Menu

Zoek op
rubriek
Data&Privacyweb
0

De Algemene Verordening Gegevensbescherming (AVG) stelt betrokkenen in staat om controle te houden over hun eigen persoonsgegevens. Met de komst van de privacywet hebben betrokkenen, van klanten en werknemers tot patiënten en cliënten, meer en uitgebreidere rechten gekregen. Organisaties krijgen steeds vaker verzoeken van betrokkenen die een beroep doen op hun privacyrechten. Hier gehoor aangeven als organisatie is een belangrijk onderdeel van een verantwoord privacybeleid, dat weer bijdraagt aan vertrouwen in organisaties.

AVG-rechten van betrokkenen
Op grond van de AVG hebben betrokkenen de volgende rechten:

  1. Recht van inzage – het recht om onder meer een kopie van de persoonsgegevens die worden verwerkt, te ontvangen;

  2. Recht op rectificatie – het recht om de persoonsgegevens die worden verwerkt, te laten wijzigen;

  3. Recht van vergetelheid – het recht om ‘vergeten’ te worden, ofwel het wissen van de persoonsgegevens;

  4. Recht op beperking van de verwerking – het recht om minder gegevens te laten verwerken;

  5. Recht op dataportabiliteit – het recht om persoonsgegevens over te laten dragen aan een andere partij;

  6. Recht van bezwaar tegen verwerking – het recht om bezwaar te maken tegen de gegevensverwerking;

  7. Recht om niet te worden te worden onderworpen aan geautomatiseerde individuele besluitvorming en profilering – het recht op een menselijke blik bij besluitvorming. (1)

Identificatie van betrokkenen
Betrokkenen hebben alleen rechten ten aanzien van hun eigen persoonsgegevens. Wanneer iemand een verzoek indient, is het voor organisaties daarom belangrijk om de identiteit van de betrokkene vast te stellen. Voor dit doel mogen organisaties bijna nooit een volledige kopie van een identiteitsbewijs vragen. In veel gevallen bestaan er minder vergaande maatregelen om iemands identiteit vast te stellen.

Bij het identificeren moet dus gezocht worden naar een passende methode en moet er rekening worden gehouden met de privacygevoeligheid van een verzoek. Zo zal de identificatie in geval van inzage in een medisch dossier zwaarder wegen dan wanneer iemand zijn of haar gegevens wil inzien in een webshop. In dat laatste geval volstaat bijvoorbeeld het opvragen van het klantnummer, in combinatie met naam en adres. (2)

Gehoor geven aan de rechten van de betrokkenen
De verwerkingsverantwoordelijke is verantwoordelijk voor het uitvoeren van een verzoek van een betrokkene en dient binnen een termijn van een maand op een verzoek te reageren. Ook als er geen gevolg aan het verzoek wordt gegeven. Organisaties moeten er daarom voor zorgen dat zij hun systemen, processen en interne organisaties inrichten op deze rechten. Er moet duidelijk zij wie er intern verantwoordelijk is voor het uitvoeren van een verzoek, waar de persoonsgegevens zijn opgeslagen en hoe de verschillende verzoeken in behandeling genomen moeten worden.

Voetnoten

(1) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/rechten-van-betrokkenen
(2) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/identiteitsbewijs#welke-informatie-moet-ik-als-organisatie-geven-als-ik-een-kopie-van-een-identiteitsbewijs-vraag-6860