Rechten van betrokkenen: verschil tussen versies

Onder de AVG hebben mensen verschillende rechten om controle te houden over hun persoonsgegevens. Als organisatie moet u uw systemen, processen en interne organisatie op deze rechten inrichten, zodat u op de juiste manier gehoor kunt geven aan verzoeken van betrokkenen. De belangrijkste rechten van betrokkenen worden op deze pagina toegelicht.

• Het recht op informatie: u moet betrokkenen informeren over de verwerking van hun persoonsgegevens, bijvoorbeeld via een privacyverklaring.
• Het recht op inzage: betrokkenen kunnen een kopie ontvangen van de persoonsgegevens die u van hen verwerkt en aanvullende informatie over de verwerking vragen.
• Het recht op dataportabiliteit: betrokkenen kunnen onder bepaalde voorwaarden vragen om hun persoonsgegevens over te laten dragen aan een andere partij.
• Het recht op correctie: betrokkenen kunnen de persoonsgegevens die u verwerkt laten wijzigen of aanvullen als deze onjuist of onvolledig zijn.
• Het recht op verwijdering (vergetelheid): betrokkenen kunnen onder bepaalde voorwaarden vragen om hun persoonsgegevens te wissen.
• Het recht op beperking van de verwerking: betrokkenen kunnen onder bepaalde voorwaarden vragen om minder gegevens te laten verwerken.
• Het recht op bezwaar: betrokkenen kunnen onder bepaalde voorwaarden bezwaar maken tegen de verwerking van hun persoonsgegevens, bijvoorbeeld als deze gebaseerd is op het gerechtvaardigd belang van de organisatie.
• Het recht op een menselijke blik bij besluiten: betrokkenen hebben het recht op een menselijke blik bij besluiten die over hen gaan en die gebaseerd zijn op geautomatiseerde verwerking of profilering.

Als organisatie moet u binnen een maand reageren op een verzoek van een betrokkene om gebruik te maken van zijn of haar rechten. U moet ook de identiteit van de betrokkene vaststellen voordat u het verzoek in behandeling neemt, maar daarbij mag u niet meer gegevens opvragen dan nodig is. Door goed om te gaan met de privacyrechten draagt u bij aan het vertrouwen van mensen in uw organisatie en aan een gezond privacybeleid.

Recht op informatie

Voor veel mensen is niet transparant wat er met hun gegevens gebeurt. Daarom stelt de AVG de privacyverklaring verplicht. In deze juridische bijsluiter kunnen mensen nalezen wat iemand gaat doen met hun persoonsgegevens en waarom, plus hoe deze worden beveiligd, wie er toegang toe heeft en hoe je je rechten van inzage, correctie en verwijdering kunt uitoefenen. Een standaard privacyverklaring bevat dan ook deze elementen:

• Naam van verantwoordelijke en contactpersoon;
• De contactgegevens van de functionaris voor gegevensbescherming, indien een organisatie een FG heeft;
• Doel(en) van de verwerking (titel en korte omschrijving);
• Of voor dit doel toestemming nodig is, dan wel de overeenkomst of een andere grondslag gebruikt wordt (inclusief motivatie);
• Welke persoonsgegevens per doel gebruikt worden;
• Hoelang deze persoonsgegevens worden bewaard (inclusief motivatie);
• Hoe de persoonsgegevens en de verwerking beveiligd worden;
• Welke partijen de persoonsgegevens ontvangen, met aparte aanduiding van partijen die buiten de Europese Unie gevestigd zijn;
• Welke rechten men heeft en hoe deze uit te oefenen;
• Uitleg of er profilering plaatsvindt en of dit besluitvorming tot gevolg heeft;
• Uitleg over het klachtrecht bij de toezichthouder;

De privacyverklaring als instrument is vooral bekend bij online diensten, zoals websites en apps. Maar de AVG eist dat bij alle verwerkingen mensen vooraf duidelijk worden geïnformeerd over het wat en hoe. Wanneer betrokkenen wordt gevraagd om een inschrijfformulier in te vullen, dan zal daar dus een privacyverklaring bij moeten worden getoond. Dat zou op de achterkant kunnen van het formulier, of als apart document dat aan mensen wordt meegegeven.

