Rechten van betrokkenen

Onder de Algemene verordening gegevensbescherming (AVG) zijn de privacyrechten van personen versterkt en uitgebreid. U moet uw systemen, processen en interne organisatie op deze rechten inrichten. Zodat u op de juiste manier gehoor kunt geven aan verzoeken van betrokkenen.

Waar moet u op letten?

Om volgens de regels op een verzoek te reageren, moet u het volgende weten en doen:

• Weet u en weten uw eventuele medewerkers welke privacyrechten er gelden? En wanneer u wel of niet gehoor hoeft te geven aan een verzoek?
• Weet u en weten uw eventuele medewerkers hoe u aan de verzoeken gaat voldoen? Bijvoorbeeld: op welke manier u mensen inzage gaat geven, hun gegevens wist of hun gegevens gaat overdragen? Mogelijk moet u daarvoor technische en organisatorische maatregelen nemen.
• Weet u en weten uw eventuele medewerkers hoe u de identiteit gaat vaststellen van mensen die een verzoek doen?
• Wijst u mensen op de privacyrechten die zij hebben? Bijvoorbeeld via uw privacyverklaring?
• Informeert u mensen duidelijk over hóe zij een verzoek bij u kunnen indienen?
• Is het voor mensen makkelijk om een verzoek bij u te doen? Wanneer iemand elektronisch (bijvoorbeeld per e-mail) een verzoek doet, moet u de gevraagde informatie ook elektronisch geven.
• Kunt u zo snel mogelijk, maar in ieder geval binnen 1 maand, reageren op een verzoek?
  Concreet betekent dit dat u binnen die termijn het verzoek moet hebben uitgevoerd. En de verzoeker hierover hebben geïnformeerd. Ofwel moet u binnen deze termijn hebben aangegeven waarom u geen gehoor geeft aan het verzoek.
  In uitzonderlijke gevallen mag u binnen 3 maanden reageren op een verzoek. Bijvoorbeeld wanneer een verzoek heel complex is. Of wanneer het aantal ontvangen verzoeken van dezelfde persoon extreem hoog is. Maar ook dan geldt dat u wel binnen 1 maand moet laten weten dat u meer tijd nodig heeft om op het verzoek te reageren. En moet u uitleggen waarom dat zo is.

Kosten

U mag in principe géén kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is? Bijvoorbeeld omdat iemand heel veel verzoeken bij u indient? Dan mag u een redelijke administratieve vergoeding vragen. Of het verzoek weigeren.

Doet iemand een verzoek bij u op basis van de privacyrechten uit de AVG? Zoals een inzageverzoek? Dan moet u checken of die persoon is wie diegene zegt te zijn. U wilt immers voorkomen dat u iemand toegang geeft tot de persoonsgegevens van een ander. Maar u mag daarbij niet meer gegevens opvragen dan nodig is.

Kopie ID

U mag voor dit doel nooit een volledige kopie van het identiteitsbewijs vragen. Dat is een kopie waarop alle persoonsgegevens zichtbaar zijn.

U mag alleen een volledige kopie vragen als u daartoe wettelijk verplicht bent. Dit geldt bijvoorbeeld voor een bank, creditcardmaatschappij, verzekeraar, notaris of casino.

Anders mag u hooguit om een kopie vragen waarbij bepaalde gegevens zijn afgeschermd. Maar dit mag alleen als het echt niet anders kan. 

In de meeste gevallen zijn er namelijk minder ingrijpende manieren om iemands identiteit vast te stellen. U moet altijd zo veel mogelijk proberen iemands identiteit vast te stellen met de gegevens die u al heeft van deze persoon.

Voorbeelden vaststellen identiteit

Ter inspiratie vindt u hieronder een aantal manieren waarop u iemands identiteit kunt vaststellen. Het is aan u om te bepalen welke manier het meest passend is gelet op de situatie.

