28 december 2017, leestijd 6 minuten.

In een eerdere blog (die lees je hier) heb je kunnen lezen dat persoonsgegevens niet zonder wettelijke grondslag verwerkt mogen. Heb je de gegevens eenmaal op een juiste manier verwerkt en denk je dat je dan geen zorgen meer hebt? Dan moeten we je helaas teleurstellen. De rechten van betrokkenen (personen van wie persoonsgegevens verwerkt zijn) worden onder de GDPR (AVG) namelijk uitgebreid.

Wanneer een betrokkene zich op één van zijn rechten beroept, dien je daar als organisatie (verwerkingsverantwoordelijke) gehoor aan te geven. Hieronder bespreken wij de belangrijkste rechten van betrokkenen kort en bondig.

  1. Het recht op inzage
  2. Het recht op overdraagbaarheid van gegevens
  3. Het recht op rectificatie en gegevensverwijdering
  4. Het recht op beperking van de verwerking
  5. Het recht om bezwaar te maken tegen verwerkingen
  1. Het recht op inzage

Allereerst heeft een betrokkene het recht om op te vragen welke gegevens een organisatie van hem of haar in bezit heeft. Hoe meer persoonsgegevens je als organisatie verzamelt, hoe meer informatie je moet verstrekken bij een inzageverzoek. Een mooi voorbeeld is het inzageverzoek dat een journalist heeft gedaan aan de datingapp Tinder. Hij ontving 850 pagina’s aan informatie van het bedrijf.

Wanneer je als organisatie een inzageverzoek ontvangt, dan dien je de gegevens te verstrekken in een leesbaar en gangbaar formaat. Daarnaast heeft een betrokkene – indien hij daarom vraagt – het recht op aanvullende informatie waaronder:

  • De verwerkingsdoeleinden;
  • De categorieën van persoonsgegevens;
  • De derden aan wie persoonsgegevens zijn, of zullen worden verstrekt;
  • Indien mogelijk, de termijn van bewaring van de gegevens;
  • Informatie over het recht van de betrokkene op wissing en/of rectificatie van gegevens, het recht om tegen een verwerking bezwaar te maken en het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens; en
  • Als de gegevens niet bij de betrokkene zelf wordt verzameld, alle beschikbare informatie over de bron van de gegevens.
  1. Het recht op overdraagbaarheid van gegevens

Het recht op ‘dataportabiliteit’ is gerelateerd aan het eerdergenoemde recht op inzage. Een betrokkene heeft het recht om de gegevens die een organisatie van hem verwerkt op te vragen. Indien zo’n verzoek gegrond is, dien je als organisatie de persoonsgegevens gestructureerd, in een gangbare en ‘machineleesbare vorm’ aan een betrokkene over te dragen. Praktisch gezien houdt dit in dat een betrokkene zijn gegevens moet ontvangen in bijvoorbeeld een Exel-, Word- of PDF-document.

Het doel van deze ‘dataportabiliteit’ is dat betrokkenen meer controle krijgen over hun eigen persoonsgegevens. Daarnaast is het voor personen makkelijker om gegevens door te geven aan een andere organisatie

  1. Het recht op rectificatie en gegevensverwijdering

Een betrokkene kan een organisatie ook vragen zijn gegevens te laten aanpassen, aanvullen of verwijderen. Het wissen van de gegevens moet zonder onredelijke vertraging, binnen een redelijke termijn. Afhankelijk van de complexiteit van een verzoek, zal dit in de meeste gevallen binnen één maand zijn.

In de volgende gevallen ben je als organisatie in beginsel verplicht om de betreffende gegevens te wissen:

  • Het is niet meer nodig om de persoonsgegevens te bewaren voor de doeleinden waarvoor zij zijn verwerkt;
  • In het geval dat een verwerking berust op toestemming van de betrokkene en de betrokkene trekt deze toestemming weer in;
  • Wanneer de betrokkene (gerechtvaardigd) bezwaar maakt tegen de verwerking;
  • Wanneer de persoonsgegevens onrechtmatig zijn verwerkt; of
  • Wanneer dit volgt uit een wettelijke verplichting voor de verantwoordelijke.

Let op: Je hoeft dus niet altijd de gegevens te wissen als hierom wordt verzocht.

  1. Het recht op beperking van de verwerking

Onder de AVG heeft de betrokkene in bepaalde gevallen ook het recht om de verwerking (tijdelijk) stop te laten zetten. De gegevens blijven dan wel opgeslagen, maar verdere verwerkingen zijn tijdens deze beperking niet toegestaan. Dit is bijvoorbeeld het geval als de betrokkene stelt dat de hem betreffende gegevens onjuist zijn. Gedurende de tijd dat je als organisatie deze juistheid onderzoekt, moet je de verwerking van de gegevens dan beperken.

  1. Het recht om bezwaar te maken tegen verwerkingen

In bepaalde gevallen heeft de betrokkene het recht om bezwaar te maken tegen verwerking van zijn persoonsgegevens. Dit is bijvoorbeeld het geval wanneer persoonsgegevens worden verzameld voor direct marketing. De verantwoordelijke mag bij een dergelijk bezwaar deze verwerking voor direct marketingdoeleinden niet voortzetten.

Meer controle en overzicht

Alle maatregelen die hierboven worden benoemd moeten er voor zorgen dat betrokkenen meer controle krijgen over eigen persoonsgegevens die zich bij verschillende organisaties bevinden.

Als organisatie zal je jouw processen moeten aanpassen, zodat adequaat gereageerd kan worden op dit soort verzoeken. Houd daarbij ook in de gaten dat je zo’n verzoek niet te lang op de plank mag laten liggen. Bedenk echter ook dat je niet op ieder verzoek moet ingaan en dat de identiteit van een persoon dat een verzoek doet wordt gecontroleerd. Het zou bijvoorbeeld ook kunnen gebeuren dat iemand om persoonsgegevens vraagt die niet van hemzelf zijn. In dat geval is het natuurlijk niet de bedoeling dat je die gegevens verstrekt.

Wil jij weten of de werkwijze van jouw onderneming aan deze wetgeving voldoet? Of heb je vragen naar aanleiding van deze blogpost? Neem dan vrijblijvend contact met ons op via contact@dejuristen.legal

Deze bijdrage werd geschreven door student-stagiair Yves Witteman