Inmiddels zitten we in 2018 en heb je nog maar een aantal maanden om je organisatie volledig voor te bereiden voor de AVG die vanaf 25 mei gehandhaafd gaat worden. In deel 1 hebben we je laten weten hoe je jouw organisatie kunt voorbereiden voor de AVG en in deel 2 hebben we je meer laten weten over de verwerkersovereenkomst.

In deel 3 van deze blogreeks gaan we je meer vertellen over het recht op inzage en rectificatie, het recht om vergeten te worden en het recht op dataportabiliteit.

Recht op inzage en rectificatie

Het recht op inzage en rectificatie bestaat ook al onder de huidige wetgeving. Onder de AVG zal er een uitbreiding van deze rechten plaatsvinden.

Mensen hebben recht op inzage in hun persoonsgegevens. Dit houdt in dat betrokkene (degene van wie de organisatie gegevens verwerkt) X aan organisatie Y mag vragen of de organisatie persoonsgegevens van hem verwerkt en zo ja, welke. Betrokkene X hoeft geen reden aan organisatie Y te geven voor dit inzageverzoek. Iedereen is dus vrij om bij organisaties aan te kloppen en te vragen of deze zijn persoonsgegevens verwerkt.

Vraagt een betrokkene om inzage, dan moet de organisatie die betrokkene op een duidelijke en begrijpelijke manier laten weten:

  • of de organisatie zijn persoonsgegevens gebruikt, en zo ja:
    • om welke gegevens het gaat;
    • wat het doel is van het gebruik;
    • aan wie de organisatie de gegevens (eventueel) heeft verstrekt;
    • als dit bekend is, wat de herkomst van de gegevens is.

De meest voor de hand liggende afhandeling is door een digitale kopie van de gegevens van de betrokkene die vraagt om inzage te sturen.

Reikwijdte inzagerecht

Het recht op inzage geldt alleen voor de gegevens van de betrokkene zelf. De betrokkene kan dus geen informatie over de gegevens van zijn buurman opvragen.

Gebruikt een organisatie persoonlijke werkaantekeningen als geheugensteuntje? Een geheugensteuntje kan zijn dat je weet van betrokkene X dat hij alleen maandag t/m woensdag werkt. Deze persoonlijke werkaantekeningen vallen niet onder het inzagerecht. Slaat de organisatie aantekening wel op in een dossier of verstrekt de organisatie dit aan anderen? Dan heeft de betrokkene waarover deze gegevens gaan wél het recht op inzage in deze aantekeningen.

Wanneer de betrokkene fouten of onvolledigheden ontdekt in de, aan hem, aangeleverde gegevens, dan heeft hij het recht om die gegevens te laten rectificeren of aan te laten vullen. Dit verzoek moet ‘zonder onredelijke vertraging’ worden uitgevoerd.

Recht om vergeten te worden

In artikel 17 van de AVG is het recht op vergetelheid opgenomen. Dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moet wissen als een betrokkene daarom vraagt.

Reikwijdte recht op vergetelheid

Het recht op vergetelheid geldt alleen in de volgende situaties:

  • Niet meer nodig

De organisatie heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor ze verzameld zijn of verwerkt worden.

  • Intrekken toestemming

De betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.

  • Bezwaar

De betrokkene maakt bezwaar tegen de verwerking van zijn persoonsgegevens. Er geldt op grond van artikel 21 van de AVG een absoluut recht van bezwaar tegen direct marketing. Er geldt een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van de organisatie om de persoonsgegevens te verwerken.

  • Onrechtmatige verwerking

De organisatie verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.

Wettelijke grondslagen zijn:

  • Toestemming van de betrokkene;
  • Uitvoeren van een overeenkomst;
  • Wettelijke verplichting;
  • Vitaal belang van de betrokkene;
  • Uitvoeren van een publiekrechtelijke taak;
  • Gerechtvaardigd belang van de organisatie.
  • Wettelijke bepaalde bewaartermijn

De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen. Voor salarisadministratie staat bijvoorbeeld een wettelijke bepaalde bewaartermijn van maximaal 2 jaar na beëindiging van het dienstverband van de werknemer.

  • Kinderen

De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website.

Het recht op dataportabiliteit (overdraagbaarheid van persoonsgegevens)

De AVG geeft betrokkenen een nieuw recht. Dit is het recht op dataportabiliteit, ofwel het recht op overdraagbaarheid van persoonsgegevens.