• Via een bestaand inlogsysteem
  Bedrijven met een webshop hebben vaak al een beveiligd inlogsysteem voor klanten. Het uitoefenen van iemands privacyrechten kunt u dan in dat systeem integreren.
• Een vorm van tweefactorauthenticatie
  ​U gebruikt hiervoor de klantgegevens uit uw eigen administratie ter controle. Hier zijn veel variaties op mogelijk. Bijvoorbeeld:
  • Na het ontvangen van een verzoek via e-mail vraagt u om een bevestiging per sms. Dit mobiele nummer moet dan kloppen met de klantgegevens uit uw administratie.
  • U vraagt per e-mail om een bevestiging van het telefonische verzoek. Dit e-mailadres moet dan kloppen met de klantgegevens uit uw administratie.
  • U vraagt om de laatste 3 cijfers van het rekeningnummer, de geboortedatum en/of het klantnummer ter controle.
• Langskomen en ID tonen
  U kunt mensen vragen om langs te komen en hun ID-bewijs aan u te tonen zonder een kopie te maken. Let op: u mag hiermee geen drempel opwerpen om inzage te geven. Bijvoorbeeld wanneer iemand niet in de buurt woont. Bied dit daarom alleen als alternatief aan.

Twijfel over identiteit

Heeft u iemands identiteit proberen vast te stellen op uw standaardmanier? Maar heeft u redenen om alsnog te twijfelen of iemand wel is wie diegene zegt te zijn? Dan mag u om aanvullende informatie vragen.

Ook hier geldt dat u niet om meer gegevens mag vragen dan nodig is. U mag hooguit om een kopie vragen waarbij bepaalde gegevens zijn afgeschermd. Maar dit mag alleen als het echt niet anders kan.

Vastleggen in beleid

Als organisatie moet u beleid hebben waarin staat hoe mensen hun privacyrechten kunnen uitoefenen. Een onderdeel daarvan is de manier waarop iemand zich identificeert bij een verzoek privacyrechten.

Informatieplicht bij kopie ID

Vraagt u om een kopie van iemands identiteitsbewijs? Let er dan op dat u bepaalde informatie moet verstrekken aan deze persoon.

Zie verder: Welke informatie moet ik als organisatie geven als ik een kopie van een identiteitsbewijs vraag?

Het recht op inzage is bedoeld om mensen meer grip te geven op hun persoonsgegevens. Ook kunnen zij hiermee controleren of u zich aan de regels houdt.

Ontvangt u een verzoek om inzage? Dan moet u de volgende informatie geven:

• een kopie van de persoonsgegevens waar iemand inzage in wil;
• informatie over de verwerking.

Kopie persoonsgegevens

Wil iemand inzage in álle persoonsgegevens die u van hem/haar heeft? Dan heeft hij/zij daar in principe recht op. Inclusief persoonsgegevens uit e-mails, eventuele opgenomen telefoongesprekken en eventuele correspondentie die u met derden over hem/haar heeft gehad.

Maar het kan ook zijn dat iemand alleen meer informatie wil óver de verwerking (zie onder). Of dat iemand alleen maar inzage wil in een deel van de persoonsgegevens. Bijvoorbeeld om te controleren of u niet onnodig veel persoonsgegevens heeft vastgelegd in zijn/haar persoonlijke dossier.

Zie ook: hoe maak ik een kopie van persoonsgegevens bij het recht op inzage? Inclusief een voorbeeldoverzicht.

Informatie over de verwerking

Bij inzageverzoeken moet u de betrokkene ook laten weten:

• waarom u bepaalde gegevens verwerkt.
• welke soorten persoonsgegevens u verzamelt.
• indien van toepassing: aan welke organisaties u de persoonsgegevens doorgeeft. Dit geldt ook voor gegevens die u doorgeeft aan organisaties in andere landen of aan internationale organisaties.
• hoe lang u de persoonsgegevens bewaart. Als u dat niet precies kunt aangeven, moet u duidelijk kunnen maken welke criteria u hanteert om een bewaartermijn te bepalen.
• welke privacyrechten mensen hebben: het recht om hun persoonsgegevens te laten wijzigen, aanvullen of wissen, om u te vragen om minder persoonsgegevens te verwerken en om bezwaar te maken als u hun persoonsgegevens verwerkt.
• dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
• indien van toepassing: van welke organisatie u persoonsgegevens heeft ontvangen als u deze niet zelf heeft verzameld bij de betrokken personen.
• indien van toepassing: op basis van welke logica u een geautomatiseerd besluit over iemand neemt.

