Afl. 8 Implementeer (nieuwe) rechten van betrokkene

De komende tijd bespreekt Broeseliske Van Vlijmen Advocaten een aantal onderwerpen die voor elke ondernemer die persoonsgegevens verwerkt – en wie doet dat niet? – belangrijk zijn. Als handvat dient de brochure van het Ministerie van Justitie van april 2017, de link vindt u onderaan dit artikel. Vanaf 25 mei 2018 moet elke organisatie die persoonsgegevens verwerkt voldoen aan de Algemene Verordening Gegevensbescherming (AVG en in het Engels General Data Protection Regulation: GDPR).

Aflevering 8,  23 november 2017

De AVG geeft de betrokkenen, dat zijn degenen van wie persoonsgegevens worden verwerkt, een aantal nieuwe rechten ten opzichte van de Wbp. De rechten van de betrokkenen zijn in Hoofdstuk III AVG opgesomd. De verwerkingsverantwoordelijke (hierna ook: verantwoordelijke) dient procedures in te richten die de uitoefening van de rechten van betrokkenen – in beginsel kosteloos – faciliteren en zodat verantwoordelijke binnen een maand na ontvangst van het verzoek betrokkene kan informeren over het gevolg dat aan het verzoek is gegeven.

In de vorige aflevering kwam het recht op informatie van de betrokkene al uitvoerig aan de orde. Daarnaast noemt de AVG nog de volgende rechten.

a. Recht op inzage: de betrokkene heeft het recht om van de verantwoordelijke uitsluitsel te krijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en als dat het geval is inzage te krijgen in die gegevens. Ook heeft hij dan recht te worden geïnformeerd over de aspecten die in de vorige aflevering zijn genoemd https://www.broeseliskevanvlijmen.nl/nl/actualiteiten/stem-privacy-verklaringen-af-op-de-doelgroepen/

b. Recht op onmiddellijke rectificatie van onjuiste persoonsgegevens met de verplichting van de verantwoordelijke om derden die de gegevens hebben ontvangen in kennis te stellen van elke rectificatie.

c. Recht op gegevenswissing (right to be forgotten) in een aantal gevallen met de verplichting van de verantwoordelijke om derden die de gegevens hebben ontvangen in kennis te stellen van elke wissing. Bijvoorbeeld als de gegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld, als de persoonsgegevens onrechtmatig zijn verwerkt of als betrokkene zijn toestemming intrekt en er geen andere rechtsgrond voor verwerking is.

d. Recht op beperking van de verwerking bijvoorbeeld als de juistheid van de gegevens wordt betwist voor de periode dat de verantwoordelijke de juistheid controleert of als de verwerking onrechtmatig is en de betrokkene zich verzet tegen het wissen van de persoonsgegevens en verzoekt om in plaats daarvan om beperking van het gebruik.

e. Recht op overdraagbaarheid van de persoonsgegevens aan een andere verantwoordelijke, als de verwerking geautomatiseerd plaatsvindt en berust op toestemming van de betrokkenen of op een overeenkomst waar de betrokkene partij bij is. De gegevens moeten dan in een gangbare en leesbare vorm worden verstrekt.

f. Recht van bezwaar. De betrokkene mag bezwaar maken tegen de verwerking. De verantwoordelijk staakt dan de verwerking, tenzij er dwingende gerechtvaardigde gronden zijn voor de verwerking die zwaarder wegen dat die van betrokkene. Worden persoonsgegevens voor direct marketing verwerkt dan heeft betrokkene te allen tijde het recht bezwaar te maken. De gegevens mogen dan niet meer voor dat doel worden verwerkt.

g. Geautomatiseerde besluitvorming w.o. profilering. Betrokkene heeft het recht niet onderworpen te worden aan een uitsluitend op geautomatiseerde verwerking w.o. profilering, gebaseerd besluit waaraan rechtsgevolgen voor hem zijn verbonden of hem anderszins aanmerkelijk treft. Zo mag een bank niet volgens een uitsluitend automatische procedure besluiten of een betrokkene een lening krijgt.

Voor veel organisaties zal het een aanzienlijke inspanning vergen om hiervoor adequate procedures in te richten. Bedenk dat elke organisatie er groot belang bij om slimme en efficiënte procedure te creëren omdat het voldoen aan de rechten van de betrokkenen anders een dagtaak kan worden.