wat je concreet moet doen: een stappenplan
Stap 1: Verifieer de identiteit van de verzoeker
Voordat je iets doet, controleer je wie je voor je hebt. Vraag naar een identificatiemiddel, maar vraag nooit meer dan nodig. Voor een webshopklant is het koppelen van het verzoek aan het e-mailadres in je systeem vaak voldoende. Leg je verificatiestap kort vast.
Stap 2: Beoordeel of een van de vier gronden van toepassing is
Toets het verzoek aan de vier situaties hierboven. Valt het er niet onder? Dan kun je het verzoek gemotiveerd weigeren, maar doe dat altijd schriftelijk en binnen één maand. Valt het er wel onder? Ga dan direct naar stap 3.
Stap 3: Markeer of isoleer de gegevens technisch
Nu komt het praktische werk. Hoe je de beperking technisch uitvoert, hangt af van je systeem.
- CRM-systemen (zoals HubSpot of Salesforce): Voeg een tag of label toe zoals “Verwerking beperkt” en pas toegangsrechten aan zodat collega’s de gegevens niet kunnen bewerken of exporteren.
- Eigen database: Voeg een boolean-veld toe (bijv. processing_restricted = true) en zorg dat je applicatie dit veld uitleest bij elke verwerking.
- E-mailmarketingtool (zoals Mailchimp): Verwijder de persoon uit actieve lijsten zonder het contact te wissen. Voeg een notitie toe zodat collega’s weten waarom.
- Boekhoudpakket: Zet de relatie op inactief. Wis nooit factuurgegevens, want die vallen onder de wettelijke bewaarplicht.
Documenteer welke systemen je hebt aangepast en wanneer.
Stap 4: Bevestig de beperking schriftelijk binnen één maand
Stuur een schriftelijke bevestiging (e-mail is prima) aan de betrokkene. Vermeld daarin dat de verwerking is beperkt, per welke datum, en in welke systemen. Vermeld ook wanneer je de situatie opnieuw beoordeelt.
Stap 5: Stel derde partijen op de hoogte
Heb je de gegevens eerder gedeeld met verwerkers of andere ontvangers? Dan ben je verplicht om hen te informeren over de beperking, tenzij dit onmogelijk is of onevenredige inspanning kost. Denk aan je e-mailmarketingpartner, een analysedienst of een fulfilmentpartij. Leg ook dit contact vast.
Stap 6: Bepaal wanneer de beperking wordt opgeheven
Een beperking duurt niet eeuwig. Zodra de reden vervalt (de juistheid is vastgesteld, de bezwaarprocedure is afgerond), informeer je de betrokkene voordat je de beperking opheft. Zo kan hij of zij eventueel nog reageren. Communiceer dit ook naar de derde partijen die je in stap 5 informeerde.
Veelgemaakte fout: beperking verwarren met anonimisering of verwijdering
In de praktijk zien we regelmatig dat website-eigenaren bij een beperkingsverzoek de gegevens anonimiseren of zelfs wissen. Dat is goedbedoeld, maar verkeerd. Anonimisering is onomkeerbaar, terwijl de betrokkene later misschien wil dat de gegevens alsnog worden gecorrigeerd of gebruikt. Verwijdering is al helemaal niet wat de betrokkene vroeg.
Hoe borg je dit intern? Schrijf een simpele procedure (een A4’tje is genoeg) waarin je vastlegt wat beperking betekent, wie verantwoordelijk is voor de uitvoering, en welke systemen worden aangepast. Deel dit met iedereen die toegang heeft tot persoonsgegevens, ook als dat maar één medewerker of freelancer is.
De juiste formulering in je privacyverklaring
Je bent verplicht om het recht op beperking te vermelden in je privacyverklaring. Hieronder vind je een modelzin die je kunt aanpassen aan je eigen situatie.
“Je hebt het recht om beperking van de verwerking van je persoonsgegevens te verzoeken. Dit betekent dat wij je gegevens tijdelijk bevriezen en er geen verdere verwerkingen op uitvoeren, behoudens opslag. Je kunt dit recht inroepen als je de juistheid van je gegevens betwist, als de verwerking onrechtmatig is maar je geen verwijdering wenst, als wij de gegevens niet langer nodig hebben maar jij ze wel nodig hebt voor een rechtszaak, of als je bezwaar hebt gemaakt en de uitkomst afwacht. Je kunt een verzoek indienen via [e-mailadres of contactformulier]. Wij reageren binnen één maand.”
Let op de verplichte elementen in deze zin: de uitleg van wat beperking inhoudt (bevriezen, niet wissen), de vier concrete gronden, het contactmechanisme, en de termijn van één maand.
Controlelijst: dit moet je privacyverklaring minimaal vermelden
- Dat het recht op beperking bestaat en wat het betekent (bevriezen, niet verwijderen)
- De vier gronden waarop dit recht kan worden ingeroepen
- Hoe de betrokkene een verzoek kan indienen (e-mailadres, formulier)
- Dat je binnen één maand reageert
- Dat je derde partijen informeert over de beperking
- Dat je de betrokkene informeert voordat je een beperking opheft
Het recht op beperking van de verwerking is minder bekend dan het recht op inzage of verwijdering, maar niet minder verplicht. De kern: gegevens bevriezen, niet wissen. Met een heldere interne procedure en de juiste formulering in je privacyverklaring heb je dit recht goed geregeld. Wil je snel een volledige, AVG-conforme privacyverklaring opstellen inclusief alle privacyrechten? Gebruik dan de gratis generator op deze site en sla de handmatige zoektocht naar de juiste bewoordingen over.
Klaar om jouw privacy policy te maken?
Gebruik onze gratis generator en heb in 3 minuten een juridisch correcte privacy policy op maat.
Start de generator - gratis