Dit houdt in dat de betrokkene recht heeft om de persoonsgegevens te ontvangen die een organisatie van hem heeft. Het gaat daarbij om de gegevens die door de betrokkene zelf zijn verstrekt aan de verantwoordelijke (de organisatie). Daaronder vallen ook de gegevens die de betrokkene heeft verstrekt door middel van het gebruik van een product (denk aan zoekgeschiedenis, locatiegegevens, aankopen, etc.). Vervolgens kan de betrokkene deze gegevens zelf opslaan voor persoonlijk (her)gebruik. Ook kan verzocht worden om de gegevens door te geven aan een derde partij (de nieuwe verantwoordelijke). Dit kan bijvoorbeeld wanneer iemand wil overstappen naar een andere provider, of als de betrokkene een dienst van een andere organisatie wil gebruiken.

De organisatie die de gegevens verstrekt, mag de betrokkene hierin niet tegenwerken. Er moet gezorgd worden dat de gegevens makkelijk verkregen en doorgegeven kunnen worden.

Welke gegevens vallen onder het recht van dataportabiliteit?

  • Het gaat alleen om digitale gegevens. Papieren dossiers vallen hier niet onder
  • Het gaat om persoonsgegevens die verwerkt worden
    • óf met toestemming van de betrokkene
    • óf met een overeenkomst met de betrokkene uit te voeren

Wat is het verschil tussen het inzagerecht en het recht op dataportabiliteit?

Onder de huidige wetgeving hebben betrokkenen al het recht om inzage te vragen in de persoonsgegevens die een organisatie van hen verwerkt. Organisaties mogen wel zelf bepalen hoe ze de gegevens ter inzage aanleveren. Zo kunnen organisaties er bijvoorbeeld voor kiezen om de gegevens niet aan de betrokkene te verstrekken, maar de betrokkene uit te nodigen om ter plekke zijn gegevens te komen inzien.

Bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor de betrokkene makkelijk maakt om zijn gegevens te hergebruiken en door te geven aan andere organisaties. Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machine leesbaar-formaat te verstrekken aan de betrokkene.

Informatieplicht onder de AVG

Op grond van de informatieplicht moet de betrokkene geïnformeerd worden over zijn rechten onder de Europese privacywetgeving. Deze informatie kun je delen in de privacyverklaring. Deze kun je op de website van je organisatie plaatsen, in een pop-up bij het inschrijfformulier voor de nieuwsbrief of bij andere documentatie die een betrokkene ontvangt.

Let wel op dat je deze informatie verstrekt op het moment dat je de persoonsgegevens van een persoon krijgt. Een privacyverklaring mag dus niet achteraf gestuurd worden, maar moet direct beschikbaar zijn voor de betrokkene.

Wat moet er in een privacyverklaring staan?

De privacyverklaring moet in ‘beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal’ opgesteld worden.

Wat staat erin:

  • De naam en contactgegevens van de (vertegenwoordiger en de) verantwoordelijke;
  • De contactgegevens van de Functionaris voor de Gegevensbescherming (indien van toepassing);
  • Het doel en rechtsgrond van de verwerking van de persoonsgegevens;
  • De gerechtvaardigde belangen van de verantwoordelijke (of derde) indien dit de rechtsgrond van verwerking van de persoonsgegevens is;
  • Eventuele ontvangers of categorieën van ontvangers van de persoonsgegevens bij doorgifte
  • Als doorgifte van persoonsgegevens plaatsvindt naar een land buiten de EU: welke passende waarborgen zijn genomen om de privacy in dat land te waarborgen?
  • De bewaartermijn (en de criteria ter bepaling van de termijn);
  • De betrokkene moet erop gewezen worden dat hij:
    • Recht heeft op inzage van de persoonsgegevens die de verantwoordelijke verwerkt;
    • Recht heeft op vergetelheid;
    • Recht heeft op rectificatie en aanvulling van zijn persoonsgegevens;
    • Recht heeft op beperking van de verwerking (het recht om minder gegevens te laten verwerken);
    • Recht heeft op dataportabiliteit;
    • Recht heeft op een menselijke afweging bij besluiten (met betrekking tot geautomatiseerde besluitvorming en profilering). Voorbeelden hiervan zijn de automatische weigering van sollicitaties via het internet zonder menselijke tussenkomst;
    • Recht heeft om bezwaar te maken (het recht op intrekken van eerder gegeven toestemming);
    • Recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens als een betrokkene vindt dat dit nodig is;
    • De verantwoordelijke gebruikmaakt van geautomatiseerde besluitvorming (inclusief profiling) en er moet nuttige informatie instaan over logica, belangen en de gevolgen daarvan voor de betrokkene.