Een onderdeel van AVG-data compliance zijn de rechten van betrokkenen. Personen waarvan (van wie) persoonsgegevens door een bedrijf verzamelt worden, hebben dankzij de AVG bepaalde rechten. Dit is bijvoorbeeld het recht op inzage van persoonsgegevens, maar ook het recht op gegevenswissing. Deze rechten bestaan zodat betrokkenen inzicht kunnen verkrijgen over het gebruik van hun persoonsgegevens. Dit inzicht wordt niet eenduidig in de AVG gedefinieerd, maar uit overweging 39 van de AVG blijkt dat het voor betrokkenen duidelijk hoort te zijn wanneer, waarom en in hoeverre hun persoonsgegevens worden verzameld, opgeslagen of anderszins verwerkt. In deze blog wordt besproken wanneer iemand in aanmerking komt voor deze rechten, en wat de verschillende rechten van betrokkenen inhouden.
Wanneer in aanmerking voor de rechten?
Om in aanmerking te komen, moet de persoon allereest een ‘betrokkene’ zijn. Een betrokkene in context van de AVG staat voor een ‘naar aanleiding van persoonsgegevens identificeerbare natuurlijke persoon’. Dit betekent dat wanneer er persoonsgegevens in een systeem naar één persoon te herleiden zijn, die persoon een betrokkene is. Om te bevestigen dat de persoon die zich op een van de rechten beroept daadwerkelijke de betrokkene is, moet het bedrijf of de organisatie de identiteit van de persoon controleren. De identiteit moet gecontroleerd worden om te voorkomen dat persoonlijke informatie in de handen van een onbekend persoon komt. In meeste gevallen kan er niet om kopie van een identiteitsbewijs gevraagd worden: er zijn vaak minder ingrijpende manieren van identiteitsbevestiging. Dit kan bijvoorbeeld gedaan worden door de persoon te vragen om specifieke informatie die alleen beschikbaar is voor een klant, bijvoorbeeld een klantnummer in combinatie met een geboortedatum. Indien deze gegevens overeenkomen met wat al in het systeem staat, dan is de identiteit van de aanvrager vastgesteld. Een alternatief hierop is dat de persoon langs het kantoor komt om een identiteitsbewijs aan een medewerker te tonen.
Rechten van betrokkenen
Als de identiteit van de betrokkene vastgesteld is, kan de persoon zich op een aantal rechten beroepen. Deze rechten bestaan, zodat een betrokkene op de hoogte is waarom en waarvoor zijn of haar persoonsgegevens verwerkt worden. De AVG kent acht rechten waarop betrokkenen zich kunnen beroepen.
Recht op inzage: zoals de naam zegt, is dit het recht van de betrokkene om een overzicht te verkrijgen met de persoonsgegevens die verwerkt worden. Het is handig om in het overzicht de grondslag van de verwerking te noteren. De Autoriteit Persoonsgegevens heeft hiervoor een voorbeeldoverzicht opgesteld. Bij een inzageverzoek is het van belang om informatie te voorzien over de verwerking. In het voorbeeldoverzicht kun je per persoonsgegeven zien binnen welk document het verwerkt wordt, op welke datum het persoonsgegeven in het systeem is gezet, de grondslag voor verwerking en tot wanneer het persoonsgegeven bewaard mag worden.
Recht op gegevenswissing (ook wel recht op vergetelheid): de betrokkene heeft in aantal situaties het recht op gegevenswissing. Hierbij moet de organisatie alle persoonsgegevens van de betrokkene wissen. De betrokkene kan zich op dit recht beroepen, indien de organisatie de gegevens niet meer nodig heeft, betrokkene toestemming voor verwerking heeft ingetrokken of een bezwaar tegen verwerking heeft gemaakt. Ook kan de betrokkene zich op het recht beroepen als de persoonsgegevens in de eerste instantie onrechtmatig zijn verwerkt, wettelijk bewaartermijn van persoonsgegevens is verlopen en als persoonsgegevens van kinderen jonger dan 16 jaar via een applicatie of website zijn verwerkt.
Recht op duidelijke informatie: dit recht houdt in dat de betrokkene al vóór de verwerking van persoonsgegevens precies mag weten welke, waarvoor en voor hoelang de persoonsgegevens verwerkt worden. Bijvoorbeeld wanneer betrokkene een product via een website koopt, de bezorggegevens invult en een privacyverklaring van het bedrijf te zien krijgt.
Recht op dataportabiliteit: dit is het recht op het overdragen van persoonsgegevens naar een andere organisatie. Het recht geldt alleen persoonsgegevens die digitaal zijn verschaft. Ook geldt het recht alleen voor de persoonsgegevens die verwerkt worden omdat de betrokkene hiervoor toestemming heeft gegeven of de persoonsgegevens nodig zijn om een overeenkomst met de betrokkene uit te voeren. Indien er aan deze eisen is voldaan, dan kan de betrokkene zich op het recht op dataportabiliteit beroepen. In dat geval zal de organisatie alle persoonsgegevens die onder de eerdergenoemde eisen vallen, moeten indelen zodat het voor de betrokkene makkelijk is om ze te hergebruiken. Vervolgens kunnen de gegevens hergebruikt worden door ze over te dragen aan een ander soortgelijke organisatie.