Veel van deze informatie staat waarschijnlijk ook al in uw privacyverklaring.

Meer informatie

• Dossier Recht op inzage (voor burgers)

Bij een verzoek om inzage maakt u een kopie van de persoonsgegevens waar iemand inzage in wil. In de wet staat niet hoe zo’n kopie eruit moet zien. De Autoriteit Persoonsgegevens (AP) geeft twee voorbeelden.

1. Overzicht kopie persoonsgegevens

In het overzicht neemt u een kopie op van alle persoonsgegevens die u van iemand verwerkt, tenzij anders met diegene afgesproken. Ook als dit betekent dat bepaalde persoonsgegevens vaker op het overzicht staan. Bijvoorbeeld wanneer u zijn/haar adres op meerdere plekken heeft staan.

Zie 'Voorbeeldoverzicht inzage persoonsgegevens' 

2. Kopie van documenten met persoonsgegevens

U kunt er ook voor kiezen om een kopie te maken van alle documenten waarin de gevraagde persoonsgegevens voorkomen. Let op dat u hierbij niet per ongeluk de persoonsgegevens van anderen deelt.

Tip: is het niet duidelijk in welke persoonsgegevens iemand inzage wil? En gaat het om veel gegevens? Neem dan contact op met de betrokken persoon om te vragen waar hij/zij precies inzage in wil. Bevestig altijd schriftelijk wat u heeft besproken om misverstanden te voorkomen. 

Geef ook informatie over de verwerking

Naast een kopie van de persoonsgegevens moet u bij inzageverzoeken ook informatie geven over de verwerking. Zie: wat houdt het recht op inzage in?

Heeft u als organisatie geen goede reden (meer) om iemands gegevens nog langer te verwerken? Dan is het belangrijk dat u deze gegevens wist. Betrokkenen (de mensen van wie u gegevens verwerkt) hebben namelijk recht op vergetelheid, dus dat u hen ‘vergeet’. 

Betrokkenen kunnen u in een aantal gevallen vragen om hun persoonsgegevens te verwijderen. Maar let op: vaak is het niet mogelijk dat u ál iemands gegevens verwijdert.

Wanneer geldt het recht op vergetelheid?

In de volgende situaties moet u de persoonsgegevens van een betrokkene wissen:

• Niet meer nodig
  U heeft de persoonsgegevens niet meer nodig voor het doel waarvoor u ze heeft verzameld of waarvoor u ze verwerkt.
• Toestemming ingetrokken
  Een betrokkene heeft u eerder toestemming gegeven voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.
• Bezwaar
  Een betrokkene maakt bezwaar tegen het gebruik van zijn gegevens.
• Onrechtmatige verwerking
  U verwerkt de persoonsgegevens van de betrokkene onrechtmatig. Bijvoorbeeld omdat u geen wettelijke grondslag heeft voor de verwerking.
• Wettelijk bepaalde bewaartermijn verlopen
  U bent wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
• Apps en websites bij kinderen
  U heeft persoonsgegevens van een betrokkene jonger dan 16 jaar verzameld via een app of website.

Wanneer geldt het recht op vergetelheid niet?

Er is een aantal uitzonderingen op het recht op vergetelheid. Bijvoorbeeld als u wettelijk verplicht bent iemands gegevens te gebruiken of een bepaalde tijd te bewaren. Dan mag u de gegevens niet wissen als iemand dat vraagt.

Vraagt iemand u op grond van het recht om vergeten te worden om zijn persoonsgegevens te wissen? Dan moet u een aantal stappen zetten.

1. Identiteit controleren

Controleer de identiteit van de verzoeker. Let op: is het in uw situatie passend om hiervoor een kopie te vragen van het identiteitsbewijs van de verzoeker? Dan moet u bepaalde informatie verstrekken aan deze persoon.

2. Gegevens bepalen

Bepaal welke persoonsgegevens u moet wissen en welke niet. Er kunnen bijvoorbeeld wettelijke verplichtingen gelden waardoor u bepaalde persoonsgegevens nog even moet bewaren.

3. Gegevens wissen

Wis de persoonsgegevens die u moet wissen zo snel mogelijk, uiterlijk binnen 1 maand. Alleen als het om een heel complex verzoek gaat, heeft u 2 maanden extra de tijd. U moet dan wel binnen 1 maand aan de betrokkene laten weten dat het langer gaat duren. En waarom dat zo is.

