• Home |
  • Kennis |
  • Tien dingen die je moet weten over de Privacy-verordening: rechten betrokkenen

Tien dingen die je moet weten over de Privacy-verordening: rechten betrokkenen

Privacy-verordening

Vandaag is het zover: de Algemene Verordening Gegevensbescherming (AVG) is in werking getreden! Daarom vandaag twee blogdelen uit onze blogreeks over de AVG. Dit is deel 9.

AVG in de belangstelling

Er is geen ontkomen aan. Je hoeft de krant maar open te slaan, de radio of televisie aan te zetten, of jouw mailbox te openen: de AVG is overal. De kans is daarom ook erg klein dat jouw klanten, werknemers of websitebezoekers niet op de hoogte zijn over de AVG. Dat kan meebrengen dat jouw klant, werknemer of websitebezoeker een beroep doet op één van zijn rechten uit de AVG en bij jou aanklopt. Ik zal hieronder bespreken wat deze rechten inhouden en waar je rekening mee moet houden als iemand een dergelijk verzoek doet.

Inzage- en correctierecht

Ieder natuurlijk persoon heeft het recht om een inzageverzoek te doen. Dat houdt in dat iemand kan vragen om een overzicht van alle persoonsgegevens die van hem worden verwerkt. In dat overzicht zal duidelijk aangegeven dienen te worden welke persoonsgegevens van die persoon worden verwerkt. Denk bijvoorbeeld aan contactgegevens, correspondentie, personeelsdossier, etc. Ook zal een omschrijving van de doelen van de verwerking moeten worden opgenomen en een overzicht van de ontvangers aan wie zijn persoonsgegevens zijn verstrekt. Ook heeft diegene recht op één gratis kopie van zijn gegevens. Dit alles zal in principe binnen een maand moeten worden verstrekt.

Aan de hand van het verkregen overzicht kan die persoon vervolgens vragen om verbetering of aanvulling van zijn gegevens als deze onjuist of onvolledig zijn. Als dat het geval is zullen de gegevens zo spoedig mogelijk moeten worden verbeterd of aangevuld.

Gegevens van anderen

Je moet voorkomen dat je de persoonsgegevens van iemand anders verstrekt. Het is daarom belangrijk om bij een verzoek eerst de identiteit van de verzoeker vast te stellen. Als je de persoon kent is dat geen probleem. Ken je de persoon niet, dan zal je moeten verifiëren dat de verzoeker wel degene is van wie hij persoonsgegevens opvraagt. Dat kan bijvoorbeeld via een extra controlevraag of door het opvragen van een afgeschermde kopie van een ID waar wel de naam en het document zichtbaar is, maar niet de pasfoto of het BSN.

Bevinden zich in het overzicht of op de kopieën ook persoonsgegevens van derden, dan mag dat ook niet zomaar verstrekt worden. Deze gegevens zullen óf verwijderd moeten worden, óf die derde zal daarover moeten worden geïnformeerd en de kans moeten krijgen om zijn mening daarover te geven. Denk bijvoorbeeld aan de gegevens van een collega als een werknemer een inzageverzoek doet.

Recht op ‘vergetelheid’

Een burger kan ook een verzoek doen om zijn gegevens te laten wissen. In de AVG is opgenomen in welke gevallen de verwerkingsverantwoordelijke aan dat verzoek tegemoet moet komen en de gegevens dient te wissen. Het gaat dan onder meer om de verwerking van gegevens die niet langer relevant zijn voor het doel van de verwerking of de gegevens zijn in strijd met de wet verwerkt. Dus aan een verzoek om gegevens te wissen hoeft zeker niet altijd te worden voldaan. Worden de persoonsgegevens rechtmatig verwerkt en zijn deze nog relevant dan zal het verzoek om wissen geweigerd mogen worden. In dat geval zal de reden van de weigering binnen een maand aan de verzoeker moeten worden aangegeven.

Recht op bezwaar

Iemand kan ook bezwaar maken tegen een bepaalde verwerking. Alleen als die verwerking is gebaseerd op de uitvoering van een taak van algemeen belang, zoals een publieke taak door een overheidsinstantie, of op gerechtvaardigd belang dient dit bezwaar te worden behandeld. Dit recht geldt voor specifieke redenen die een persoon kan hebben waardoor de verwerking van zijn persoonsgegevens niet opwegen tegen jouw belangen om zijn gegevens te verwerken. Denk bijvoorbeeld aan een medisch onderzoek waarbij blijkt dat een deelnemer familie is van één van de onderzoekers. De gedachte hierachter is dat een rechtmatige verwerking voor iemand toch te bezwaarlijk kan zijn, vanwege bijzondere omstandigheden.

Is het een verwerking van persoonsgegevens voor direct marketing? Dan zal een bezwaar daartegen wel altijd moeten worden gehonoreerd. Daarvoor hoeft de betrokkene geen bijzondere omstandigheden aan te geven.

Recht op dataportabiliteit

Het recht op ‘dataportabiliteit’ ofwel overdracht van persoonsgegevens is een nieuw recht uit de AVG. Betrokkenen kunnen een verzoek doen tot overdracht van hun persoonsgegevens. Dat betekent dat de persoonsgegevens in een gestructureerd, veelgebruikt en machine leesbaar formaat zouden moeten worden verstrekt als de betrokkene daarom vraagt. Dit recht geldt alleen indien de verwerking is gebaseerd op toestemming of op de uitvoering van een overeenkomst. Iemand kan overdracht vragen van zijn gegevens aan hemzelf of aan een derde. Heb je klanten die willen overstappen naar een concurrent dan zouden ze kunnen verzoeken dat jij hun gegevens in digitale vorm doorgeeft aan jouw concurrent. Hoe dit recht gaat uitpakken is nog niet helder en zal de AVG toekomst moeten uitwijzen.

Hulp nodig?

Het kan zijn dat je nog niet volledig bent voorbereid op de AVG. Als je hulp kunt gebruiken, neem dan contact op met een van onze experts op het gebied van Privacy & IT.