Menu

Filter op
content
Data&Privacyweb

0

De Algemene Verordening Gegevensbescherming (AVG) stelt betrokkenen in staat om controle te houden over hun eigen persoonsgegevens. Met de komst van de privacywet hebben betrokkenen, van klanten en werknemers tot patiënten en cliënten, meer en uitgebreidere rechten gekregen. Organisaties krijgen steeds vaker verzoeken van betrokkenen die een beroep doen op hun privacyrechten. Hier gehoor aangeven als organisatie is een belangrijk onderdeel van een verantwoord privacybeleid, dat weer bijdraagt aan vertrouwen in organisaties.

AVG-rechten van betrokkenen

De AVG bepaalt de rechten voor betrokkenen. De betrokkene is de persoon van wie persoonsgegevens worden verwerkt. (19). De rechten van de betrokkene zijn:

  • Recht op inzage (art. 15 AVG): Het recht om onder meer een kopie te ontvangen van de verwerkte persoonsgegevens;

  • Recht op vergetelheid (art. 17 AVG): het recht om ‘vergeten’ te worden, ofwel het wissen van de persoonsgegevens;

  • Recht op rectificatie (art. 16 AVG): Het recht om de persoonsgegevens te laten wijzigen.

  • Het recht op dataportabiliteit (art. 20 AVG). Het recht om persoonsgegevens over te laten dragen aan een andere partij.

  • Het recht op beperking van de verwerking (art. 18 AVG): Het recht om minder gegevens te laten verwerken.

  • Het recht om niet te worden te worden onderworpen aan geautomatiseerde individuele besluitvorming en profilering (art. 22 AVG). Oftewel: het recht op een menselijke blik bij besluiten.

  • Het recht om bezwaar te maken tegen de gegevensverwerking (art. 21 AVG).

  • Het recht op informatie (art. 13 en 14 AVG): Het recht op heldere informatie over wat een organisatie met persoonsgegevens gaat doen en waarom. Duidelijk gemaakt moet worden welke persoonsgegevens er worden verwerkt, waarom dat gebeurd (welk doel) en met wie gegevens worden gedeeld of doorverkocht aan andere organisaties en welke organisaties dat precies zijn. (2)

Identificatie van betrokkenen

Betrokkenen hebben alleen rechten ten aanzien van hun eigen persoonsgegevens. Wanneer iemand een verzoek indient, is het voor organisaties daarom belangrijk om de identiteit van de betrokkene vast te stellen. Voor dit doel mogen organisaties bijna nooit een volledige kopie van een identiteitsbewijs vragen. In veel gevallen bestaan er minder vergaande maatregelen om iemands identiteit vast te stellen.

Bij het identificeren moet dus gezocht worden naar een passende methode en moet er rekening worden gehouden met de privacygevoeligheid van een verzoek. Zo zal de identificatie in geval van inzage in een medisch dossier zwaarder wegen dan wanneer iemand zijn of haar gegevens wil inzien in een webshop. In dat laatste geval volstaat bijvoorbeeld het opvragen van het klantnummer, in combinatie met naam en adres. (3)

Gehoor geven aan de rechten van de betrokkenen

De verwerkingsverantwoordelijke is verantwoordelijk voor het uitvoeren van een verzoek van een betrokkene en dient binnen een termijn van een maand op een verzoek te reageren. Ook als er geen gevolg aan het verzoek wordt gegeven. Organisaties moeten er daarom voor zorgen dat zij hun systemen, processen en interne organisaties inrichten op deze rechten. Er moet duidelijk zij wie er intern verantwoordelijk is voor het uitvoeren van een verzoek, waar de persoonsgegevens zijn opgeslagen en hoe de verschillende verzoeken in behandeling genomen moeten worden.

Voetnoten

(1) art. 4 (1) AVG.

(2) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/rechten-van-betrokkenen#wat-houdt-het-recht-op-informatie-in-7409
(3) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs#welke-informatie-moet-ik-als-organisatie-geven-als-ik-een-kopie-van-een-identiteitsbewijs-vraag-6860