Let op: heeft de verzoeker aangifte gedaan bij de politie tegen het delen van zijn of haar persoonsgegevens? Bijvoorbeeld in het geval van wraakporno? Overweeg dan of u het verzoek met meer urgentie kunt behandelen.

4. Derde partijen informeren

Heeft u de betreffende persoonsgegevens aan andere organisaties verstrekt? Dan moet u deze derde partijen informeren.

Geef aan dat u de gegevens heeft gewist. Leg uit dat ook zij iedere kopie van of koppeling naar die persoonsgegevens moeten wissen. En vermeld het als de betrokkene aangifte heeft gedaan bij de politie. Zodat ook deze andere organisaties weten dat het belangrijk is om de gegevens zo snel mogelijk te wissen.  

Als een betrokkene erom vraagt, moet u vertellen welke ontvangers u op die manier heeft geïnformeerd.

Kosten

U mag in principe géén kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is (veelvuldig herhaalde verzoeken van één persoon)? Dan mag u een redelijke administratieve vergoeding vragen. Of het verzoek weigeren.

U bent alleen verplicht om die persoonsgegevens te wissen waarop een van onderstaande situaties van toepassing is. En die niet vallen onder een uitzondering.

Situaties waarin u moet wissen

In veel van deze gevallen mag u de betreffende persoonsgegevens sowieso niet langer verwerken. Ook al heeft niemand u gevraagd zijn of haar persoonsgegevens te wissen.

• Niet meer nodig
  U heeft de persoonsgegevens niet meer nodig voor het doel waarvoor u ze heeft verzameld of verwerkt.
• Toestemming ingetrokken
  De betrokkene heeft u eerder toestemming gegeven voor het gebruik van zijn/haar gegevens, maar trekt die toestemming nu weer in. En u heeft geen andere grondslag om de persoonsgegevens te verwerken.
• Onrechtmatige verwerking
  U verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat u geen wettelijke grondslag heeft voor de verwerking.
• Wettelijk bepaalde bewaartermijn verlopen
  U bent wettelijk verplicht om de gegevens na bepaalde tijd te wissen. Bijvoorbeeld omdat de fiscale bewaarplicht niet langer geldt. Zie ook: Wanneer geldt het recht op vergetelheid niet?
• Apps en websites bij kinderen
  De betrokken persoon is jonger dan 16 jaar en u heeft de persoonsgegevens verzameld via een ‘dienst van de informatiemaatschappij’. Bijvoorbeeld via een app of website. Van dit recht kunnen mensen ook gebruikmaken als zij geen kind meer zijn. Maar hun gegevens moeten dan wel zijn verzameld toen zij nog kind waren.
• Bezwaar tegen de verwerking
  Iemand heeft bij u bezwaar gemaakt tegen de verwerking van zijn of haar persoonsgegevens. Dit kan als u de gegevens ban deze persoon gebruikt voor direct marketing. Of als de rechten van de betrokken persoon zwaarder wegen dan uw belang om zijn/haar persoonsgegevens te verwerken.

Uitzonderingen

De AVG noemt daarnaast nog een aantal specifieke omstandigheden waarin u persoonsgegevens niet hoeft te wissen. Ook niet als iemand een beroep doet op zijn recht om vergeten te worden.

Zie: Wanneer geldt het recht op vergetelheid niet?

In de privacywet staat een aantal situaties waarin het recht op vergetelheid niet geldt. In die situaties hoeft u als organisaties de persoonsgegevens dus niet te wissen. Ook al doet iemand een beroep op het 'recht op vergetelheid'.

Uitzonderingen recht op vergetelheid

Het recht op vergetelheid geldt niet in de volgende situaties:

• De verwerking is noodzakelijk om het recht op vrijheid van meningsuiting en informatie uit te oefenen. Daarmee doet de AVG recht aan het principe dat privacy en vrijheid van meningsuiting gelijkwaardige grondrechten zijn.
• U verwerkt de gegevens omdat er een wettelijke verplichting is om dat te doen. Bijvoorbeeld vanwege fiscale regelgeving of de Archiefwet.
• U verwerkt de gegevens om openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang uit te oefenen.
• U verwerkt de gegevens voor een taak van algemeen belang op het gebied van de volksgezondheid.
• U moet de gegevens in het algemeen belang archiveren.
• De gegevens zijn noodzakelijk voor een rechtsvordering.