Let op: privacyverklaringen moeten duidelijk en begrijpelijk zijn, en op de doelgroep toegesneden. De tekst moet worden geschreven op niveau B1 of B2. Het moet dan gaan om eenvoudige en alledaagse taal, opgebouwd in een goede structuur waarbij weinig voorkomende termen door de context meteen duidelijk worden.

Recht op inzage

Het eerste 'uitvoerbare' recht dat mensen hebben, is inzage in hun persoonsgegevens en het gebruik daarvan. Op dergelijke verzoeken moet aan betrokkenen een gecategoriseerd overzicht worden gegeven van de betreffende gegevens, inclusief voor welke doelen deze worden gebruikt, de (soorten) ontvangers, de bewaartermijn(en) en de bron daarvan. De betrokkene heeft in beginsel recht op een kopie van ál zijn of haar persoonsgegevens. Niet alleen het formele dossier, maar ook andere gegevens die betrekking hebben op de persoon. Weigeren bepaalde gegevens te verstrekken (zoals een mail van de manager naar een collega die over deze persoon gaat) zou alleen kunnen als de privacy van andere personen daardoor onevenredig wordt geschaad.

Het inzagerecht vereist dat men een kopie krijgt van de persoonsgegevens. De manier waarop dat moet gebeuren, is niet vastgelegd. U kunt dus bijvoorbeeld alle e-mails die over deze persoon gaan, verstrekken als een pdf-bestand. U heeft geen plicht een kopie in een specifiek formaat te verstrekken, behalve als de betrokkene een beroep doet op zijn recht op dataportabiliteit.

Recht op dataportabiliteit

Specifiek wanneer de persoonsgegevens worden verwerkt met toestemming of onder een overeenkomst, heeft de betrokken persoon het expliciete recht om die persoonsgegevens in een digitaal leesbaar standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit. Doel van dit recht is mensen de gelegenheid te geven die gegevens elders te hergebruiken of publiceren. Een gebruiker van bijvoorbeeld sociaal netwerk Facebook kan dus al zijn geplaatste berich- ten en foto’s downloaden met een beroep op dit recht, en vervolgens (in theorie) deze bij Instagram plaatsen om daar verder te gaan.

Voor een beroep op dit recht moet aan de volgende voorwaarden zijn voldaan:

1. Het gaat om persoonsgegevens, niet om geanonimiseerde gegevens
2. De gegevens zijn verstrekt door de betrokken persoon, of direct afkomstig van zijn apparatuur. Verwerkte gegevens zoals de uitkomst van analyses of algoritmes vallen hier dus niet onder.
3. De gegevens zijn langs geautomatiseerde weg verwerkt. Een papieren verwerking valt er dus niet onder.
4. De gegevens brengen de privacy van andere mensen niet in gevaar.

De AVG bepaalt niet in welk formaat de gegevens moeten worden aangeleverd: organisaties moeten zelf op zoek gaan naar een gepast formaat. Vaak beschikt software over uitvoer- of downloadopties waarmee dit mogelijk is.

Een recht op dataportabiliteit bestaat wél bij:

• Het digitale personeelsdossier. De grondslag hiervoor is immers de arbeidsovereenkomst.
• Gegevens over het leesgedrag van een nieuwsbrief. De grondslag hiervoor is immers toestemming voor het ontvangen daarvan.
• De ruwe gegevens van een thermostaat of slimme meter bij iemand thuis. Deze worden immers uitgelezen op grond van een overeenkomst tot energielevering.

