Rechten van betrokkenen
Wat zijn betrokkenen en welke rechten hebben ze?
In het kader van de Algemene Verordening Gegevensbescherming (AVG) zijn de betrokkenen degenen van wie persoonsgegevens worden verwerkt. Met betrekking tot de verwerking van hun persoonsgegevens hebben de betrokken personen een aantal rechten onder de AVG. Wanneer iemand gebruik maakt van deze rechten dan spreken we van een verzoek van een betrokkene.Recht op informatie
Een betrokkene moet geïnformeerd worden over het feit dat zijn persoonsgegevens (zullen) worden verwerkt, en met welk doel. De AVG bepaalt welke informatie minimaal aan de betrokkene moet worden meegedeeld. Denk daarbij aan de herkomst van de gegevens, de categorieën van persoonsgegevens, de categorieën van ontvangers van die persoonsgegevens en het feit dat de betrokkenen bepaalde rechten kunnen uitoefenen. De juridische grondslag voor de verwerking mag niet ontbreken. Ook wanneer het doel van de verwerking in een later stadium wijzigt of uitgebreid wordt, moet dit aan de betrokken personen worden gecommuniceerd.Bron: Artikel 13 en 14 van de AVG
Recht op inzage
Betrokkenen heben het recht te weten of een verantwoordelijke hun persoonsgegevens verwerkt en, zo ja, welke. De AVG somt de informatie op die aan de betrokkene, op diens verzoek, ter inzage moet worden aangeboden. Ook heeft de betrokkene het recht van de verwerkingsverantwoordelijke een kopie te ontvangen van 'zijn' persoonsgegevens. In de praktijk is dit het bekendste recht van een betrokkene: "Vragen wat ze over me weten."Bron: Artikel 15 van de AVG
Recht op rectificatie
Een betrokkene heeft het recht om van de verwerkingsverantwoordelijke snel rectificatie van hem betreffende onjuiste persoonsgegevens te krijgen. Gelet op de doeleinden van de verwerking kan de betrokkene aanvulling van onvolledige persoonsgegevens eisen. Hiervoor kan hij een aanvullende verklaring verstrekken.De verwerkingsverantwoordelijke is verplicht de wijzigingen door te geven aan iedere ontvanger aan wie de persoonsgegevens zijn verstrekt, mits dit mogelijk is en niet onevenredig veel inspanning vergt.
Bron: Artikel 16 van de AVG
Recht op gegevenswissing / vergetelheid
In bepaalde gevallen moet een verwerkingsverantwoordelijke persoonsgegevens van een betrokkene zonder onredelijke vertraging wissen, bijvoorbeeld als:- Persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij oorspronkelijk zijn verzameld of verwerkt.
- De betrokkene zijn toestemming intrekt en er geen andere rechtsgrond is voor de verwerking.
- De persoonsgegevens onrechtmatig zijn verwerkt.
- Een betrokkene tegen de verwerking bezwaar maakt en er geen prevalerende dwingende gerechtvaardigde gronden zijn voor de verwerking.
Het wissen van gegevens is niet altijd mogelijk, bijvoorbeeld als wetgeving een minimale bewaartermijn verplicht stelt.
Bron: Artikel 17 van de AVG.
Voor aanvullende informatie zie vergeetrecht.
Recht op beperking van de verwerking
Het recht op beperking betekent dat persoonsgegevens als het ware 'bevroren' worden - zo mogen niet verder worden verwerkt of gewijzigd worden. Dit is altijd een tijdelijke maatregel. Een beperking van de verwerking kan bijvoorbeeld worden geëist door een betrokkene als de juistheid van de gegevens wordt betwist en de verwerkingsverantwoordelijke tijd nodig heeft om de gegevens te controleren. Of als de verwerkingsverantwoordelijke de gegevens niet meer nodig heeft, maar de betrokkene ze nodig heeft in verband met een rechtszaak.Een opheffing van de beperking moet worden meegedeeld aan de betrokkene.
