De 8 rechten van betrokkenen onder de AVG: doos van Pandora?

Valegis Advocaten telt met u af naar 25 mei 2018. Hierbij deel 8 in een reeks blogs over de nieuwe privacywetgeving.

De 8 rechten van betrokkenen onder de AVG: doos van Pandora? | Valegis Advocaten

De 8 rechten van betrokkenen onder de AVG: doos van Pandora?

Met de komst van de AVG worden de rechten van betrokkenen, oftewel de personen van wie u de persoonsgegevens verwerkt, fors uitgebreid. Nu betrokkenen steeds beter geïnformeerd zullen worden over hun rechten (onder andere door u!) is het te verwachten dat zij ook eerder gebruik zullen maken van deze rechten. Een goede voorbereiding is dan ook essentieel.

Welke rechten hebben betrokkenen onder de AVG?

 

  1. Het recht op informatie;
  2. Het recht op inzage en kopie;
  3. Het recht op correctie van de gegevens indien deze niet kloppen;
  4. Het recht op verwijdering van de gegevens en het recht op ‘vergetelheid’;
  5. Het recht op beperking van de gegevensverwerking;
  6. Het recht op verzet tegen de gegevensverwerking;
  7. Het recht op dataportabiliteit (overdracht van de gegevens);
  8. Het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming.

U zult de betrokkenen zelf moeten informeren over het bestaan van bovengenoemde rechten en hoe zij van deze rechten gebruik kunnen maken. Dit is onderdeel van het recht op informatie.

Voldoen aan een verzoek van de betrokkene: niet altijd even eenvoudig

Zodra de betrokkene gebruik maakt van zijn rechten kan dit een organisatie flink wat werk bezorgen. Gaat u maar na: de betrokkene vraagt om een kopie van zijn gegevens, maar welke gegevens hebt u precies van deze persoon verzameld? Dit moet u eerst in kaart brengen. Vervolgens moet u nagaan of de gegevens die u wilt delen alleen betrekking hebben op deze betrokkene. U wilt immers geen gegevens van andere personen delen. En is de persoon die om de kopie vraagt wel echt de betrokkene?

Ook het op verzoek verwijderen van gegevens is nog niet zo eenvoudig als het op het eerste gezicht misschien lijkt. Relevante vragen zijn: waarom wil de betrokkene zijn gegevens laten verwijderen (zijn de gegevens bijvoorbeeld niet langer noodzakelijk voor de doeleinden waarvoor ze zijn verzameld, of heeft de betrokkene zijn toestemming ingetrokken)? En, mag u de gegevens wel verwijderen? Indien er bijvoorbeeld een wettelijke plicht op u rust om de gegevens te verwerken, kunt u deze niet wissen.

Deze voorbeelden maken het belang van een goede gegevensadministratie duidelijk. Indien u immers vrij eenvoudig kunt zien wat voor soort gegevens u verzamelt en met welk doel en welke grondslag u dit doet, kunt u de betrokkene gemakkelijker een kopie geven of bepalen of u aan het verzoek om verwijdering kunt voldoen.

Wat moet u doen bij een verzoek van de betrokkene?

U bent in principe verplicht in te gaan op een verzoek van de betrokkene. Vraagt een betrokkene bijvoorbeeld om een kopie van zijn gegevens, dan zult u deze kopie dus moeten verstrekken. Is echter het verzoek kennelijk ongegrond of buitensporig, dan hoeft u hier geen gehoor aan te geven. Krijgt u wekelijks van dezelfde persoon het verzoek om een kopie? Dan hoeft u de kopie dus niet elke keer te verschaffen. Ook in andere situaties kunt u het verzoek weigeren, bijvoorbeeld wanneer dit noodzakelijk is voor de waarborging van de bescherming van de betrokkene zelf of voor de rechten of vrijheden van anderen.

U moet zo spoedig mogelijk reageren op het verzoek van de betrokkene, maar in elk geval binnen een maand. Indien het gaat om een zeer complex verzoek of om veel verzoeken tegelijkertijd, dan mag u deze termijn met twee maanden verlengen, mits u de betrokkene daarvan op de hoogte stelt.

Conclusie

De rechten van de betrokkenen worden uitgebreid. Deze verzameling rechten lijkt een doos van Pandora te zijn: eenmaal geopend brengt het allerlei verplichtingen met zich mee voor de verantwoordelijke. Met een goede voorbereiding kunt u echter orde scheppen in de ogenschijnlijke chaos. Zorg ervoor dat u weet welke gegevens u verzamelt en waarom u deze gegevens verzamelt (dit bent u ook verplicht!) en zorg ervoor dat binnen uw organisatie bepaalde personen verantwoordelijk zijn voor de afhandeling van de verzoeken. Naast het feit dat u verplicht bent in te gaan op de verzoeken van betrokkenen, zorgt een adequate en snelle afhandeling van de verzoeken uiteraard voor een goede uitstraling van uw organisatie.

Wilt u meer weten over dit onderwerp? Het privacyrecht team van Valegis Advocaten is u graag van dienst.

Dit artikel is geschreven door Andrea de Ruijter.

Het register van verwerkingsactiviteiten; noodzaak én nut. | ValegisPrivacy by design en privacy by default; wat hebt u eraan | Valegis Advocaten