Zoeken

ALTIJD OP DE HOOGTE?

Welke ontwikkelingen in de EU zijn van belang voor gemeenten, provincies en waterschappen? En wat betekent dat voor de dagelijkse praktijk?

AVG – Deel V: De rechten van betrokkenen

19 maart 2018Informatiemaatschappij, Overige onderwerpen

Vanaf 25 mei 2018 dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG). In deze speciale edities van de Europese Ster lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. Met nog iets meer dan twee maanden te gaan tot de regels van de AVG van toepassing worden, kijken we in dit vijfde deel naar de rechten van betrokkenen in de AVG.

De rechten van de betrokkene

In hoofdstuk III van de AVG worden de rechten van de betrokkene bij gegevensverwerking behandeld. Deze rechten moet de verwerkingsverantwoordelijke respecteren, en daarbij ook kunnen faciliteren. Dit volgt uit artikel 12 lid 2 AVG. De rechten onder de AVG komen grotendeels overeen met de rechten van betrokkenen onder de Wet bescherming persoonsgegevens (Wbp). Sommige bestaande rechten zijn echter wel aangescherpt. Ook zijn er een aantal nieuwe rechten vastgelegd in de verordening. De inspanning die decentrale overheden moeten verrichten om deze rechten te garanderen zal per recht verschillen. Uit artikel 12 lid 3 blijkt dat de verwerkingsverantwoordelijke in elk geval binnen een maand na ontvangst van het verzoek een reactie dient te geven over het gevolg dat aan het verzoek is gegeven. Wanneer er bij complexe verzoeken meer tijd nodig is, kan dit nog eens met twee maanden verlengd worden. Deze verlenging moet dan wel ook binnen de eerste maand kenbaar worden gemaakt bij de betrokkene.

Recht op informatie en privacy-statement

De verwerkingsverantwoordelijke moet ervoor zorgen dat de betrokkene op behoorlijke, begrijpelijke en transparante wijze wordt geïnformeerd wanneer zijn persoonsgegevens worden verwerkt, en wat de doelen van deze verwerking zijn (artikel 12-14 AVG). Ook dient de verwerkingsverantwoordelijke onder meer de identiteit en de contactgegevens van de verwerkingsverantwoordelijke door te geven, en de bewaartermijnen van de persoonsgegevens. De precieze informatie die verstrekt moet worden hangt af van of de persoonsgegevens bij de betrokkene zelf worden verzameld of deze via een andere bron zijn verkregen (artikel 13-14 AVG). Uit deze artikelen blijkt ook dat de betrokkene niet geïnformeerd hoeft te worden wanneer deze bijvoorbeeld al over de betreffende informatie beschikt, of indien dit onevenredig veel inspanning zou vergen.

Het recht op informatie is een uitwerking van het transparantiebeginsel uit artikel 5 lid 1 onder a AVG. Dit beginsel verplicht de verwerkingsverantwoordelijke te communiceren in een beknopte en transparante, begrijpelijke en gemakkelijk toegankelijke vorm. De informatie moet in duidelijke en eenvoudige taal worden opgesteld, en moet schriftelijk of met andere middelen (bijvoorbeeld elektronisch) en in principe kosteloos verstrekt worden. Dit kan bijvoorbeeld gedaan worden middels een privacy-statement op de website.