Algemene uitzonderingen privacyrechten

Daarnaast staan in de AVG enkele algemene uitzonderingen op de privacyrechten. Hierdoor kunt u in een bijzonder geval een verzoek afwijzen.

U moet dan een afweging maken waaruit blijkt dat het belang van uw organisatie (of de rechten en vrijheden van anderen) zwaarder weegt dan iemands privacyrecht. Zo is het bijvoorbeeld niet de bedoeling dat iemand met een beroep op zijn/haar rechten sporen van crimineel gedrag wist.

Mensen vragen u als organisatie soms om te bewijzen dat u hun persoonsgegevens na een verzoek ook echt heeft gewist. Ook al heeft u volgens de regels terugkoppeling gegeven. Deze terugkoppeling zou voldoende moeten zijn.

Het is begrijpelijk dat “klanten” dit vragen. Zij moeten er op kunnen vertrouwen dat u hun verzoek om gegevens te wissen op de juiste manier heeft behandeld. Maar u kunt natuurlijk niet laten zien welke persoonsgegevens u niet (meer) heeft.

Duidelijke terugkoppeling

Volgens de wet bent u verplicht om mensen terugkoppeling te geven als zij een beroep doen op hun privacyrechten. Op basis van die reactie mag iemand ervan uitgaan dat uw bevestiging klopt.

Geef de terugkoppeling bij voorkeur schriftelijk (bijvoorbeeld per e-mail). En wees zo specifiek mogelijk. Geef bijvoorbeeld aan welke gegevens u heeft gewist en wanneer. Geef ook aan welke persoonsgegevens u niet heeft gewist, waarom en wanneer u dat wel gaat doen.

Zie ook: Ben ik verplicht om alle persoonsgegevens van een betrokkene te wissen als hij/zij daar om vraagt?

Tip: controleer alles goed

Heeft u ook uw verwerkers laten weten dat zij bepaalde persoonsgegevens moeten wissen? Of derden aan wie u de persoonsgegevens heeft verstrekt?

Zorg er voor dat u alles goed checkt. Zodat iemand bijvoorbeeld niet alsnog een reclamemail van u ontvangt terwijl u heeft bevestigd dat hij/zijn e-mailadres is gewist uit uw bestanden.

Klachten

Wanneer iemand twijfelt over de uitvoering van zijn verzoek, kan hij/zij een klacht indienen bij de Autoriteit Persoonsgegevens. 

Uw klanten hebben het recht om de persoonsgegevens te ontvangen die u van hen heeft. Dit heet het recht op dataportabiliteit, ook wel het ‘recht om gegevens over te dragen’ genoemd.

Uw klanten kunnen bijvoorbeeld vragen om hun gegevens over te dragen als zij hun contract bij u stopzetten. En zo hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst.

Ook kunnen uw klanten aan u vragen om hun gegevens rechtstreeks over te dragen aan een andere organisatie.

Vraagt een klant u om zijn of haar gegevens over te dragen? Dan bent u verplicht om mee te werken. U mag de gegevens dus niet ‘vasthouden’.

Zie ook

• Welke gegevens moet ik aan mijn klant verstrekken bij dataportabiliteit?
• Guidelines dataportabiliteit van de Europese privacytoezichthouders

U hoeft niet alle soorten gegevens over te dragen wanneer iemand een beroep doet op het recht op dataportabiliteit. Ten eerste gaat het alleen om digitale gegevens. Papieren dossiers vallen er dus niet onder. Ten tweede gaat het alleen om persoonsgegevens die u óf met iemands toestemming verwerkt óf die nodig waren om een overeenkomst met iemand uit te voeren.

Directe en indirecte persoonsgegevens

U moet alle persoonsgegevens beschikbaar stellen die uw klant aan u heeft verstrekt. Maar dit moet u ruim opvatten.

Het gaat hierbij niet alleen om gegevens die iemand actief en bewust heeft verstrekt, zoals de accountgegevens (e-mailadres, gebruikersnaam, leeftijd etc.) die iemand op een online formulier heeft ingevuld.