Bron: Artikel 18 van de AVG
Recht op overdraagbaarheid / dataportabiliteit
Een betrokkene heeft het recht zijn persoonsgegevens van een verwerkingsverantwoordelijke te krijgen, in een gestructureerde vorm, leesbaar voor een computer en in een gangbaar formaat (bijvoorbeeld csv, xml, json). Een betrokkene kan zo zijn persoonsgegevens eenvoudig overdragen aan een andere verwerkingsverantwoordelijke. Het recht op dataportabiliteit is alleen van toepassing op geautomatiseerde verwerkingen en de verwerking moet gebaseerd zijn op toestemming of op een overeenkomst.Bron: Artikel 20 van de AVG
Recht van bezwaar
Een betrokkene heeft het recht bezwaar te maken tegen verwerking van hem betreffende persoonsgegevens vanwege met zijn specifieke situatie verband houdende redenen. In de AVG wordt dit nader toegelicht.Het is ook mogelijk om bezwaar te maken tegen verwerking van persoonsgegevens voor direct marketing.
Bron: Artikel 21 van de AVG
Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / profilering
Verwerkingsverantwoordelijken mogen geen besluiten over betrokkenen nemen die uitsluitend op geautomatiseerde verwerking zijn gebaseerd, als die besluiten rechtsgevolgen of andere ernstige gevolgen hebben voor de betrokkenen. Denk hierbij aan online sollicitaties of kredietbeoordelingen zonder tussenkomst van mensen. Dit is omdat de gebruikte algoritmen fouten of vooroordelen kunnen bevatten.Geautomatiseerde individuele besluitvorming is wel mogelijk als:
- Het noodzakelijk is voor totstandkoming of uitvoering van een overeenkomst.
- Het berust op de uitdrukkelijke toestemming van de betrokkene.
- Het toegestaan is bij een Unierechtelijke of lidstaatrechtelijke bepaling.
Registratie van verzoeken van betrokkenen
Een organisatie zal verzoeken van betrokkenen moeten registreren. De verzoeken moeten worden beoordeeld. Dat kan tot afwijzing leiden of een vraag om aanvullende informatie te verstrekken. Het voldoen aan een valide verzoek kan enige tijd in beslag nemen. Een verwerkingsverantwoordelijke moet binnen één maand na ontvangst van een verzoek reageren. Die periode kan met twee maanden verlengd worden als het om een complex verzoek of om meerdere verzoeken van dezelfde betrokkene gaat.De administratie rondom verzoeken vormt weer een extra opslag van persoonsgegevens, wat een zekere tegenstrijdigheid met zich meebrengt bij een verzoek om verwijdering van gegevens.
Verzoeken kunnen op verschillende manieren binnenkomen, bijvoorbeeld per post, telefoon, app, e-mail etc. Er is gespecialiseerde software op de markt om de administratie rondom de verzoeken bij te houden.
Identificatie door de betrokkene
Wanneer iemand zijn privacyrechten uitoefent, moet dat verzoek worden beoordeeld. De eerste controle is het bepalen of de persoon in kwestie is wie hij/zij zegt te zijn. Die identificatie is om te voorkomen dat persoonsgegevens in verkeerde handen vallen. Zelden of nooit is een volledig (kopie) identiteitsbewijs nodig ter legitimatie. Andere, minder ingrijpende manier om iemands identiteit te verifiëren zijn bijvoorbeeld:- Vragen om een deel van een rekeningnummer, klantennummer of geboortedatum, om te vergelijken met de gegevens die in de eigen administratie voorkomen. Bij voorkeur worden meerdere vragen gesteld.
- Bij een telefonisch verzoek vragen om een bevestiging per e-mail. Het afzenderadres moet dan voorkomen in de eigen administratie. Waarschuwing: een oppervlakkige controle van het e-mailadres is niet genoeg omdat afzenderadressen vervalst kunnen worden.
Tool voor bekijken verwijderen, corrigeren of meenemen van je data
Bits of Freedom heeft een makkelijk hulpmiddel gemaakt om je data op te vragen, te laten verwijderen of te corrigeren, of om je gegevens mee te nemen. Van allerlei organisaties in diverse landen staan de contactgegevens vermeld. Een wizard helpt je om het verzoek op te stellen, dan hoef je het verzoek alleen nog maar te sturen naar het contactadres.Start de tool My Data Done Right van Bits of Freedom.