Corine de Kater, Ron Brouwer, Rene Bouter
Vanaf 25 mei 2018 moeten alle organisaties die met persoonlijke gegevens werken GDPR- of AVG-compliant zijn. Organisaties die hun huiswerk dan niet op orde hebben riskeren zware boetes tot 4% van hun wereldwijde jaaromzet. Reden genoeg dus om u spoedig voor te bereiden.
Eerder informeerden wij u hoe u privacy in uw organisatie kunt organiseren. We schreven ook over de voordelen van de privacywetgeving voor uw organisatie. In dit artikel staan we stil bij de “rechten van de betrokkene in relatie tot de AVG.“
We vertellen eerst wat de “rechten van de betrokkene” zijn en hoe u als organisatie blijft voldoen aan de nieuwe regelgeving.
Rechten van betrokkene geeft natuurlijke personen meer controle
Privacywetgeving kent rechten toe aan personen van wie persoonsgegevens worden verwerkt. Deze personen kunnen bijvoorbeeld uw klanten, prospects of collega’s zijn. De Algemene Verordening Gegevensbescherming (AVG) noemt dit de “rechten van betrokkene”.
Ook onder de Wet bescherming persoonsgegevens (Wbp) hebben betrokkenen rechten maar een aantal van deze rechten zijn met de AVG aangescherpt en nieuwe rechten zijn toegevoegd. De nieuwe regelgeving geeft betrokkenen meer middelen om de verwerking van hun persoonsgegevens te controleren en te beïnvloeden. Hier dient u als organisatie rekening mee te houden.
Welke rechten heeft de betrokkene onder de AVG?
Hieronder volgt een opsomming van de rechten met een beknopte, niet uitputtende toelichting. Klik op de individuele artikelen om te lezen wat deze artikelen voor uw organisatie betekenen en hoe u in lijn blijft met de AVG.
Artikel 13: Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld
Het moet voor de betrokkene (uw klant, prospect, collega, patiënt…) duidelijk zijn dat zijn of haar persoonsgegevens worden verwerkt, en dat dit op een behoorlijke en transparante manier gebeurt. De AVG schrijft voor dat uw organisatie de betrokkene hierover actief informeert. U kunt bijvoorbeeld uw privacyverklaring gebruiken om de personen waarvan u gegevens verwerkt te informeren.
Artikel 15: Recht van inzage van de betrokkene
Iedere betrokkene heeft het recht om te informeren of u zijn of haar persoonsgegevens verwerkt. Als u daadwerkelijk persoonsgegevens verwerkt dan heeft iedere persoon het recht om inzage te krijgen in de persoonsgegevens en een toelichting op o.a. de reden waarom uw organisaties de gegevens verwerkt.
Artikel 16: Recht op rectificatie
Als de betrokkene, mogelijk nadat om inzage is gevraagd, vaststelt dat zijn of haar gegevens niet juist in uw administratie zijn opgenomen dan bent u verplicht dit “onverwijld” te corrigeren.
Artikel 17: Recht op gegevenswissing (“recht op vergetelheid”)
Als persoonsgegevens niet (meer) rechtmatig worden verwerkt, dan heeft de betrokken het recht om te worden vergeten. Indien de betrokkene u hierom verzoekt dan bent u verplicht om zijn of haar gegevens overal te verwijderen waar u deze heeft opgeslagen of bewaard.
Artikel 18: Recht op beperking van de verwerking
De betrokkene heeft het recht dat de verwerking van zijn of haar persoonsgegevens -al dan niet tijdelijk- wordt gestopt. De gegevens mogen vanaf dat moment ook niet meer gewijzigd worden. Dit recht kan worden uitgeoefend in het geval er een bezwaar of een probleem bij de gegevensverwerking is. Bijvoorbeeld wanneer de juistheid van de persoonsgegevens door de betrokkene ter discussie wordt gesteld of wanneer de betrokkene van mening is dat de verwerking onrechtmatig is.
