Rechten van betrokkene onder de AVG

De AVG kent verschillende rechten toe aan personen van wie persoonsgegevens worden verwerkt (betrokkenen) en biedt ze meer middelen om de verwerking van hun persoonsgegevens te controleren en te beïnvloeden. Welke rechten heeft de betrokkene onder de AVG?

Recht op informatie (artikel 13 en 14 AVG)

Het moet voor de betrokkene duidelijk zijn dat zijn of haar persoonsgegevens worden verwerkt en dat dit op een behoorlijke en transparante manier plaatst vindt. Er bestaat een actieve informatieplicht naar de betrokkene. De AVG verplicht je daarbij o.a. de doelen, ontvangers en de periode te vermelden. Dit kan je bijv. realiseren door een privacy statement op je website te plaatsen. Let op: Verandert er iets aan de verwerking, dan moet ook daarover heldere informatie worden verstrekt.

 Recht van inzage (artikel 15 AVG )

Betrokkenen hebben het recht om te informeren of zijn of haar persoonsgegevens worden verwerkt. Vraagt iemand om inzage, dan moet je dit op een duidelijke en begrijpelijke manier laten zien. De AVG bevat een opsomming van de informatie waarvoor het recht van inzage geldt. Zoals; om welke gegevens het gaat, wat het doel is van gebruik en de herkomst van de gegevens (indien bekend).

Recht op rectificatie (artikel 16 & 19 AVG)

Betrokkene heeft recht op rectificatie van hem betreffende onjuiste persoonsgegevens dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige gegevens. De verwerkingsverantwoordelijke is verplicht iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis te stellen van elke rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vraagt.

Recht op gegevenswissing / vergetelheid (artikel 17 & 19 AVG)

De verwerkingsverantwoordelijke is verplicht persoonsgegevens van de betrokkene zonder onredelijke vertraging te wissen op verzoek van de betrokkene, onder andere indien:

  • persoonsgegevens niet langer nodig zijn voor de doeleinden van de gegevensverwerking;
  • de betrokkene zijn of haar toestemming intrekt en er geen andere rechtsgrond voor verwerking is;
  • betrokkene bezwaar maakt tegen de verwerking;
  • de persoonsgegevens onrechtmatig verwerkt zijn.

 Recht op beperking van de verwerking (artikel 18 & 19 AVG)

Het recht op beperking houdt in dat de persoonsgegevens – tijdelijk- niet verwerkt mogen worden. Dit recht kan worden uitgeoefend in het geval er een bezwaar is. Het feit dat de verwerking van de persoonsgegevens beperkt is, moet door de verwerkingsverantwoordelijke duidelijk in het bestand zijn aangegeven zodat dit ook duidelijk is voor ontvangers van de persoonsgegevens. Wanneer de beperking weer wordt opgeheven, moet de betrokkene hiervan op de hoogte worden gebracht.

Recht op overdraagbaarheid / dataportibiliteit (artikel 20 AVG)

Dit recht houdt in dat een betrokkene de gegevens van een verwerkingsverantwoordelijke moet kunnen verkrijgen in gestructureerde, gangbare en leesbare vorm en het recht heeft deze gegevens aan een andere verwerkingsverantwoordelijke over te dragen of rechtstreeks te laten overdragen, zonder daarbij te worden gehinderd tenzij dit afbreuk doet aan rechten en vrijheden van anderen. Een betrokkene heeft recht op overdraagbaarheid voor zover het gaat om door hem zelf verstrekte gegevens.

Recht van bezwaar (artikel 21 AVG)

Een betrokkene kan vanwege redenen die verband houden met zijn specifieke situatie gebruik maken van dit recht van bezwaar tegen de verwerking van hem betreffende persoonsgegevens, als voldaan aan de in de verordening genoemde eisen. Als de betrokkene bezwaar maakt staakt de verwerkingsverantwoordelijke de verwerking, tenzij dwingende gerechtvaardigde gronden anders bepalen.

Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / profiling (artikel 22 AVG)

Bij dit recht kan bijvoorbeeld gedacht worden aan de automatische weigering van een online ingediende kredietaanvraag of aan de verwerking van sollicitaties via internet zonder menselijke tussenkomst. In drie gevallen is geautomatiseerde individuele besluitvorming wel mogelijk:

  1. het is noodzakelijk voor de totstandkoming of de uitvoering van een overeenkomst;
  2. het is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling;
  3. het berust op de uitdrukkelijke toestemming van de betrokkene.

Wilt u meer weten over de rechten van de betrokkene of andere aspecten van de AVG? Mail: info@thelegalcompany.nl

8 korte Q&A inzake de nieuwe privacy wetgeving

Q: De AVG, wat is dat?
A: De Algemene verordening gegevensbescherming (AVG) is de nieuwe Europese privacywetgeving waar elke organisatie die persoonsgegevens verwerkt aan moet voldoen. In het Engels kom je de benaming GDPR tegen.

Q: Wanneer is de AVG van toepassing?
A:
 Per 25 mei 2018 is de AVG van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Q: Wat is het gevolg?
A:
 Deze nieuwe wet brengt strengere regels rondom de privacy van persoonsgegevens met zich mee. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen en de betrokkene over wie de gegevens gaan krijgen meer rechten.

De nadruk hierbij ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden!

Q: Geldt dit ook voor mij?
A:
 Ja, hoogstwaarschijnlijk wel. Dit omdat het alleen al opslaan van NAW-gegevens van bijvoorbeeld het personeel of het email adres van een klant het verwerken van persoonsgegevens is.

