Procesomschrijving ontvangst aanvraag Rechten van Betrokkene

 

Introductie

 

Betrokkenen kunnen gebruik maken van onder andere de volgende privacy rechten die beschreven worden in de Algemene verordening gegevensbescherming (AVG):

  • Recht op informatie
  • Recht op inzage
  • Recht op rectificatie
  • Recht op vergetelheid
  • Recht op bezwaar

 

In dit document is beschreven hoe je als organisatie op praktische wijze en conform de wet uitvoering kunt (en moet) geven aan deze rechten van de betrokkenen:

 

A.    Recht op Informatie

 

Onder de AVG heeft de organisatie een informatieplicht. Dat betekent dat je verplicht bent om nieuwe en bestaande klanten duidelijk te informeren over wat de organisatie met hun persoonsgegevens doet. In de praktijk is een online privacyverklaring (privacy statement) de meest handige manier om hier aan te voldoen. (Bron: Autoriteit Persoonsgegevens). Daarnaast dient de betrokkene geïnformeerd te worden over de verwerking van zijn/ haar persoonsgegevens op het moment van verzamelen, bijvoorbeeld via een zogenaamde privacy disclaimer, een korte tekst met uitleg over het gebruik van de persoonsgegevens met een link naar de Privacy verklaring.

B. Het inzageverzoek & verzoek tot dataportabiliteit

 

Inzage

Betrokkenen hebben het recht op informatie en inzage in hun persoonsgegevens. Dat houdt in dat zij mogen vragen of er persoonsgegevens zijn vastgelegd, waar en zo ja, welke persoonsgegevens en waar. Zij hoeven daarvoor geen reden op te geven. Uiteraard mag je die reden wel uitvragen, ook om te zorgen dat het verzoek juist in behandeling wordt genomen.

 

  1. Hoe voldoe je aan een inzageverzoek?

 

De wijze waarop je inzage verleent is vormvrij.. De meest voorkomende manier om inzage te verlenen:

 

  1. Het per post of e-mail toesturen van een kopie of printje van het originele document of bestand;
  2. Het per post of e-mail toesturen van een volledig en begrijpelijk overzicht
  3. Inzage ter plekke

Als een dossier erg omvangrijk is en het (te) veel tijd en moeite zou kosten om een overzicht te maken of het dossier af te drukken of te kopiëren.

 

 

 

Per post of elektronisch?

Als een betrokkene zijn verzoek elektronisch indient, en niet ook om een andere regeling verzoekt, wordt de informatie in een gangbare elektronisch vorm verstrekt.

 

  1. Welke gegevens betreft het

Het recht op inzage betreft alleen inzage in iemands eigen gegevens. Mensen hebben dus geen recht op informatie over anderen.

 

De betrokkene heeft in ieder geval recht op de volgende informatie:

  • uitsluitsel of er persoonsgegevens van hem worden verwerkt; en zo ja
  • het doel waarvoor de gegevens worden gebruikt;  
  • welke categorieën gegevens voor dit doel worden gebruikt;
  • de bewaartermijnen van deze categorieën gegevens;
  • welke organisaties of soorten organisaties deze gegevens ontvangen;
  • indien sprake is van doorgifte buiten de EU, de getroffen waarborgen daarvoor;
  • hoe je aan de gegevens bent gekomen, de bron;
  • dat de betrokkene recht heeft op rectificatie, vergetelheid, beperking van de verwerking en bezwaar;
  • dat de betrokkene een klacht kan indienen bij de AP; via: https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/tip-ons
  • of de organisatie doet aan profilering en voor welke doeleinden.

 

 

Recht op dataportabiliteit

Bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie. Op verzoek van de betrokkene kun je ook verplicht zijn de gegevens rechtstreeks naar een andere organisatie te sturen. Als dat niet mogelijk is, zul je de data in een gangbaar bestandsformaat moeten leveren aan de aanvrager, zodat het geïmporteerd kan worden bij andere aanbieders.  Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken, denk bijvoorbeeld aan het verstrekken van de gegevens via een Word of Excel (.csv) bestand of gegevens kunnen in een (beveiligde) ‘portal’ gedownload worden door de betrokkene. Let wel op het type gegevens! Bij bijzondere persoonsgegevens dienen extra beveiligingsmaatregelen genomen te worden.

 

Welke gegevens moeten aangeleverd worden bij een verzoek op dataportabiliteit?

 

Ten eerste gaat het alleen om digitale gegevens. Papieren dossiers vallen er dus niet onder. Ten tweede gaat het om persoonsgegevens die een organisatie óf met toestemming van de betrokkene verwerkt óf om een overeenkomst met de betrokkene uit te voeren.

 

  1. Hoe snel moet je voldoen aan een verzoek?

Binnen 1 maand moet er gehoor worden gegeven aan het verzoek.

  1. Hoe wordt een verzoek gedaan?

Een verzoek kan schriftelijk of elektronisch worden gedaan. Het voordeel van een elektronisch ontvangen inzageverzoek is dat ook de afhandeling daarvan elektronisch mag geschieden. Een online invulformulier verdient te voorkeur boven een e-mail, omdat het verzoek direct bij de juiste persoon of afdeling binnenkomt en alle benodigde informatie bevat.

