Volg Software Zaken

Rechten van betrokkenen onder de AVG

| Joost Krapels | Privacy

Organisaties moeten aan de slag om te zorgen dat de mensen van wie persoonsgegevens worden gebruikt, hun rechten kunnen uitoefenen. Deze mensen (‘betrokkenen’) hebben onder andere recht op inzage, correctie, tijdige verwijdering en soms ook meenemen van data naar een andere dienstverlener.  Dit artikel zet voor u op een rijtje wat de rechten precies zijn, en hoe u ze het beste kunt faciliteren.

De rechten van betrokkenen

Betrokkenen hebben onder de AVG acht bijzondere rechten. Als deze rechten geschaad worden, loopt de overtreder risico op een boete uit de hoogste categorie. Hier onder een overzicht van de rechten, met daarna een korte uitleg over elk.

De betrokkene heeft het recht:

  1. op informatie over de verwerkingen; Dit wordt meestal gedaan in een
  2. op inzage in zijn gegevens;
  3. op correctie van de gegevens als deze niet kloppen;
  4. op verwijdering van de gegevens en ‘het recht om vergeten te worden’;
  5. op beperking van de gegevensverwerking;
  6. op verzet tegen de gegevensverwerking;
  7. op overdracht van zijn gegevens (dataportabiliteit); Zie dit onderzoek naar dataportabiliteit in de praktijk
  8. om niet onderworpen te worden aan een geautomatiseerde
    besluitvorming.

Het recht op informatie over de verwerkingen
Betrokkenen moeten geïnformeerd worden hoe en bij wie hun persoonsgegevens verwerkt worden. De meeste bedrijven doen doen dit aan de hand van een privacy statement op de website. In dit statement staat onder andere welke gegevens verwerkt worden, wat de wettelijke grondslag hier voor is, wat er met de gegevens gedaan wordt, en welke beveiligingsmaatregelen getroffen worden.

Het recht op inzage in gegevens
Het is vaak onduidelijk welke gegevens bedrijven over hun klanten hebben. De AVG geeft betrokkenen daarom het recht om bij bedrijven op te vragen welke gegevens zij van hen hebben. Het bedrijf moet hen dan overzichtelijk inzicht geven in de persoonsgegevens.

Het recht op rectificatie van de gegevens 
Verwerkte gegevens dienen accuraat te zijn en te blijven. Betrokkenen mogen daarom een verzoek indienen om de gegevens te laten corrigeren. Als dit geen onevenredige inspanning is, zoals bijvoorbeeld handmatig op 2000 plekken een letter wijzigen, dient er gewoon gehoor aan gegeven te worden.

Het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’
Als een verwerking onrechtmatig is, de toestemming ingetrokken is, of als de gegevens niet langer nodig zijn voor een verwerking hebben betrokkenen het recht om de persoonsgegevens bij een bedrijf te laten verwijderen. Er is nog een stap verder te gaan, en dat is het recht om vergeten te worden. Dit betekent dat het bedrijf zich naar beste inspanning moet inzetten om aan andere verantwoordelijke partijen die de gegevens verwerken duidelijk te maken dat de gegevens verwijderd dienen te worden.

Het recht op beperking van de gegevensverwerking
Een betrokkene mag de verwerking van zijn persoonsgegevens in sommige omstandigheden laten pauzeren. Dit kan handig zijn als de gegevens onjuist zijn en gewijzigd moeten worden, als de verwerking onrechtmatig is en de betrokkene wil niet dat de gegevens verwijderd worden, of als de betrokkene bezwaar heeft gemaakt tegen de verwerking.

Het recht op verzet tegen de gegevensverwerking
Als een verwerkingsverantwoordelijke de grondslagen “noodzakelijk voor een taak van algemeen belang of openbaar gezag” of  “gerechtvaardigd belang” gebruikt, kan het zijn dat een betrokkene vindt zijn/haar persoonlijke omstandigheden zwaarder wegen. Zij staan dan in hun recht zich te verzetten tegen de verwerking. Betrokkenen kunnen zich altijd met succes verzetten tegen direct marketing.

