+49 4284 927 838
office@avggereed.nl
Menu

Rechten van betrokkenen

Gezond privacybeleid begint met de erkenning van het recht op informatie!

Een goed en verantwoordelijk privacybeleid begint met het gehoor geven aan mensen die een beroep doen op hun privacyrechten. Een goed privacybeleid draagt bij aan het vertrouwen van klanten, leveranciers en medewerkers in jouw organisatie.

Natuurlijke personen hebben onder het AVG een groot aantal rechten om controle te houden over hun persoonsgegevens.

Art 13 en 14 AVG: het recht op informatie
Een betrokkene moet op de hoogte worden gesteld van het feit dat verwerking van zijn persoonsgegevens plaats vindt of zal plaats vinden en wat de doeleinden hiervan zijn. De AVG geeft aan welke informatie in ieder geval verstrekt moet worden, bijvoorbeeld informatie over de periode, de rechten van betrokkene, de bron van gegevens en de juridische grondslag voor de verwerking. Verandert het doel van de verwerking, dan moet ook daarover informatie worden verstrekt.
Art. 15 AVG: het recht op inzage
Betrokkenen hebben het recht te weten of hun betreffende persoonsgegevens worden verwerkt door de verantwoordelijke. De AVG bevat een opsomming van de informatie waarvoor het recht van inzage geldt. De verwerkingsverantwoordelijke moet betrokkene een kopie verstrekken van de persoonsgegevens die worden verwerkt.
Art. 16 AVG: het recht op rectificatie
Betrokkene heeft recht op rectificatie van hem betreffende onjuiste persoonsgegevens dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige gegevens. De rectificatie moet meteen plaatsvinden. De verwerkingsverantwoordelijke is verplicht iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis te stellen van elke rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vraagt.
Art 17 AVG: het recht op gegevenswissing (vergetelheid)
De verwerkingsverantwoordelijke is verplicht persoonsgegevens van de betrokkene zonder onredelijke vertraging te wissen, onder andere indien:

  • persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
  • de betrokkene zijn toestemming intrekt en er geen andere rechtsgrond voor verwerking bestaat;
  • betrokkene bezwaar maakt tegen de verwerking en er zijn geen dwingende gerechtvaardigde gronden voor de verwerking die prevaleren;
  • de persoonsgegevens onrechtmatig verwerkt zijn.

De betrokkene heeft het recht te eisen dat alle informatie, die direct of indirect naar hem herleidbaar is, wordt verwijderd. Dat betekent dat de organisatie die de persoonsgegevens heeft verwerkt ook moet zorgen dat gegevens die elders terecht zijn gekomen (bijvoorbeeld bij een potentiële werkgever) daar verwijderd worden. Het wissen van gegevens is niet altijd verplicht, bijvoorbeeld wanneer ze nog nodig zijn voor de doeleinden waarvoor ze zijn verwerkt.

Art. 18 AVG: het recht op beperking van de verwerking
Het recht op beperking houdt in dat de persoonsgegevens (tijdelijk) niet verwerkt mogen worden en niet gewijzigd mogen worden. Het feit dat de verwerking van de persoonsgegevens beperkt is, moet door de verwerkingsverantwoordelijke duidelijk in het bestand zijn aangegeven zodat dit ook duidelijk is voor ontvangers van de persoonsgegevens. Wanneer de beperking weer wordt opgeheven, moet de betrokkene hiervan op de hoogte worden gebracht.

Een verwerking moet onder andere worden beperkt wanneer betrokkene aanvoert dat de verwerkte persoonsgegevens niet juist zijn of de verwerking onrechtmatig is en de betrokkene zich verzet tegen het wissen en verzoekt om beperking.

Art. 20 AVG: het recht op overdraagbaarheid (data portabiliteit )
Het recht op dataportabiliteit houdt in dat een betrokkene het recht heeft zijn persoonsgegevens van een verwerkingsverantwoordelijke te verkrijgen in gestructureerde, gangbare en machineleesbare vorm. Een betrokkene moet zo de mogelijkheid hebben zijn persoonsgegevens zonder obstakels over te kunnen dragen aan een nieuwe verwerkingsverantwoordelijke, bijvoorbeeld bij het wisselen van dienstverlener. Het recht op data portabiliteit bestaat alleen wanneer de verwerking berust op toestemming of op een overeenkomst én de verwerking geautomatiseerd is.
Art. 21 AVG: het recht van bezwaar
Een betrokkene kan vanwege redenen die verband houden met zijn specifieke situatie gebruik maken van dit recht van bezwaar (dat niet vergelijkbaar is met bezwaar op grond van de Awb) tegen de verwerking van hem betreffende persoonsgegevens, als voldaan is aan de in de verordening genoemde eisen. Als een betrokkene bezwaar maakt staakt de verwerkingsverantwoordelijke de verwerking, tenzij dwingende gerechtvaardigde gronden anders bepalen. 
Art. 22 AVG: het recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / profilering
Bij dit recht kan bijvoorbeeld gedacht worden aan de automatische weigering van een online ingediende kredietaanvraag of aan de verwerking van sollicitaties via internet zonder menselijke tussenkomst. In drie gevallen is geautomatiseerde individuele besluitvorming wel mogelijk:

  1. het is noodzakelijk voor de totstandkoming of de uitvoering van een overeenkomst;
  2. het is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling;
  3. het berust op de uitdrukkelijke toestemming van de betrokkene.

Jij, als verantwoordelijke voor de verwerking van persoonsgegevens, moet ervoor zorgen dat je jouw systemen, processen en interne organisatie zodanig inricht dat je op de juiste manier en binnen korte tijd (max. 4 weken) gehoor kunt geven aan verzoeken van betrokkenen.

Heb je informatieverzoek met betrekking de verwerking en opslag van persoonsgegevens ontvangen? voer dan de volgende stappen uit.

  1. Het verzoek is binnengekomen.
  2. Identificatie van de persoon.
  3. Is het verzoek gerechtvaardigd?
  4. Beantwoording van het verzoek.

Wat gebeurt er als ik niet antwoord?

Idealiter is de getroffen klant nu tevreden en is het verzoek voltooid. Als dit niet het geval is, kan de aanvrager opnieuw contact met jouw onderneming opnemen. Hij kan ook binnen een jaar een klacht indienen bij de autoriteit persoonsgegevens (AP). Dan is mogelijk sprake van privacyschending. In dat geval zal de AP een onderzoek moeten instellen.