De Algemene Verordening Gegevensbescherming (AVG) vormt de kern van de digitale rechten van burgers in een samenleving waarin data steeds bepalender wordt. Betrokkenen – of het nu gaat om klanten, werknemers, patiënten of gebruikers van digitale diensten – hebben dankzij de AVG meer zeggenschap over hun persoonsgegevens. Deze zeggenschap is actueler dan ooit nu organisaties volop inzetten op datagedreven besluitvorming, kunstmatige intelligentie en profilering.
De AVG kent betrokkenen een reeks fundamentele rechten toe. Deze rechten stellen individuen in staat om controle te houden over de manier waarop hun persoonsgegevens worden verzameld, gebruikt en gedeeld:
Recht op inzage (art. 15 AVG): het recht om inzicht te krijgen in de persoonsgegevens die worden verwerkt en om daarvan een kopie te ontvangen.
Recht op rectificatie (art. 16 AVG): het recht om onjuiste of onvolledige gegevens te laten corrigeren.
Recht op vergetelheid (art. 17 AVG): het recht om persoonsgegevens te laten verwijderen, bijvoorbeeld wanneer ze niet langer nodig zijn voor het doel waarvoor ze zijn verzameld.
Recht op beperking van de verwerking (art. 18 AVG): het recht om (tijdelijk) minder gegevens te laten verwerken, bijvoorbeeld in afwachting van een bezwaar of correctie.
Recht op dataportabiliteit (art. 20 AVG): het recht om persoonsgegevens in een gestructureerd, gangbaar formaat te ontvangen of over te dragen aan een andere partij.
Recht van bezwaar (art. 21 AVG): het recht om bezwaar te maken tegen de verwerking van persoonsgegevens, bijvoorbeeld bij marketingdoeleinden of profilering.
Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (art. 22 AVG): het recht op een menselijke beoordeling bij besluiten die aanzienlijke gevolgen hebben, zoals krediet- of sollicitatieprocedures.
Recht op informatie (art. 13 en 14 AVG): het recht op duidelijke en begrijpelijke informatie over de verwerking van persoonsgegevens, inclusief de doelen, grondslagen en eventuele doorgiften aan derden.
Omdat deze rechten alleen gelden voor de eigen persoonsgegevens, moeten organisaties zorgvuldig vaststellen of een verzoek daadwerkelijk afkomstig is van de betrokkene. Daarbij geldt dat het identificatieproces proportioneel moet zijn: niet meer gegevens vragen dan nodig is. In veel gevallen volstaat verificatie via klantgegevens, login-gegevens of een beperkte vorm van identificatie. Alleen bij gevoelige gegevens – zoals medische dossiers – mag een zwaardere vorm van identificatie worden toegepast.
Het tijdig en zorgvuldig behandelen van verzoeken van betrokkenen is een essentieel onderdeel van een transparant en betrouwbaar privacybeleid. De verwerkingsverantwoordelijke moet binnen één maand reageren op een verzoek, ook als dit wordt afgewezen. Dat vraagt om goed ingerichte processen:
Een duidelijk aanspreekpunt binnen de organisatie.
Inzicht in waar persoonsgegevens zich bevinden binnen systemen.
Procedures voor het registreren, beoordelen en afhandelen van verzoeken.
Door deze rechten serieus te nemen en processen hierop in te richten, tonen organisaties dat zij verantwoordelijkheid nemen voor dataverwerking in een tijd waarin digitale autonomie en vertrouwen onder druk staan.
AP steunt Europees streven om regeldruk te verminderen, maar niet ten koste van burgers
Nieuws-persberichtEU beloofde de AVG‑samenwerking te verbeteren – en maakte het alleen maar erger
BlogEDPS versterkt handhaving privacyrechten: focus op recht om vergeten te worden
Nieuws-persberichtWerken aan een privacybewuste gemeentelijke organisatie
Nieuws-persberichtBoete van 525.000 euro voor Locatefamily.com
Nieuws-persberichtIn gesprek met Anke van de Laar: “Het zou al een slok op een borrel schelen als inzageverzoeken uitgezonderd zouden worden van de Wet dwangsom bij niet tijdig beslissen.”
LoopbaanBKR verbeurt boete van EUR 830.000,- voor schending inzagerechten
ArtikelInzagerecht van betrokkenen: Autoriteit Persoonsgegevens int dwangsom bij Theodoor Gilissen Bankiers na weigering inzageverzoek
Artikel
