Op basis van de Algemene verordening gegevensbescherming (AVG) heeft een betrokkene (een klant, werknemer of relatie) verschillende rechten ten aanzien van zijn of haar persoonsgegevens. Organisaties ontvangen verschillende verzoeken, maar het is niet altijd even duidelijk hoe een dergelijk verzoek afgehandeld moet worden. Hoe reageert u adequaat op een verzoek van een betrokkene?
Rechten op basis van de AVG
Ingevolge de AVG (hoofdstuk 3) heeft een betrokkene – een persoon van wie persoonsgegevens worden verwerkt – het recht op:
- informatie over de verwerking van persoonsgegevens;
- inzage in de eigen persoonsgegevens;
- rectificatie/aanvulling van persoonsgegevens;
- het wissen van persoonsgegevens;
- het beperken van de verwerking van persoonsgegevens;
- het overdragen van persoonsgegevens aan een derde partij (dataportabiliteit);
- het maken van bezwaar tegen de verwerking van persoonsgegevens;
- het niet te worden onderworpen aan geautomatiseerde besluitvorming.
Dit zijn geen absolute rechten. Het kan voorkomen dat uw organisatie bepaalde persoonsgegevens niet hoeft of zelfs niet mag verstrekken. Zo heeft een betrokkene doorgaans alleen deze rechten ten aanzien van de eigen persoonsgegevens of die van een kind en niet ten aanzien van de persoonsgegevens van een ander. Voorts kan een verzoek (deels) geweigerd worden als dit in strijd is met een recht van een ander, zoals het recht op vrijheid van meningsuiting of privacy.
Identificatie van de betrokkene
Aangezien een betrokkene alleen rechten heeft ten aan zien van de eigen persoonsgegevens, is het belangrijk de identiteit van desbetreffende betrokkene vast te stellen. Het is bijvoorbeeld niet wenselijk dat u per ongeluk persoonsgegevens van een ander wist. Als uw organisatie twijfelt aan de identiteit, mogen aanvullende gegevens gevraagd worden ter identificatie.
Bij het identificeren van een betrokkene moet u een passende methode kiezen. Dit betekent dat de minst ingrijpende manier moet worden gekozen en dat u rekening moet houden met de privacygevoeligheid van een verzoek. Wordt inzage verzocht in een medisch dossier, dan zal de identificatie zwaarder wegen dan wanneer rectificatie wordt verzocht van een voornaam. Afhankelijk van de omstandigheden kan gekozen worden voor bijvoorbeeld tweefactorauthenticatie of de betrokkene verzoeken zich te identificeren bij uw organisatie. Slechts in uitzonderlijke gevallen kan het geoorloofd zijn om een kopie van een identiteitskaart te verzoeken. Let in dit geval op dat u de betrokkene vraagt niet-noodzakelijke persoonsgegevens (waaronder in ieder geval het burgerservicenummer (BSN)) zwart te maken.
Wie moet gehoor geven aan deze rechten?
De verwerkingsverantwoordelijke is altijd verantwoordelijk voor het uitvoeren van een verzoek van een betrokkene. Dit betekent dat uw organisatie, in de hoedanigheid van verwerkingsverantwoordelijke, maatregelen moet nemen om een verzoek te kunnen uitvoeren. Onder andere moet duidelijk zijn wie intern verantwoordelijk is voor het uitvoeren van een verzoek (bijvoorbeeld een afdelingshoofd), waar persoonsgegevens zich binnen de organisatie bevinden en hoe de verschillende verzoeken behandeld moeten worden. Voor dit laatste, de behandeling van de verzoeken, moet met name duidelijk zijn welke beperkingen per recht gelden. Bovendien moet de organisatie goede afspraken maken met een eventuele verwerker, zodat deze medewerking verleent bij het uitvoeren van een verzoek.
Let op termijnen!
Belangrijk is dat de verwerkingsverantwoordelijke over de nodige processen beschikt, want er gelden termijnen voor het uitvoeren van een recht van een betrokkene. Na ontvangst van een verzoek moet een organisatie binnen één maand de verzoeker informeren over het gevolg dat aan het verzoek is gegeven. Ook als geen gevolg wordt gegeven aan een verzoek, moet de betrokkene hierover binnen één maand geïnformeerd worden.
Het kan voorkomen dat de termijn van één maand niet of nauwelijks haalbaar is, omdat een verzoek complex is en/of een organisatie veel verzoeken gelijktijdig ontvangt. De verwerkingsverantwoordelijke kan, voor zover nodig, op basis van (een van) deze twee redenen de termijn met (maximaal) twee maanden verlengen. In een dergelijk geval moet de verwerkingsverantwoordelijke de betrokkene binnen één maand na ontvangst van een verzoek over deze verlenging informeren.
Uitoefenen van een recht namens een kind
Wanneer een kind jonger is dan 16 jaar, kan de wettelijk vertegenwoordiger van dit kind rechten uitoefenen namens dit kind ten aanzien van desbetreffende persoonsgegevens. De wettelijk vertegenwoordiger is diegene die het gezag heeft over een kind. Gezag kan worden verkregen op basis van de wet of door een verzoek via de rechter.
- Op basis van de wet krijgen ouders die getrouwd zijn of een geregistreerd partnerschap hebben automatisch gezag op basis van de wet. Ook ouders door adoptie krijgen automatisch gezamenlijk gezag.
- Als geen sprake is van een huwelijk, geregistreerd partnerschap of adoptie, staat het kind bij de geboorte meestal alleen onder het gezag van de vrouw die bevallen is van het kind. In dit geval kan gezag worden aangevraagd via de rechter. Alle beslissingen van een rechter over het gezag van een kind worden opgenomen in het gezagsregister.
Soms kan een organisatie twijfelen over het gezag van een verzoeker. Bij twijfel mag u bewijs van het gezag vragen.