Recht op beperking van de verwerking: mogelijk moet de organisatie voor een bepaalde tijd stoppen met actief verwerken van persoonsgegevens. De organisatie mag de persoonsgegevens voorlopig niet meer wijzigen. Dit kan het geval zijn wanneer de organisatie de persoonsgegevens van de betrokkene niet meer mag gebruiken, maar de betrokkene de gegevens nog nodig heeft, bijvoorbeeld voor het starten van een juridische procedure. Het recht op beperking van de verwerking kan in vier verschillende gevallen mogelijk zijn. Ten eerste indien de verwerking van persoonsgegevens onrechtmatig heeft plaatsgevonden. Ten tweede wanneer de organisatie de persoonsgegevens niet meer nodig heeft voor de oorspronkelijke doel, en dus geen grondslag voor verwerking meer heeft. Ten derde wanneer de persoonsgegevens die een organisatie bezit, onjuist zijn. Tot slot indien de organisatie een bezwaar tegen verwerking van persoonsgegevens van de betrokkene heeft ontvangen.
Recht op rectificatie en aanvulling: als een betrokkene van mening is dat de gegevens die een organisatie bezit op een onrechtmatige manier gebruikt worden, niet kloppen, onvolledig of niet relevant zijn, dan kan de betrokkene zich beroepen op het recht op rectificatie en aanvulling. Als een betrokkene heeft aangegeven beroep te doen op het recht op rectificatie en aanvulling, moet de organisatie binnen één maand per brief of email antwoorden. In het geval dat het verzoek ingewikkeld en lang is, kan deze termijn met twee maanden worden verlengt. Indien de organisatie tot de conclusie is gekomen dat de betrokkene gelijk heeft, moeten de gegevens zo snel mogelijk worden aangepast en alle gegevens die de organisatie naar andere organisaties heeft verstuurd, moeten ook worden verbeterd.
Recht met betrekking tot geautomatiseerde besluitvorming en profilering (ook wel recht op menselijke blik bij besluiten: organisaties kunnen soms geautomatiseerd besluiten nemen, dit kan indien geautomatiseerd besluitvorming bij Unierecht of Nederlands recht toegestaan is, de betrokkene toestemming heeft gegeven om geautomatiseerde besluiten over de betrokkene te nemen of indien het noodzakelijk is om een overeenkomst te sluiten. Daarnaast moeten de organisaties die geautomatiseerde besluiten nemen, regelmatig controleren en tests uitvoeren om er zeker van te zijn dat de besluitvorming foutloos verloopt. Ook kunnen organisaties die automatische besluiten nemen, gebruik maken van profilering. Hierbij wordt een profiel van een persoon gemaakt en wordt dit profiel gebruikt bij de automatische besluitvorming om te beoordelen hoe de betrokkene zich bij bepaalde situaties zal gedragen, bijvoorbeeld na het ondertekenen van een huurovereenkomst. Het recht op menselijke blik bij besluiten geeft de betrokkene de mogelijkheid om bij de beoordeling van een besluit te kiezen voor een menselijke blik in plaats van een geautomatiseerd proces. De organisatie moet binnen één maand op het verzoek van de betrokkene beantwoorden, maar als het verzoek lang of ingewikkeld blijkt te zijn kan de termijn met twee maanden verlengt worden.
Recht om bezwaar te maken: organisaties zijn verplicht aan de betrokkene kenbaar te maken dat indien de betrokkene het niet eens is met een besluit, de betrokkene bezwaar kan maken. Volgens de AVG kan de betrokkene bezwaar doen bij direct marketing en voor een specifieke omstandigheid. Een voorbeeld van direct marketing is als een organisatie, waar de betrokkene een klant is, via email naar betrokkene een gepersonaliseerde reclame stuurt. Indien de betrokkene dergelijke reclame niet wenst te ontvangen, kan de betrokkene zich op het recht van bezwaar bij direct marketing beroepen. De betrokkene kan ook een bezwaar indienen voor zijn specifieke omstandigheid. De betrokkene kan zich, vanwege zijn specifieke omstandigheid, niet comfortabel voelen met de verwerking van zijn persoonsgegevens. In dit geval moeten de belangen van beide partijen tegenover elkaar worden afgewogen. De organisatie moet hierbij aantonen waarom de belangen van de organisatie zwaarder wegen dan die van de betrokkene en dus waarom de verwerking mag geschieden.
In dit blog zijn de rechten van betrokkene, wanneer een betrokkene in aanmerking voor deze rechten komt en wat de organisaties bij beroepen op alle rechten moeten doen, behandeld. Wilt u meer weten over AVG-data compliance? In de volgende blog wordt de bewaartermijn voor persoonsgegevens behandeld.