3.1 Wat zegt de wet?
rol
In de AVG zijn alle hoofdrolspelers bij het verzamelen en verwerken van persoonsgegevens benoemd. De partij die bepaalt met welk doel en met welke middelen de persoonsgegevens worden verwerkt, heet in de wet de verwerkingsverantwoordelijke. Die rol zal uw organisatie over het algemeen hebben.
De verwerkingsverantwoordelijke hoeft niet per se ook de verwerker van de persoonsgegevens te zijn. Een partij aan wie de salarisadministratie is uitbesteed, kan ook de verwerker zijn. Let wel op: de opdrachtgever blijft altijd de (verwerkings)verantwoordelijke.
rechten
De persoon van wie de persoonsgegevens verwerkt worden, noemt u de betrokkene. Dat kunnen klanten zijn, maar ook werknemers of bijvoorbeeld zakenrelaties. Op grond van de AVG heeft de betrokkene verschillende rechten. In het vervolg van deze paragraaf komen de rechten aan bod van mensen waarvan de persoonsgegevens verzameld en verwerkt worden.
3.1.1 Recht op informatie
Een betrokkene moet worden geïnformeerd als zijn of haar persoonsgegevens worden verwerkt. Ook moet deze persoon te horen krijgen wat het doel van het verwerken van zijn gegevens is.
In de AVG is beschreven welke informatie aan een betrokkene moet worden verstrekt. Het gaat dan bijvoorbeeld om zijn rechten, de juridische grondslag van de verwerking en de manier waarop de persoonsgegevens zijn verzameld. In hoofdstuk 4, paragraaf 4.2 vindt u een overzicht van de informatie die uw organisatie moet geven.
De rechten van betrokkenen zijn opgenomen in artikel 13 tot en met 21 van de AVG. In deze wetteksten staat precies beschreven wat wel en niet is toegestaan.
3.1.2 Recht op rectificatie
onevenredig
Een betrokkene heeft het recht om onjuiste persoonsgegevens te laten rectificeren. De rectificatie moet meteen plaatsvinden. Dit recht is niet absoluut, maar wordt begrensd door wat gezien het doel en de grondslag voor verwerken (zie hoofdstuk 4) redelijk is. De verantwoordelijke organisatie is verplicht om iedere partij die de onjuiste persoonsgegevens heeft ontvangen op de hoogte te brengen van de rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vraagt. Als een organisatie meent dat rectificatie onevenredig veel inspanning vraagt of onmogelijk is, moet zij dit kunnen onderbouwen.
3.1.3 Recht van inzage
informatie
automatische besluitvorming
Een betrokkene heeft het recht om te weten hoe zijn persoonsgegevens worden verwerkt. Daarom moet de verantwoordelijke organisatie bepaalde informatie aan hem verstrekken en hem inzage geven. Denk hierbij aan het doel van de verwerking, aan wie de persoonsgegevens worden doorgespeeld en hoe lang de data worden opgeslagen. Ook moet de verwerkingsverantwoordelijke organisatie de betrokken personen wijzen op hun rechten en op het bestaan van zogeheten geautomatiseerde besluitvorming (zie kader).
Menselijke tussenkomst overbodig
kredietwaardigheid
Slimme software tekent deze tijd. Automatische besluitvorming is daar een mooi voorbeeld van. Hierbij neemt software zelfstandig een besluit op basis van data. Denk aan het bepalen van de kredietwaardigheid van een klant of het automatisch doorsturen van cv’s van geschikte sollicitanten. Onder de AVG moeten organisaties betrokkenen informeren over het bestaan van geautomatiseerde besluitvorming. Bovendien is geautomatiseerde besluitvorming verboden als dat de betrokkene ‘in aanmerkelijke mate treft’. Wat u daar onder kunt verstaan, moet de praktijk uitwijzen.
3.1.4 Recht op vergetelheid
onredelijke vertraging
Ook wel het recht om vergeten te worden. De verantwoordelijke organisatie is verplicht persoonsgegevens van de betrokkene zonder onredelijke vertraging te wissen in onder andere de volgende gevallen:
- persoonsgegevens zijn niet langer nodig voor de doelen waarvoor zij zijn verzameld of zijn op een andere manier verwerkt dan de bedoeling was;
- de betrokkene heeft zijn toestemming ingetrokken en er bestaat geen andere grondslag voor verwerking;
- de betrokkene maakt bezwaar tegen de verwerking;
- de persoonsgegevens zijn onrechtmatig verwerkt.
In paragraaf 3.2 leest u meer over het recht om vergeten te worden.
3.1.5 Recht op beperking van de verwerking
onrechtmatig
Het recht op beperking houdt in dat de verzamelde persoonsgegevens in sommige gevallen (tijdelijk) niet verwerkt en niet gewijzigd mogen worden. Iemand waarvan de persoonsgegevens worden verwerkt, kan zich bijvoorbeeld op dit recht beroepen als zijn persoonsgegevens niet juist zijn overgenomen of die onrechtmatig verwerkt worden.
3.1.6 Recht op overdraagbaarheid
dataportabiliteit
Dit wordt ook wel het recht op dataportabiliteit genoemd en houdt in dat een betrokkene de gegevens die een organisatie van hem heeft, moet kunnen opvragen, en wel in ‘gestructureerde, gangbare en machineleesbare vorm’. De betrokkene heeft ook het recht om deze opgevraagde gegevens aan een andere organisatie over te dragen of rechtstreeks te laten overdragen, zonder daarbij te worden gehinderd.
Tandartsen gooien een balletje over
dienstverlener
Misschien denkt u ‘wat moet iemand met het recht op dataportabiliteit?’ Dit recht zal vooral uitgeoefend worden als klanten overstappen van de ene naar de andere dienstverlener. Zo kan iemand die van tandarts wil veranderen, gebruik maken van zijn recht. Hij mag zijn huidige praktijk dan vragen om zijn dossier bijvoorbeeld aan hem te mailen of dat direct door te sturen naar zijn nieuwe tandarts.
3.1.7 Recht van bezwaar
Een betrokkene kan bezwaar maken tegen de verwerking van zijn persoonsgegevens. Dat kan bijvoorbeeld omdat hij niet vindt dat er zorgvuldig wordt omgegaan met zijn gegevens, maar ook vanwege het algemeen belang.