Q: Moet iedere organisatie aan dezelfde vereisten voldoen?
A:
 In beginsel wel. Echter zijn sommige verplichtingen alleen van toepassing als je aan de kwalificaties voldoet. Verder moeten de beveiligingsmaatregelen passend zijn en is “passend” niet voor iedere organisatie hetzelfde.

Voorbeelden:
• Het verplicht moeten uitvoeren van een Data Protection Impact Assessment (DPIA). Dit ben je echter alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert.
• Je kan verplicht zijn een Functionaris Gegevens bescherming (FG) aan te stellen, maar dit geldt dus ook niet voor iedere organisatie!

Q: Wat zijn de sancties en gevolgen van het niet naleven van deze wetgeving?
A:
 Hoge boetes door de Autoriteit Persoonsgegevens, claims van betrokkenen, persoonlijke aansprakelijkheid als directeur/bestuurder en reputatie- en bedrijfsschade.

Q: Heb ik er verder nog belang bij om te voldoen aan deze wetgeving?
A:
 Privacy proof zijn is tegenwoordig een unique selling point (USP). Als je verzekert dat je privacy proof bent richting klanten en potentiële klanten, is dat een extra reden voor ze om hun diensten/producten bij jou af te nemen. Zie het daarom naast een wettelijke verplichting ook als een commerciële investering om klanten te behouden en aan te trekken.

Q: Wat moet ik nu doen ter voorbereiding?
A: 
De start is een nulmeting! Met een nulmeting wordt er gekeken naar de huidige stand van zaken rondom de privacy van persoonsgegevens en wordt er vastgesteld welke acties genomen moeten worden om 100% privacy AVG proof te zijn. De te nemen acties kunnen dan zelf of indien nodig in samenwerking met een expert worden uitgevoerd.

Offerte ontvangen voor een nulmeting?

Mail: info@thelegalprivacycompany.com of bel: 020-3450152

Hoe wordt het MKB privacy proof op 25-5-18?

Dat u, ook als MKB’er, vanaf 25 mei 2018 absolute veiligheid moet garanderen en aantonen ten aanzien van persoonsgegevens (op basis van nieuwe Europese privacywetgeving) is, als het goed is, geen nieuws meerHoe u als MKB’er daaraan moet voldoen, mag wel wat duidelijker worden. De meesten zien door de bomen het bos niet meer. Het is complexe regelgeving, maar u wilt gewoon een oplossing die bovendien betaalbaar is. Daarom ga ik u in mijn blog serie meenemen in de stappen die het MKB moet nemen om AVG proof te worden. Blijf me dus vooral volgen. In deze blog start ik met dat u moet beginnen met een privacy nulmeting. Waarom is deze stap zo belangrijk?

Nulmeting.

Om privacy proof te worden, is het (laten) uitvoeren van een nulmeting de eerste stap. Uit de nulmeting komt een rapportage o.a. met de punten die binnen uw organisatie nog niet privacy proof zijn. Er worden dan uiteraard ook concrete verbeteradviezen gegeven.

Om tot deze rapportage te komen wordt er tijdens de nulmeting een vragenlijst doorgelopen. De vragen gaan o.a. over:

  • Welke verwerkingen van persoonsgegevens vinden plaats en met welke soort persoonsgegevens;
  • Wat is het interne beleid rondom privacy en datalekken;
  • Zijn er Privacy statements e.d. en wat is de kwaliteit ervan;
  • Is de verplichte en noodzakelijke contractdocumentatie (zoals verwerkersovereenkomsten) aanwezig;
  • Heeft u een Cyber verzekering;
  • Wat is de stand van zake met de ICT technische beveiliging.

Zorg daarom dat u de informatie en huidige documentatie rondom bovenstaande punten verzameld heeft voordat de nulmeting plaatsvindt!

Afwegingen maken.

Tijdens een nulmeting voor het MKB moeten er afwegingen worden gemaakt. U moet natuurlijk voldoen aan de (nieuwe) privacywetgeving, maar daarbij gaat het ook om het nemen van “passende” (betaalbare) maatregelen. Wat passend en haalbaar is voor uw organisatie, zal uit de nulmeting naar voren komen. Er kan van een kleine MKB’er op dat vlak niet hetzelfde worden verwacht als van een groot bedrijf zoals KPN!

In onze nulmeting houden wij daarom altijd rekening met de grootte van de onderneming, het realistische budget en wat de autoriteiten daarop gelet redelijkerwijs van de organisatie mag verwachten.

Waarom een nulmeting?

De AVG verplicht organisaties om aantoonbaar in control te zijn. Met andere worden: “wees privacy proof en laat zien dat u er alles aan doet om dit te blijven”. Met de nulmeting legt u de basis om privacy proof te worden en kunt u bij datalekken altijd aantonen dat u er serieus mee bezig bent. Dit voorkomt boetes!

Privacy proof is een USP!!

Het uitvoeren van een nulmeting en uw organisatie privacy AVG proof maken, doet u niet om alleen aan de wet te voldoen. Als u tegenwoordig verzekert dat u privacy proof bent richting uw klanten, is dat een extra reden voor ze om hun diensten/producten bij u te blijven afnemen. Zie het daarom naast een wettelijke verplichting ook als een commerciële investering, een unique selling point (USP) van uw organisatie.

Offerte aanvragen voor een nulmeting? Bel 020-3450152 of mail naar hvercammen@thelegalprivacycompany.com of mijn collega tnoorlander@thelegalprivacycompany.com