blog

    Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening: Deel 9: rechten betrokkenen

    Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening: Deel 9: rechten betrokkenen

    Vandaag is het zover: de Algemene Verordening Gegevensbescherming (AVG) is in werking getreden! Daarom vandaag twee blogdelen uit onze blogreeks over de AVG. Dit is deel 9.

    AVG in de belangstelling

    Er is geen ontkomen aan. U hoeft de krant maar open te slaan, de radio of televisie aan te zetten, of uw mailbox te openen: de AVG is overal. De kans is daarom ook erg klein dat uw klanten, werknemers of websitebezoekers niet op de hoogte zijn over de AVG. Dat kan meebrengen dat uw klant, werknemer of websitebezoeker een beroep doet op één van zijn rechten uit de AVG en bij u aanklopt. Ik zal hieronder bespreken wat deze rechten inhouden en waar u rekening mee moet houden als iemand een dergelijk verzoek doet. 

    Inzage- en correctierecht

    Ieder natuurlijk persoon heeft het recht om een inzageverzoek te doen. Dat houdt in dat iemand kan vragen om een overzicht van alle persoonsgegevens die van hem worden verwerkt. In dat overzicht zal duidelijk aangegeven dienen te worden welke persoonsgegevens van die persoon worden verwerkt. Denk bijvoorbeeld aan contactgegevens, correspondentie, personeelsdossier, etc. Ook zal een omschrijving van de doelen van de verwerking moeten worden opgenomen en een overzicht van de ontvangers aan wie zijn persoonsgegevens zijn verstrekt. Ook heeft diegene recht op één gratis kopie van zijn gegevens. Dit alles zal in principe binnen een maand moeten worden verstrekt.

    Aan de hand van het verkregen overzicht kan die persoon vervolgens vragen om verbetering of aanvulling van zijn gegevens als deze onjuist of onvolledig zijn. Als dat het geval is zullen de gegevens zo spoedig mogelijk moeten worden verbeterd of aangevuld.

    Gegevens van anderen

    U moet voorkomen dat u de persoonsgegevens van iemand anders verstrekt. Het is daarom belangrijk om bij een verzoek eerst de identiteit van de verzoeker vast te stellen. Als u de persoon kent is dat geen probleem. Kent u de persoon niet, dan zal u moeten verifiëren dat de verzoeker wel degene is van wie hij persoonsgegevens opvraagt. Dat kan bijvoorbeeld via een extra controlevraag of door het opvragen van een afgeschermde kopie van een ID waar wel de naam en het document zichtbaar is, maar niet de pasfoto of het BSN.

    Bevinden zich in het overzicht of op de kopieën ook persoonsgegevens van derden, dan mag dat ook niet zomaar verstrekt worden. Deze gegevens zullen óf verwijderd moeten worden, óf die derde zal daarover moeten worden geïnformeerd en de kans moeten krijgen om zijn mening daarover te geven. Denk bijvoorbeeld aan de gegevens van een collega als een werknemer een inzageverzoek doet.

    Recht op ‘vergetelheid’

    Een burger kan ook een verzoek doen om zijn gegevens te laten wissen. In de AVG is opgenomen in welke gevallen de verwerkingsverantwoordelijke aan dat verzoek tegemoet moet komen en de gegevens dient te wissen. Het gaat dan onder meer om de verwerking van gegevens die niet langer relevant zijn voor het doel van de verwerking of de gegevens zijn in strijd met de wet verwerkt. Dus aan een verzoek om gegevens te wissen hoeft zeker niet altijd te worden voldaan. Worden de persoonsgegevens rechtmatig verwerkt en zijn deze nog relevant dan zal het verzoek om wissen geweigerd mogen worden. In dat geval zal de reden van de weigering binnen een maand aan de verzoeker moeten worden aangegeven.

    Recht op bezwaar

    Iemand kan ook bezwaar maken tegen een bepaalde verwerking. Alleen als die verwerking is gebaseerd op de uitvoering van een taak van algemeen belang, zoals een publieke taak door een overheidsinstantie, of op gerechtvaardigd belang dient dit bezwaar te worden behandeld. Dit recht geldt voor specifieke redenen die een persoon kan hebben waardoor de verwerking van zijn persoonsgegevens niet opwegen tegen uw belangen om zijn gegevens te verwerken. Denk bijvoorbeeld aan een medisch onderzoek waarbij blijkt dat een deelnemer familie is van één van de onderzoekers. De gedachte hierachter is dat een rechtmatige verwerking voor iemand toch te bezwaarlijk kan zijn, vanwege bijzondere omstandigheden.

    Is het een verwerking van persoonsgegevens voor direct marketing? Dan zal een bezwaar daartegen wel altijd moeten worden gehonoreerd. Daarvoor hoeft de betrokkene geen bijzondere omstandigheden aan te geven.

    Recht op dataportabiliteit

    Het recht op ‘dataportabiliteit’ ofwel overdracht van persoonsgegevens is een nieuw recht uit de AVG. Betrokkenen kunnen een verzoek doen tot overdracht van hun persoonsgegevens. Dat betekent dat de persoonsgegevens in een gestructureerd, veelgebruikt en machine leesbaar formaat zouden moeten worden verstrekt als de betrokkene daarom vraagt. Dit recht geldt alleen indien de verwerking is gebaseerd op toestemming of op de uitvoering van een overeenkomst. Iemand kan overdracht vragen van zijn gegevens aan hemzelf of aan een derde. Heeft u klanten die willen overstappen naar een concurrent dan zouden ze kunnen verzoeken dat u hun gegevens in digitale vorm doorgeeft aan uw concurrent. Hoe dit recht gaat uitpakken is nog niet helder en zal de AVG toekomst moeten uitwijzen.

    Vorige delen uit onze blogreeks

    Deel 1 ziet op het verplichte register van verwerkingsactiviteiten. Deel 2 over de basisbeginselen van doelbinding en grondslag. In deel 3 staan we stil bij de Functionaris voor de Gegevensbescherming. Deel 4 gaat over beveiligingsbeleid en deel 5 over de meldplicht datalekken. Deel 6 over de afspraken met verwerkers, het zevende deel over de privacyverklaring en deel 8 over de doorgifte van persoonsgegevens naar landen buiten de EU.

    Hulp nodig?

    Het kan zijn dat u nog niet volledig bent voorbereid op de AVG. Als u hulp kunt gebruiken, neem dan contact op met Monique Hennekens.