AVG / GDPR : De rechten van betrokkenen

Van mensen worden steeds meer gegevens verzameld en door steeds meer bedrijven. Als we boodschappen doen, online producten bestellen, autorijden, gebruik maken van social media en ga zo maar door. Om de betrokkene wiens persoonsgegevens verzamelt worden meer controle te geven over het gebruik van hun gegevens, hebben de betrokkene in de AVG onder meer de volgende 8 rechten, namelijk:

  1. Recht om op de juiste manier geïnformeerd te worden (artikel 13 en 14)
  2. Recht op inzage  (artikel 15)
  3. Recht op rectificatie (artikel 16)
  4. Recht om vergeten te worden (artikel 17)
  5. Recht op beperking van verwerking (artikel 18)
  6. Recht op dataportabiliteit (artikel 20)
  7. Recht om bezwaar te maken (artikel 21)
  8. Recht tegen geautomatiseerde besluiten (waaronder profiling) (artikel 22)

Wat moet jouw organisatie inregelen om er voor te zorgen dat de betrokkenen hun rechten kunnen uitoefenen (en op die manier kunnen controleren of jouw organisatie hun gegevens inderdaad conform de wet en het privacy statement gebruikt). In het algemeen moet jouw organisatie rekening houden met de volgende vier punten:

  • De verantwoordelijke heeft 1 maand de tijd om aan een verzoek uit artikel 15 t/m 22 te voldoen. Bij complexe verzoeken mag die termijn met 2 maanden worden verlengd. De betrokkene moet dan wel binnen de eerste termijn van 1 maand over de verlenging (en de reden van de verlening) geïnformeerd worden.
  • Voldoet jouw organisatie niet (of niet op tijd) dan moet zij aan de betrokkene melden waarom zij niet (op tijd) voldoet aan het verzoek en moet zij de betrokkene informeren over de mogelijkheden om bij de toezichthouder een klacht in te dienen.
  • De verantwoordelijke moet kosteloos aan verzoeken van betrokkene voldoen tenzij een verzoek kennelijk ongegrond of buitensporig is, met name als de betrokkene heel vaak verzoeken doet. In dat geval mag de verantwoordelijke weigeren of redelijke kosten in rekening brengen.
  • Om zorgvuldig te werk te gaan moet de verantwoordelijke de identiteit van de betrokkene controleren. Bijvoorbeeld door aanvullende informatie vragen of informatie alleen in de klantportal beschikbaar te stellen.

Wat houden de voornoemde rechten nou precies in? In deze blog zullen we artikelsgewijs door de belangrijkste aandachtspunten per recht van de betrokkenen heengaan.

Recht om op de juiste manier geïnformeerd te worden (artikel 13-14)

Onder de AVG moet het publiek en/of de betrokkene over veel dingen geïnformeerd worden. Op welke  manier? Om te voldoen aan het beginsel van een behoorlijke en transparante verwerking van persoonsgegevens moet de informatie die aan het publiek of aan de betrokkene wordt gegeven

  • Beknopt
  • Eenvoudig
  • Toegankelijk
  • Begrijpelijk
  • Duidelijk
  • Eenvoudige taal
  • Aanvullend met visualisatie (icoontjes)

Afhankelijk van de doelgroep moet de informatie anders worden verstrekt. Bijvoorbeeld bij kinderen moet de informatie ook voor kinderen goed te begrijpen zijn. Welke informatie moet gegeven worden (artikel 13)? De volgende informatie moet de verantwoordelijke aan de betrokkene geven (voordat de persoonsgegevens verzamelt worden):

  • Identiteit en contact gegevens verantwoordelijke (of zijn vertegenwoordiger)
  • Contact gegevens DPO
  • Doel en rechtvaardigingsgrond
  • De gerechtvaardigde belangen (als dat de grond is)
  • De (type) ontvangers van de persoonsgegevens
  • Eventuele doorgifte (datatransfer) inclusief passende en geschikte waarborgen

Voor behoorlijke en transparante verwerking ook voor ontvangst data informeren:

  • Periode van opslag (indien dat niet mogelijk is de criteria ter beoordeling van die termijn)
  • Rechten van betrokkene: inzage, rectificatie, wissen, bezwaar te maken  en gegevensoverdraagbaarheid;
  • Recht om toestemming in te trekken;
  • Recht om een klacht bij de AP in te dienen;
  • Of de verstrekking een wettelijke of contractuele verplichting is, dan wel een noodzakelijke voorwaarde om de overeenkomst te sluiten, of er een verplichting is om de persoonsgegevens te verstrekken en wat de gevolgen zijn wanneer de gegevens niet worden verstrekt;
  • Het bestaan van geautomatiseerde besluitvorming (waaronder profiling);
  • Wanneer het voornemen bestaat om de persoonsgegevens voor een ander doel te verwerken dan waarvoor ze zijn verzameld, dan verstrekt de organisatie informatie over dat andere doel en alle overige relevante informatie

Dit hoeft niet als de betrokkene bijvoorbeeld al over de informatie beschikt of het onmogelijk is om de betrokkene te informeren.