Recht op inzage

Via het recht op inzage (artikel 15 AVG) kan een betrokkene bij een verwerkingsverantwoordelijke inzicht krijgen welke persoonsgegevens van hem/haar verwerkt worden door de organisatie. Indien een organisatie een verzoek krijgt tot inzage dient deze in haar beantwoording onder meer te laten weten waarom zij bepaalde persoonsgegevens verwerkt en welke soorten persoonsgegevens (categorieën) bewaard worden. Nieuw onder de AVG is dat de verwerkingsverantwoordelijke ook een kopie van de persoonsgegevens die worden verwerkt moet overhandigen. Wanneer het recht op inzage redelijkerwijs wordt ingeroepen, dient deze kopie kosteloos te worden verstrekt. Voor bijkomende kopieën kan wel een redelijke vergoeding worden gevraagd. Belangrijk is verder dat in artikel 15 lid 4 AVG wordt genoemd dat het recht om een kopie te verkrijgen geen afbreuk mag doen aan de rechten en vrijheden van anderen. De decentrale overheid moet er dus voor zorgen dat in deze kopieën geen persoonsgegevens van anderen onrechtmatig aan de betrokkene worden verstrekt. Hier kan aan voldaan worden door de betreffende persoonsgegevens van anderen op de kopie weg te lakken.

Recht op rectificatie en aanvulling

Artikel 16 AVG bepaalt dat, wanneer er sprake is van onjuistheden in de gegevensverwerking, de betrokkene het recht heeft om incorrecte gegevens te rectificeren en waar nodig aan te vullen. Als de incorrecte persoonsgegevens ook aan een derde zijn verstrekt, dient de verwerkingsverantwoordelijke de aangevulde en/of gerectificeerde persoonsgegevens ook aan deze derde partij toe te sturen. Dit komt overeen met het recht op kennisgeving uit artikel 19 AVG. Het recht op inzage kan dus een belangrijke voorwaarde zijn om dit recht op rectificatie uit te oefenen.

Recht op gegevenswissing en vergetelheid

Het recht op vergetelheid (artikel 17 AVG) betekent dat organisaties in bepaalde gevallen, op verzoek van de betrokkene waarvan zij gegevens verwerken, persoonsgegevens moeten wissen. Dit verzoek van de betrokkene moet aan een aantal voorwaarden voldoen om ingewilligd te worden. Het gaat hierbij bijvoorbeeld om situaties waarin de betrokkene de toestemming waarop de verwerking plaatsvond intrekt, of situaties waarin de persoonsgegevens onrechtmatig zijn verwerkt. Het recht op vergetelheid vloeit voort uit lid 2 van artikel 17 AVG. Dit lid legt de verwerkingsverantwoordelijke de verplichting op om de beschikbare technische maatregelen te nemen om persoonsgegevens die openbaar zijn gemaakt te wissen, wanneer deze op grond van artikel 17 lid 1 gewist moeten worden.

Lid 3 van artikel 17 AVG noemt echter ook een aantal situaties waarin het recht op gegevenswissing en vergetelheid niet ingeroepen kan worden. Dit is bijvoorbeeld het geval wanneer de verwerking van deze persoonsgegevens nodig is voor het nakomen van een wettelijke verplichting of het vervullen van een taak van algemeen belang of openbaar gezag.

Recht op beperking van gegevensverwerking

Onder bepaalde omstandigheden kan de betrokkene zijn recht op beperking (artikel 18) uitoefenen om het gebruik van de verwerkte persoonsgegevens te beperken. Om dit recht in te roepen moet voldaan worden aan minstens een criteria uit artikel 18 AVG. Er moet bijvoorbeeld sprake zijn van onjuiste gegevens of een onrechtmatige verwerking. De verwerkingsverantwoordelijke moet dit ook aan een derde partij mededelen wanneer de persoonsgegevens aan deze organisatie zijn doorgegeven. Wanneer de verwerking beperkt moet worden, kan een verwerkingsverantwoordelijke de persoonsgegevens nog wel verwerken wanneer er onder meer toestemming is van de betrokkene, of om gewichtige redenen van algemeen belang.

Recht van overdraagbaarheid van gegevens (dataportabiliteit)

Met de invoering van het recht op dataportabiliteit (artikel 20 AVG) krijgen betrokkenen het recht om gegevens over te dragen. Dit nieuwe recht betekent dat mensen het recht behouden om de persoonsgegevens te ontvangen die een verwerkingsverantwoordelijke van hen heeft en deze zo makkelijk kunnen doorgeven aan een andere organisatie. Het gaat bij het recht op dataportabiliteit alleen om persoonsgegevens die geautomatiseerd worden verwerkt op basis van ofwel toestemming van de betrokkene (artikel 6 lid 1 onder a, artikel 9 lid 2 onder a) of die noodzakelijk zijn om een overeenkomst met de betrokkene uit te voeren.