Het recht op overdracht van zijn gegevens (dataportabiliteit)
Een betrokkene kan de behoefte hebben met een andere verantwoordelijke partij in zee te gaan, en zijn/haar gegevens op te vragen om deze mee te nemen. Dit geldt echter alleen voor zelf verstrekte gegevens van verwerking waar toestemming voor gegeven is of die nodig waren voor het uitoefenen van een overeenkomst. De kopie van de gegevens moet leesbaar zijn voor de systemen van de nieuwe verantwoordelijke, en moeten dus ook zo aangeleverd worden (bijvoorbeeld CSV, JSON, of XML). Hieronder is te zien hoe Google invulling geeft aan het recht op dataportabiliteit. Dit zelf proberen en  verdere Google privacy instellingen aanpassen kan op myaccount.google.com/privacy. In 2023 heeft Julien Benistant een onderzoek gaan daan dataportabiliteit bij sociale-netwerk-sites.

Het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming
Organisaties laten steeds meer beslissingen over klanten over aan computers. Sommige van deze beslissingen kunnen echter flinke gevolgen hebben, zoals bijvoorbeeld het wel of niet verstrekken van een lening. Deze keuzes worden vaak gemaakt met behulp van profilering: het categoriseren aan de hand van eigenschappen. Betrokkenen hebben het recht om niet zo volledig zonder menselijke tussenkomst beoordeeld te worden als dit vergaande gevolgen kan hebben. Er zijn enkele uitzonderingssituaties, zoals bijvoorbeeld bij expliciete toestemming. In de praktijk komt de inzet van algoritmes AI veel voor en zijn er dan ook hulpmiddelen om te zorgen voor verantwoord gebruik van AI. De AVG verplicht organisaties om menselijk toezicht te houden: een zogeheten human in the loop.

Het faciliteren van de rechten

Het faciliteren van de rechten kan nog best ingewikkeld zijn, en er is niet één perfecte manier. Voor kleine organisaties is het vaak het makkelijkst om alle verzoeken handmatig te beoordelen en af te handelen. Voor middelgrote organisaties die een stuk meer verzoeken krijgen kan het handig zijn om software te ontwikkelen of kopen om goedgekeurde verzoeken uit te voeren. Hiermee kan bijvoorbeeld een rechtmatig verzoek tot verwijdering in alle databases van het bedrijf automatisch doorgevoerd worden, of kan het recht op inzage versneld worden door software alle gegevens te laten verzamelen.

Grote organisaties als Google en Facebook pakken het het op nog een andere manier aan. Zij automatiseren verzoeken zoals het recht op inzage helemaal, en laten gebruikers hun andere rechten zelf uitvoeren. In een dashboard kan de gebruiker dan bijvoorbeeld zijn/haar toestemming beheren.

Het is onder de AVG verplicht om te reageren op verzoeken tot het uitoefenen van rechten. Dit moet binnen een maand gebeuren. Mocht dit vanwege het aantal verzoeken of de complexiteit van een verzoek niet lukken, dan dient de betrokkene binnen een maand op de hoogte gesteld te worden dat er nog maximaal twee extra maanden nodig zijn. Ook van het afwijzen van een verzoek moet de betrokkene binnen een maand op de hoogte gesteld worden.

Ook hoeven organisaties niet in alle gevallen direct gehoor te geven aan alle verzoeken. Als er twijfel bestaat over de identiteit van de verzoeker, mag er om identificatie gevraagd worden. Als verzoeken zelf “kennelijk ongegrond of buitensporig” (Artikel 12.5 AVG) zijn, mag het verzoek ook geweigerd worden of tegen een redelijke vergoeding plaatsvinden. Dit zal in de praktijk alleen voorkomen als een betrokkene elke dag zijn/haar gegevens overgedragen wenst te hebben.

Mocht u meer willen weten over de AVG, dan raden wij u aan onze privacy overzichtspagina te lezen of deel te nemen aan de basiscursus AVG.

 

Image credit: @brucemars via Unsplah

Author: Joost Krapels
Joost Krapels MSc. heeft zijn BSc. in Artificial Intelligence en zijn MSc. in Information Sciences gehaald aan de VU Amsterdam. Bij ICT Institute adviseert hij over informatiebeveiliging (CISSP, Security+, IRCA/CQI Lead Auditor), privacy (CIPP/E), praktisch toepassen van de AVG, en voert hij IT Due Diligence onderzoek uit.