 

  1. Identiteit controleren

De identiteit van de betrokkene dient uiteraard geverifieerd te worden. Dat moet gebeuren op een manier die passend is bij het verzoek. Vraag bijvoorbeeld naar achternaam, voornaam, telefoonnummer en e-mailadres. Ben je nog niet zeker dan mag je aanvullende informatie vragen, zoals de laatste 4 cijfers van een IBAN nummer. In bijzondere gevallen kan je vragen om een kopie ID.  Gebruik hiervoor wel de  KopieID app van de overheidMet de KopieID app kan de betrokkene in de kopie van zijn/haar pasfoto en Burgerservicenummer (BSN) onzichtbaar maken. https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs

 

  1. Mag je een inzageverzoek weigeren?

In uitzonderlijke gevallen mag dit. Bijvoorbeeld als de administratieve tijd en moeite en/of kosten die gemoeid gaan met het inzageverzoek excessief hoog zijn. Dit zal niet snel het geval zijn. Als er informatie van iemand anders in het dossier voorkomt, kan dit aanleiding geven het inzageverzoek gedeeltelijk te weigeren. Het recht op inzage betreft alleen inzage in iemands eigen gegevens. Let wel: een inzageverzoek mag alleen goed beargumenteerd (geheel of gedeeltelijk) worden geweigerd.

 

C. Recht op rectificatie

Mensen hebben het recht om correctie van hun persoonsgegevens te vragen. Dat houdt in dat zij een organisatie mogen vragen hun persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Dit kan omdat de persoonsgegevens:

  • feitelijk onjuist zijn;
  • onvolledig zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld;
  • op een andere manier in strijd met een wet worden gebruikt.

 

Het correctierecht is niet bedoeld voor het corrigeren van professionele indrukken, meningen en conclusies waarmee iemand het niet eens is, voor zover deze ter zake doen. Wel mag diegene van de organisatie verwachten dat deze in ieder geval zijn schriftelijke mening toevoegt aan het dossier. Dat kan vooral een oplossing bieden bij situaties waarbij het om niet objectief vast te stellen feiten gaat.

 

D. Recht op vergetelheid 

Dit recht houdt in dat een organisatie in een aantal gevallen iemands persoonsgegevens moet wissen als diegene daarom vraagt.

 

Belangrijk bij het recht op vergetelheid is om te controleren wat de achterliggende wens is van de betrokkene. Indien de betrokkene niet meer benaderd wil worden voor (marketing)communicatie, dan is in feite het Recht van Bezwaar van toepassing. Als iemands’ gegevens volledig verwijderd worden, kun je vaak niet garanderen dat iemand wordt uitgesloten van toekomstige marketing campagnes.

 

NB met het oog op de Fiscale bewaartermijn voor financiële transacties geldt dat gegevens m.b.t. betalingen tot 7 jaar bewaard moeten worden na de laatste financiële transactie. Die gegevens mogen voortijdig dus niet gewist worden.

LET OP: EEN VERZOEK TOT INZAGE, DATAPORTABLITEIT OF VERWIJDERING (RIGHT TO BE FORGOTTEN) DIENT ALTIJD DOOR DE PRIVACY VERANTWOORDELIJKE IN BEHANDELING TE WORDEN GENOMEN

 

 

 

E. Recht van Bezwaar (verzet)

 

Betrokkenen hebben het recht zich te verzetten tegen vormen van marketing communicatie. Hierbij valt te denken aan benadering door callcenters uit naam van [BEDRIJFSNAAM], Nieuwsbrieven, Direct Marketing brieven, etc. Het recht van bezwaar dient geboden te worden op het moment van het verzamelen van de gegevens van de betrokkene, bijvoorbeeld door middel van een privacy disclaimer bij een opt-in tekst.

 

Van belang bij het recht van bezwaar is dat de betrokkene aangeeft door welke vormen van marketing hij/ zij niet meer benaderd wil worden, of dat hij/ zij voor alle vormen van marketing niet meer benaderd wil worden.

 

  1. Bezwaar, vergetelheid en rectificatie: Hoe worden deze verzoeken gedaan?

Schriftelijk, per brief of e-mail of online formulier.

 

  1. Bezwaar, vergetelheid en rectificatie: Hoe voldoe je aan deze verzoeken?

Je kunt na verificatie van de identiteit van de betrokkene, de betreffende wijziging doorvoeren in de database en/of CRM-systeem of een ander systeem.

 

De identiteit van de betrokkene dient uiteraard geverifieerd te worden. Dat geldt voor alle verzoeken met betrekking tot de rechten van de betrokkene. Dit kan bijvoorbeeld door de betrokkene aan te sporen gebruik te maken van de app van de overheid: KopieID app

 

Is het technisch gezien niet mogelijk om gegevens te verbeteren? Dan kan de organisatie een bestand met aanvullingen en verbeteringen aanleggen.

 

  1. Bezwaar, vergetelheid en rectificatie: Andere organisaties informeren

Heb je in het voorafgaande jaar de (onjuiste) gegevens van de betrokkene aan andere organisaties doorgegeven? Dan moeten ook deze organisaties op de hoogte worden gebracht van de correctie, aanpassing of verwijdering. Indien het niet mogelijk is deze organisaties op te sporen of het een onevenredige inspanning vergt, is dat niet nodig.

 

      4.Bezwaar, vergetelheid en rectificatie: Hoe snel moet je voldoen aan een deze verzoeken?

Ook aan deze verzoeken moet binnen 1 maand gehoor worden gegeven.