Een recht op dataportabiliteit bestaat niet bij:

• Camerabeelden van een beveiligingscamera. De grondslag voor cameratoezicht is immers een eigen belang, niet toestemming of een overeenkomst.
• Informatie die een werkgever aan de Belastingdienst heeft verstrekt. Deze persoonsgegevens zijn immers onder een wettelijke plicht verwerkt.
• Een gebruikersprofiel van de eigenaar van een slimme meter bij de eigenaar thuis. Deze gegevens zijn weliswaar verwerkt op grond van een overeenkomst tot energielevering maar niet direct verstrekt door de eigenaar zelf.
• E-mails tussen twee directieleden over een personeelslid met als onderwerp de vraag of het personeelslid een bevordering verdient. Deze informele discussie valt onder de persoonlijke levenssfeer an deze directieleden. Verstrekking zou hun privacy in gevaar brengen.

Recht op correctie

Wie inzage heeft gehad, ziet wellicht fouten of onvolledigheden. De betrokkene heeft dan ook het recht om deze te laten corrigeren. Dit moet onverwijld worden doorgevoerd, en ook hier mogen geen kosten voor worden gerekend. Het moet wel gaan om evidente fouten (zoals typefouten of zaken waar geen discussie over nodig is). Men kan niet via een correctieverzoek bijvoorbeeld beoordelingen of uitkomsten laten veranderen. Maar het doet er niet toe of uw organisatie de fout maakte dan wel de persoon zelf.

Organisaties zijn verplicht gehoor te geven aan correctieverzoeken. Correcties raken ook opgeslagen gegevens. Als iemand bijvoorbeeld klaagt over een fout gespelde achternaam, dan zal dit in alle dossiers moeten worden aangegeven. Maar als iemand van naam is veranderd (bijvoorbeeld na een huwelijk) dan moet die correctie vanaf nu worden doorgevoerd, maar niet met terugwerkende kracht.

Een aantal voorbeelden van correctieverzoeken die moeten worden gehonoreerd:

• Verandering van iemands achternaam in de ledenadministratie omdat hij of zij inmiddels getrouwd is.
• Afgifte van een personeelsbadge met de nieuwe achternaam na het huwelijk.
• Correctie van een onjuist ingevoerde geboortedatum op een bestelformulier.

Een aantal voorbeelden van correctieverzoeken die niet hoeven te worden gehonoreerd:

• Aanpassing van een personeelsbeoordeling. Wanneer deze is zoals door de manager bepaald, dan is er geen fout in de genoteerde beoordeling.
• Het herzien van het cijfer van een toets. Dit is geen evidente fout.
• Het aanpassen van een gespreksopname omdat men niet bedoelde akkoord te geven op een telefonisch aanbod. De opname legde immers correct vast wat er is gezegd.

Recht op verwijdering

Blijken gegevens achterhaald of niet meer relevant, dan kan men in plaats van correctie ook verwijdering daarvan verlangen. De verantwoordelijke mag dit alleen weigeren als hij kan aantonen dat de gegevens nog wél relevant zijn. Een debiteur kan bijvoorbeeld niet eisen dat zijn openstaande facturen worden verwijderd omdat zijn naam daarop staat; die persoonsgegevens zijn nog relevant. Bovendien geldt op facturen een wettelijke bewaartermijn van zeven jaar.

Wanneer gegevens vergeten moeten worden, moeten ze ook écht weg. Enkel ze afschermen of achter een wachtwoord zetten is niet genoeg. U moet kunnen aantonen dat de gegevens op een veilige manier zijn gewist. Heeft u de gegevens aan een ander verstrekt, dan moet u ervoor zorgen dat ook deze ander de gegevens wist. Dit geldt niet alleen bij verwerkers maar ook bij anderen die zelf met deze gegevens werken (verantwoordelijken).

Veel organisaties maken back-ups (reservekopieën) van alle gegevens die zij voor hun bedrijfsvoering gebruiken. Als zo’n back-up persoonsgegevens bevat, dan kan daarop ook het recht van verwijdering worden uitgeoefend. Echter, onder normale omstandigheden heeft een organisatie een duidelijk belang bij het bewaren van de back-up gedurende een zekere periode: het kunnen herstellen van de situatie bij een ernstig incident. Dit belang is gerechtvaardigd en zal daarom winnen van een verzoek persoonsgegevens uit een back-up te wissen. Wel moet het bedrijf na herstel van zo’n back-up direct de verzochte gegevens wissen.