Recht op inzage  (artikel 15)

Betrokkene heeft het recht om van de verantwoordelijke te vernemen of deze persoonsgegevens van hem of haar verwerkt en als dat het geval is, dan de volgende informatie te ontvangen:

  • Verwerkingsdoel
  • Categorieën van persoonsgegevens
  • Ontvangers
  • Opslagtermijn
  • Rechten van betrokkene: inzage, rectificatie, wissen, bezwaar te maken;
  • Alle beschikbare informatie over de bron;
  • Het bestaan van geautomatiseerde besluitvorming (waaronder profiling) inclusief de onderliggende logica;
  • Eventuele informatie over de passende waarborgen bij een eventuele (internationale) doorgifte.

Op verzoek van de betrokkene moet (gratis) een kopie van de persoonsgegevens verstrekt. Hierbij dient jouw organisatie alle redelijke maatregelen te nemen om de identiteit van een betrokkene die om inzage verzoekt te controleren.

Recht op rectificatie (artikel 16)

De betrokkene heeft het recht om van de verantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met andere woorden, als bepaalde gegevens verkeerd zijn (bijvoorbeeld een oud telefoonnummer, adres of na een scheiding de achternaam) dan moeten de gegevens aangepast worden, zodat ze weer correct zijn. Dit is ook van belang om te voldoen aan artikel 5 van de AVG te voldoen, waarin onder andere is bepaald dat de persoonsgegevens die verwerk worden correct moeten zijn.

Recht om vergeten te worden (artikel 17)

Recht van betrokkene om zonder onredelijke vertraging het wissen van persoonsgegevens te verlangen indien:

  • De persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor ze verzameld werden;
  • De betrokkene zijn toestemming intrekt en er geen andere rechtsgrond voor de verwerking is;
  • De betrokkene bezwaar maakt tegen de verwerking en er geen prevalerende dwingende rechtvaardigingsgronden zijn voor de verwerking;
  • De persoonsgegevens onrechtmatig zijn verwerkt
  • Gewist moeten worden op basis van een wettelijke verplichting;
  • Persoonsgegevens van kinderen in verband met een aanbod van diensten

Wat houdt dit nu concreet in voor de praktijk. In de meeste gevallen hoeven persoonsgegevens niet verwijderd te worden op verzoek van de betrokkene als de gegevens nog nodig zijn (bijvoorbeeld voor de uitvoer van de overeenkomst). Zelfs als de betrokkene geen klant meer is, wil dat niet zeggen dat alle gegevens op zijn of haar verzoek verwijderd moeten worden. Als jouw organisatie de gegevens nog nodig heeft (bijvoorbeeld voor de verplichtingen richting de belastingdienst of om gedurende de verjaringstermijn van een mogelijke claim bewijs te hebben van het bestaan van de overeenkomst en de inhoud daarvan tussen jullie en de betrokkene) dan mag je de gegevens gewoon bewaren. Na het verlopen van de opslagtermijn die je bepaald hebt, moeten de gegevens wel alsnog gewist worden.

Recht op beperking van verwerking (artikel 18)

De betrokkene heeft recht op beperking van de verwerking:

  • Gedurende de tijd dat de verantwoordelijke nodig heeft om te controleren of de juistheid van de gegevens klopt, indien deze door de betrokkene wordt betwist;
  • Als de verwerking onrechtmatig is en de betrokkene zich verzet tegen wissen en verzoekt om beperking van gebruik;
  • Indien de verantwoordelijke de gegevens niet meer nodig heeft, maar de betrokkene wel voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
  • Als de betrokkene heeft bezwaar gemaakt (ex artikel 21 lid 1) tegen de verwerking en in afwachting van antwoord op de vraag of de gerechtvaardigde gronden van de verantwoordelijke zwaarder wegen dan die van de betrokkene.