Een beroep op dit recht zal vaak samengaan met het recht op rectificatie. Indien een persoon zijn gegevens gecorrigeerd wil hebben dan kan hij of zij vragen de verwerking stop te zetten totdat de onjuiste persoonsgegeven zijn aangepast.
Artikel 19: Kennisgevingsplicht bij rectificatie, wissing of beperking
Artikel 19 stelt dat u als organisatie verplicht bent om elke ontvanger van persoonsgegevens (verwerker) in kennis te stellen van elke rectificatie, het wissen of de beperking van de betreffende gegevensverwerking. Wanneer het verstrekken van de gewenste informatie niet meer mogelijk is of onevenredig veel inspanning kost, dan hoeft u geen invulling aan dit artikel te geven.
Artikel 20: Recht op overdraagbaarheid (“dataportabiliteit”)
De betrokkene heeft het recht om zijn of haar persoonsgegevens in een gestructureerde en elektronische vorm van uw organisatie te ontvangen en over te dragen aan een andere organisatie die zijn of haar gegevens gaat verwerken.
Artikel 21: Recht van bezwaar
De betrokkene heeft het recht om bezwaar te maken tegen de verwerking van zijn of haar persoonsgegevens.
Artikel 22: Geautomatiseerde individuele besluitvorming, waaronder profilering
Als uw besluitvorming over een individu volledig geautomatiseerd plaatsvindt, dan is het verstandig artikel 22 van de AVG goed te lezen. Hierin staat namelijk dat een individu kan eisen dat een beslissing waaraan rechtsgevolgen verbonden zijn of hem/haar op een andere wijze treft, niet uitsluitend geautomatiseerd plaatsvindt. Op dit artikel zijn een paar uitzonderingen van toepassing, o.a. als het noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene of als de betrokkene toestemming heeft gegeven.
Wat betekenen deze rechten van de betrokkene voor uw organisatie?
1. Weet waar welke gegevens verwerkt worden
Voor alle rechten geldt dat u inzicht moet hebben waar welke persoonsgegevens verwerkt worden. In welk proces, met behulp van welke applicatie en waar worden er in uw organisatie persoonsgegevens bewaard? Als u niet weet welke gegevens u heeft dan kunt u ze ook niet beschermen. De eerste stap op weg naar AVG-compliancy is daarom vaak het in beeld brengen van de (hoeveelheid) persoonsgegevens waarmee uw organisatie werkt. Klik hier voor meer informatie.
2. Schat in op welke rechten betrokkenen beroep zullen doen
Niet alle rechten zullen voor uw organisatie een even grote impact hebben. Het kan goed zijn dat geen enkele betrokkene zich op een bepaald recht zal beroepen. Het recht op overdraagbaarheid bijvoorbeeld is vooral geschreven vanuit het perspectief van de sociale media. Er zijn gegevens die u of wij graag willen doorgeven aan een andere verwerker. Denk bijvoorbeeld aan foto’s die we bij de fotoclub of op Instagram hebben gedeeld. Maar bijvoorbeeld ziektekostendeclaraties willen wij helemaal niet overdragen als wij overstappen naar een nieuwe ziektekostenverzekering. Loop als organisatie dus alle rechten langs en maak een inschatting of en in welke mate u een beroep op het recht kunt verwachten.
3. Beoordeel de rechten van de betrokkene vanuit uw verplichtingen
De rechten van betrokkenen komen niet uit de lucht vallen. Daar kan alleen een beroep op gedaan worden omdat organisaties een verplichting hebben m.b.t. de persoonsgegevens van betrokkenen.
Bijvoorbeeld het recht op rectificatie is gelijk aan de verplichting van verwerkingsverantwoordelijke om je gegevens juist te verwerken.
Beoordeel de rechten van de betrokkene daarom vanuit uw verplichtingen perspectief. Wat is de basis waarop u bevoegd bent persoonsgegevens te verwerken? Heeft de betrokkene u daarvoor expliciet toestemming gegeven? Is de verwerking op basis van een overeenkomst of moet u voldoen aan een wettelijke verplichting (bijvoorbeeld bewaartermijnen*).
