Met de komst van de GDPR (General Data Protection Regulation) krijgen mensen, betrokkenen, meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt. Bestaande privacyrechten worden uitgebreid en er gelden nieuwe rechten, aldus AP (Autoriteit Persoonsgegevens). Ben jij klaar voor verzoeken van mensen die hun rechten willen uitoefenen?
Autoriteit Persoonsgegevens heeft een lijst opgesteld met de GDPR-privacyrechten:
Recht op dataportabiliteit
Oftewel: overdraagbaarheid van persoonsgegevens. Dit houdt in dat mensen het recht hebben om persoonsgegevens te ontvangen die een organisatie van hen heeft. Zo kunnen gegevens gemakkelijk doorgegeven worden aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld wanneer je overstapt naar een andere hypotheekverstrekker.
Het gaat alleen om digitale gegevens. Papieren dossiers vallen hier niet onder. Verder gaat het ook om persoonsgegevens die een organisatie met toestemming van te betrokkene verwerkt. Of een organisatie die een overeenkomst heeft met de betrokkene.
De Europese privacytoezichthouders hebben Guidelines gepubliceerd die meer uitleg geven over het recht op dataportabiliteit.
Engelstalig: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/wp242_rev01_enpdf.pdf
Nederlandstalig: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/nederlandse_vertaling_guidelines_dataportabiliteit.pdf
Recht op vergetelheid
Dit is het recht om ‘vergeten’ te worden. Het recht op vergetelheid geldt altijd. Echter kan dit recht niet altijd succesvol worden ingeroepen. Alleen in de volgende situaties is het recht op vergetelheid van toepassing:
-
Niet meer nodig
Wanneer je als organisatie de persoonsgegevens van iemand niet meer nodig hebt voor de doeleinden waarvoor je deze gegevens verzameld of verwerkt hebt.
-
Intrekken toestemming
De betrokkene heeft eerder duidelijk toestemming gegeven aan jou als organisatie voor het gebruik van gegevens. Wanneer deze toestemming ingetrokken wordt, geldt het recht op vergetelheid.
-
Bezwaar
Wanneer iemand, de betrokkene, bezwaar maakt tegen de verwerking, geldt het recht op vergetelheid. Toch hoeft dit bezwaar niet altijd gehonoreerd te worden. Er moet een afweging in belangen gemaakt worden, van de organisatie en de betrokkene.
-
Onrechtmatige verwerking
Wanneer je als organisatie persoonsgegevens onrechtmatig verwerkt. Bijvoorbeeld wanneer er geen wettelijke grondslag is voor de verwerking.
-
Wettelijke bepaalde bewaartermijn
Je bent als organisatie wettelijk verplicht om gegevens na een bepaalde tijd te wissen. Je hebt wel duizend verschillende bewaartermijnen. Er geldt voor bijvoorbeeld een gemeente weer andere bewaartermijnen dan voor een groenteboer.
-
Kinderen
Wanneer iemand, de betrokkene, jonger is dan 16 jaar en persoonsgegevens zijn verzameld via een app of website, geldt het recht van vergetelheid.
Recht op inzage
Klanten of partners waarvan je persoonsgegevens verwerkt, hebben het recht om te vragen welke gegevens jij als organisatie van hen verwerkt. Iemand, de betrokkene, mag ook vragen deze gegevens in te zien.
Bij inzageverzoeken moet je onder andere laten weten waarom je bepaalde gegevens verwerkt, welke soorten persoonsgegevens je verzamelt en hoe lang je de persoonsgegevens bewaart. Het verwerkingsregister, dat sommige verantwoordelijken en verwerkers verplicht moeten opstellen, bevat al deze informatie.
Recht op rectificatie en aanvulling
Geeft mensen het recht om onjuiste persoonsgegevens te laten wijzigen. Of persoonsgegevens aan te laten vullen.
Je bent er als organisatie verantwoordelijk voor dat persoonsgegevens die je verwerkt juist zijn. Ook moeten gegevens geactualiseerd worden wanneer dit nodig is.
Recht op beperking van de verwerking
Het recht om minder gegevens te laten verwerken. Het recht op beperking van de verwerking geldt in situaties die voldoen aan een van de volgende criteria:
- gegevens zijn mogelijk onjuist;
- de verwerking is onrechtmatig;
- gegevens zijn niet meer nodig;
- betrokkene maakt bezwaar tegen het verwerken van zijn of haar persoonsgegevens.
Recht met betrekking tot geautomatiseerde besluitvorming en profilering
Het recht op een menselijke blik bij besluiten die over hen gaan. Sommige organisatie nemen een besluit op basis van automatisch verwerkte gegevens.
Een voorbeeld hiervan is een automatisch besluit over sollicitaties via internet, zonder menselijke tussenkomst. Wanneer iemand zich beroept op dit recht, betekent dit dat je een nieuw besluit moet nemen waarbij een mens de gegevens heeft beoordeeld.
Recht om bezwaar te maken tegen het verwerken van persoonsgegevens
De mensen, betrokkenen, van wie jij persoonsgegevens verwerkt, hebben het recht om bezwaar te maken tegen deze verwerking van hun gegevens.
Wanneer iemand bezwaar maakt tegen het verwerken van zijn of haar persoonsgegevens, moet je stoppen met het verwerken van deze gegevens. Tenzij de belangen, rechten en vrijheden van jou als organisatie zwaarder wegen, dan die van de betrokkene. Bijvoorbeeld wanneer het onmogelijk uitvoerbaar zou zijn om deze gegevens allemaal te verwijderen.
Heb je vragen over de rechten van betrokkenen? Of over de GDPR? Neem contact met ons op of bezoek ons GDPR-dossier op gdpr.eshgro.nl. Hier vind je gedetailleerde whitepapers, praktische webinars en andere blogartikelen.
Bron: Autoriteit Persoonsgegevens; https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/rechten-van-betrokkenen