Wat kan jouw organisatie tijdens de periode waarvoor de beperking van de verwerking geldt nog met de gegevens doen? De gegevens kunnen sowieso opgeslagen worden, maar verder:

  • Slechts verder verwerkt worden met toestemming van betrokkene;
  • Of voor een rechtsvordering;
  • Ter bescherming van rechten van andere;
  • Of om gewichtige redenen van algemeen belang;

Jouw organisatie moet de betrokkene informeren over het voornemen om de beperking van de verwerking op te heffen. Intern moet de beperking van de verwerking duidelijk aangegeven worden in de systemen die persoonsgegevens verwerken. Overigens, vraag ik me af of van dit recht in de praktijk veel gebruik gemaakt gaat worden. Op dit moment heb ik nog geen verzoeken gezien om de beperking van de verwerking. Echter, incidenteel kan ik me voorstellen dat een betrokkene van dit recht gebruik zal maken.

Recht op dataportabiliteit (artikel 20)

Betrokkene heeft het recht de persoonsgegevens over hem/haar die hij aan jouw organisatie heeft verstrekt in een gestructureerde, gangbare en machineleesbare vorm te krijgen en heeft het recht die gegevens (direct ex lid 2) aan een andere organisatie over te dragen als:

  • De verwerking berust op toestemming (ex artikel 6 lid 1a), 9 lid 2a (toestemming bijzondere persoonsgegevens) of op een overeenkomst ex 6 lid1b; en
  • De verwerking via geautomatiseerde procedes wordt uitgevoerd.

Dit recht geldt dus niet bij de overige verwerkingsgronden (wettelijke verplichtingen, taak van algemeen belang, uitoefening van openbaar gezag).

Recht om bezwaar te maken (artikel 21)

Betrokkene mag vanwege zijn specifieke situatie (die hij / zij dan wel moet onderbouwen) bezwaar maken tegen verwerking van persoonsgegevens als deze op grond van: 1. Algemeen belang, of 2. Belangenafweging rechtmatig verwerkt worden. De verantwoordelijke kan dit verzoek naast zich neerleggen als jouw organisatie kan aantonen dat zijn dwingende gerechtvaardigde belangen zwaarder wegen dan de belangen (grondrechten en fundamentele vrijheden) van de betrokkene. In de praktijk zal dit recht om bezwaar te maken met name gebruikt worden bij direct marketing richting klanten waar gerechtvaardigd belang als grondslag wordt gebruikt. Daarbij heeft betrokkene te allen tijde het recht om bezwaar te maken tegen deze verwerking (direct marketing inclusief profiling). De persoonsgegevens mogen dan niet meer voor direct marketing gebruikt worden. De gegevens van de betrokkenen mogen dan eventueel (als dat van te voren gecommuniceerd is) wel voor een ander doel gebruikt worden.

Recht tegen geautomatiseerde besluiten (waaronder profiling) (artikel 22)

Betrokkene heeft het recht om niet te worden onderworpen aan:

  • uitsluitend op geautomatiseerde verwerking gebaseerd besluit (waaronder profiling)
  • waaraan rechtsgevolgen zijn verbonden of hem anderszins in aanmerkelijke mate treft.

Kortom, het profilen van bezoeker op een website voor vakanties om te kunnen bepalen of iemand interesse heeft in zonvakanties, zodat de volgende aanbieding op

TENZIJ besluit:

  • Noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst;
  • Is toegestaan en voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van betrokkene;
  • Berust op uitdrukkelijke toestemming van betrokkene.

Betrokkene moet altijd de mogelijkheid hebben op 1. menselijke tussenkomst,  2. zijn standpunt kenbaar te maken en 3. het besluit aan te vechten.

Wat is profiling:

  • Geautomatiseerde verwerking van persoonsgegevens;
  • Ter beoordeling van persoonlijke aspecten;
  • Met name om kenmerken betreffende (beroeps)prestaties, economische situatie, gezondheid, voorkeuren en interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen;
  • Te analyseren of voorspellen.

Profiling houdt in het verzamelen, analyseren en combineren van (persoons)gegevens met als doel iemand in te delen in een bepaalde categorie. Met profiling kan een organisatie ook het gedrag van mensen voorspellen of een beslissing over hen nemen. Profiling wil dus zeggen dat iemand aan de hand van een (risico)profiel wordt beoordeeld om bijvoorbeeld zijn gedrag te voorspellen.

Gerelateerde berichten