In het verwerkingsregister is gedocumenteerd hoelang gegevens worden bewaard en waarom. In principe kan daarmee een verwijderingsverzoek dan ook direct worden gepareerd als de bewaartermijn nog niet verstreken is. Let wel op dat voor individuele gegevens verschillende bewaartermijnen kunnen gelden. Zo zou de administratie naast facturen ook verhuisberichten van klanten kunnen bevatten. Hoewel facturen wettelijk zeven jaar bewaard moeten worden, geldt dat niet voor die verhuisberichten. Die moeten dus (behalve de laatste) worden verwijderd op verzoek.

Recht op bezwaar

Wanneer u iemands persoonsgegevens verwerkt op grond van het gerechtvaardigd belang, heeft u daarbij een belangenafweging gemaakt met de privacy van de betrokken personen. Deze belangenafweging is echter naar zijn aard abstract, en kan dus in concrete gevallen vervelend uitpakken voor mensen. De AVG geeft mensen dan ook het recht van bezwaar “vanwege met zijn specifieke situatie verband houdende redenen”.

U moet een concreet bezwaar zwaar wegen en de belangenafweging opnieuw doen met dit bezwaar in het achterhoofd. Komt u daar niet uit, dan moet u de verwerking staken of zorgen dat deze persoon buiten beeld blijft.

Een paar voorbeelden van een terecht ingeroepen persoonlijk bezwaar en mogelijke maatregelen:

• Een school maakt foto's van een klassenreis en publiceert deze op internet, waarbij gezichten van leerlingen worden vervaagd. Eén leerling maakt bezwaar omdat zij in een rolstoel zit en zo nog steeds herkenbaar is. De school zal hetzij haar buiten beeld moeten houden, hetzij haar verdergaand vervagen, hetzij de foto's afschermen voor uitsluitend de betrokken ouders en leerlingen.
• Een kassa van de kantine staat continu in beeld van een beveiligingscamera die de nooduitgang daarachter filmt. Het kantinepersoneel wordt zo disproportioneel gefilmd omdat zij achter de kassa moeten staan, terwijl ander personeel daar hooguit vijf minuten per dag staat. De camera's moeten worden verplaatst.
• Een lid van de schaakvereniging maakt bezwaar tegen publicatie van zijn wedstrijduitslagen met voor- en achternaam. Zijn ex-partner traceert hem via internet en valt hem dan lastig. Zijn naam zal dan moeten worden gepseudonimiseerd.

Recht op beperking

Een nieuw recht onder de AVG is het recht op beperking. Hiermee kan een betrokkene verzoeken zijn persoonsgegevens als het ware tijdelijk te bevriezen, totdat een bezwaar of probleem met de verwerking daarvan is opgelost. In principe moet hier altijd gehoor aan gegeven worden. Een bevriezing of beperking is altijd tijdelijk en altijd in afwachting van de afhandeling van een ander recht.

Een paar voorbeelden van een terecht ingeroepen recht van beperking:

• Een persoon krijgt steeds meer aanmaningen terwijl de factuur al lang betaald is. Hij kan dan bevriezing verlangen totdat het bedrijf en hij hebben vastgesteld wat de betaalsituatie is.
• Een persoon maakt bezwaar tegen een verwerking, maar de afhandeling daarvan zal een paar weken duren. In de tussentijd worden de gegevens bevroren.
• Een persoon constateert dat een bedrijf zijn persoonsgegevens gebruikt zonder enige grondslag. Hij wil dit ook voor de toekomst voorkomen en vordert beperking: de gegevens moeten op een zwarte lijst komen zodat ze nooit meer gebruikt zullen worden.