Als u uw bewaartermijnen goed op orde heeft dan zal een beroep op het recht op vergetelheid weinig kans maken. Onze ervaring is dat bewaartermijnen onder de Wbp een ondergeschoven kindje zijn gebleven. Een pragmatische en effectieve aanpak is om bewaartermijnen in combinatie met de voor u relevante rechten van de betrokkene in uw ICT-landschap en proces op orde te brengen.
Hoe respecteert u de rechten van de betrokkene in uw organisatie?
Het volgende stappenschema kan helpen:
- Inventariseer de applicaties die persoonsgegevens verwerken en de afhankelijkheden tussen deze applicaties.
- Bepaal welke rechten van de betrokkene voor uw organisatie van belang zijn en wat u daar al voor heeft ingericht.
- Bepaal uw bewaartermijnen. Afhankelijk van de soort verwerking en het doel van de verwerking kan dat verschillen. Voor de meeste gegevens zal dat de fiscale bewaartermijn van 7 jaar zijn maar voor andere gegevens zoals medische gegevens ligt dat wellicht anders.
- Bepaal per applicatie die persoonsgegevens verwerkt of de bewaartermijnen onderdeel van de functionaliteiten zijn of misschien procesmatig ingeregeld zijn.
- Bepaal per applicatie of de applicatie en het proces er omheen tegemoetkomt aan de rechten van de betrokkene.
- Indien u vraag 4 en/of 5 negatief beantwoordt, stel dan een impactanalyse op. Wat moet u doen om aan de AVG te voldoen? Ook hier geldt dat het belangrijk is de risico’s in kaart te brengen. Als u de risico’s laag inschat zijn applicatieve aanpassingen misschien helemaal niet nodig en kunt u volstaan met bijvoorbeeld een handmatige actie als iemand een beroep doet op zijn of haar rechten.
- Privacy is een bestuursverantwoordelijkheid. Dus als u applicaties heeft die niet of niet tijdig compliant zijn, vraagt dit om bestuurlijke besluitvorming.
Heeft u vragen?
Heeft u vragen over de AVG of over de rechten van de betrokkene en de gevolgen voor uw organisatie? Wacht niet te lang en vraag advies. Uw organisatie dient op 25 mei 2018 AVG-compliant te zijn. Welke zaken dient u nog op orde te brengen?
Voor meer informatie: info@divetro.nl of +31 (0) 88 000 54 00.
*Ook het opslaan en bewaren van persoonsgegevens is een verwerking. Artikel 6 AVG stelt dat gegevens verwijderd moeten worden als ze niet langer rechtmatig verwerkt worden. In artikel 5 van de AVG is nog eens expliciet opgenomen dat persoonsgegevens niet langer mogen worden bewaard in een vorm die het mogelijk maakt om betrokkenen te identificeren.
Corine de Kater helpt organisaties in de rol van projectmanager en implementatiemanager verder met het realiseren en “laten landen” van tastbare veranderingen. Ruim 20 jaar werkt zij op het snijvlak van business en ICT waarbij zij zich de afgelopen jaren heeft toegelegd op privacy en informatiebeveiliging.
Oplossingen bedenken voor Informatiebeveiligingsvraagstukken is de passie van Ron Brouwer. Zit u met een uitdaging op het gebied van informatiebeveilingsbeleid, baselines of het definiëren of invoeren van maatregelen, dan kunt u hem bereiken via ron.brouwer@divetro.nl of 026-4436790.
Rene Bouter is meer dan 10 jaar werkzaam in de security en heeft een brede kennis en ervaring op het gebied van fysieke beveiliging, business continuity en informatiebeveiliging. Daarnaast ontwikkelt en geeft Rene verschillende trainingen op het gebied van security. Als consultant is hij betrokken bij verschillende ISO27000 en NEN7510 implementatietrajecten voor organisaties in de overheid, financiën en de zorg.