Recht van bezwaar

Artikel 21 AVG behandelt het recht van de betrokkene om bezwaar in te dienen als een organisatie persoonsgegevens verwerkt op grond van een gerechtvaardigd belang of een taak van algemeen belang. Als een betrokkene bezwaar aantekent tegen de verwerking van zijn persoonsgegevens, dan dient de verwerkingsverantwoordelijke in beginsel te stoppen met het verwerken van de gegevens, behalve wanneer de organisatie dwingende gerechtvaardigde gronden aanvoert voor de verwerking. Deze gerechtvaardigde gronden moeten belangrijker zijn dan de belangen, rechten en vrijheden van de betrokkene of moeten een rechtsvordering betreffen. De informatieplicht vereist dat het recht van bezwaar duidelijk en apart van alle andere informatie aan de betrokkene moet worden meegedeeld.

Geautomatiseerde individuele besluitvorming

Betrokkenen hebben volgens artikel 22 lid 1 AVG  in beginsel het recht om niet gehouden te zijn aan besluiten van gegevensverwerkende organisaties die uitsluitend berusten op geautomatiseerde verwerking (waaronder profilering). Dit is het geval wanneer dit besluit bijvoorbeeld rechtsgevolgen voor hen heeft. Dit recht geldt niet wanneer het besluit noodzakelijk is voor uitvoering van een overeenkomst, wanneer het is toegestaan bij een wettelijke bepaling op de verwerkingsverantwoordelijke, of wanneer het berust op de uitdrukkelijke toestemming van de betrokkene.

 Wanneer mogen deze rechten beperkt worden?

De beperkingen op de rechten van betrokkenen staan opgesomd in artikel 23 AVG. Verwerkingsverantwoordelijken kunnen deze rechten beperken op grond van wettelijke bepalingen. Daarbij moet deze beperking de wezenlijke inhoud van grondrechten en fundamentele vrijheden onverlet laten. De beperking moet een noodzakelijke en evenredige maatregel zijn ter waarborging van bijvoorbeeld de nationale of openbare veiligheid, doelstellingen van algemeen belang, de bescherming van de betrokkene of rechten en vrijheden van anderen. De wettelijke bepalingen moeten voldoen aan de criteria in lid 2 van artikel 23 AVG.

Meer weten over dit onderwerp?

Dit artikel is onderdeel van onze AVG-special. Lees ook deel Ideel IIdeel III, deel IV en VI en schrijf u in voor onze nieuwsbrief voor de volgende AVG-special op 9 april. Werkt u voor een decentrale overheid of het Rijk en hebt u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal.

Door:

Matthijs Binnema en Juliëtte Fredriksz, Europa decentraal

Bron:

Algemene Verordening Gegevensbescherming

Meer informatie:

Privacy, Themapagina Europa decentraal
Privacy: de Algemene verordening gegevensbescherming, Europa decentraal
Rechten van de betrokkene, Europa decentraal
Rechten van betrokkenen – deel 1 – VNG, VNG Realisatie, IBD, Europa decentraal
Rechten van betrokkenen – deel 2 – VNG, VNG Realisatie, IBD, Europa decentraal
Handreiking: privacyverklaring voor de gemeentelijke website – VNG, VNG Realisatie, IBD, Europa decentraal
Richtlijnen inzake het recht op gegevensoverdraagbaarheid, Groep gegevensbescherming artikel 29
Richtlijnen inzake transparantie (nog te finaliseren), Artikel 29 Werkgroep
Rechten van betrokkenen, Autoriteit Persoonsgegevens

 

 

 

 

X