Het gaat ook om de gegevens die iemand indirect heeft ‘verstrekt’ door een dienst of apparaat te gebruiken. Bijvoorbeeld:

• iemands zoekgeschiedenis of locatiegegevens;
• (ruwe) data zoals iemands hartslag die via een fitnesstracker is vastgelegd;
• titels van boeken die iemand in een webwinkel heeft gekocht;
• liedjes die iemand heeft beluisterd via een muziekstreamingdienst.

Geen afgeleide gegevens

U hoeft géén afgeleide gegevens te verstrekken. Dat zijn gegevens die u zelf heeft gegenereerd door bijvoorbeeld data-analyse. Zoals een kredietscore of een profiel dat u van iemand heeft opgesteld.

Let op: deze gegevens moet u bij een inzageverzoek wél verstrekken.

Zie ook

• In welk formaat moet ik de gegevens verstrekken?

Nee, klanten mogen een verzoek indienen om dataportabiliteit zolang zij klant bij uw organisatie zijn. Dus zolang zij klant blijven, moet u de persoonsgegevens blijven verwerken voor de noodzakelijke en gerechtvaardigde doeleinden van uw organisatie.

Andere privacyrechten

Een verzoek om dataportabiliteit heeft ook geen invloed op de andere privacyrechten van uw klanten. Uw klant mag gelijktijdig zijn andere privacyrechten uitoefenen zolang hij klant bij u is, zoals het recht op inzage, correctie of verwijdering van persoonsgegevens.

U moet al deze rechten respecteren zonder dat u een verzoek om dataportabiliteit mag vertragen, omdat de klant misschien nog een ander verzoek heeft gedaan.

Ja, dat bent u wettelijk verplicht (artikel 13, lid 2 onder b, AVG). U moet hierbij duidelijk maken dat het om een nieuw recht gaat, dat uw klanten hebben naast de bestaande privacyrechten.

Het is vooral belangrijk dat u duidelijk uitlegt welke gegevens uw klanten kunnen opvragen met het inzagerecht en welke met het recht op dataportabiliteit.

En dat u uw klanten wijst op de mogelijk van dataportabiliteit als zij hun contract bij u willen beëindigen.

Mensen hebben van tevoren recht op heldere informatie over wat u als organisatie met hun persoonsgegevens gaat doen en waarom. Zodat zij zelf kunnen beslissen of zij dit willen. Zijn mensen verplicht om hun gegevens aan u af te staan? Ook dan hebben zij recht op duidelijke informatie.

U moet onder meer de volgende informatie geven:

• welke persoonsgegevens u verwerkt;
• waarom u dat doet (voor welk specifiek doel);
• of u gegevens deelt met of doorverkoopt aan andere organisaties en zo ja, aan welke.

Privacyverklaring

In de praktijk is een online privacyverklaring de handigste manier om aan uw informatieplicht te voldoen.

Uw privacyverklaring mag niet te lang en niet ingewikkeld zijn. Het moet voor mensen makkelijk te begrijpen zijn wat u met hun persoonsgegevens doet.

Zie verder

• Dossier Recht op informatie
• EDPB-guidelines over transparantie

Onder de Algemene verordening gegevensbescherming (AVG) heeft u een informatieplicht. Dat betekent dat u verplicht bent om nieuwe en bestaande klanten duidelijk te informeren over wat u met hun persoonsgegevens doet en waarom. In de praktijk is een online privacyverklaring de handigste manier om hier aan te voldoen.

Hoe wijst u mensen op uw privacyverklaring?

In de AVG staat dat u de informatie over uw verwerkingen in principe schriftelijk moet geven. De beste manier om er zeker van te zijn dat uw informatie voor de meeste mensen goed vindbaar is, is het publiceren van een online privacyverklaring.

Daarnaast mag u andere middelen inzetten. Zoals het tonen van pop-ups met een toelichting bij elke toestemmingsvraag.

Apparaten zonder beeldscherm*

Verkoopt u een apparaat zonder beeldscherm? Dan kunt u er voor kiezen om op de verpakking van het apparaat de URL van uw privacyverklaring op te nemen. Of om het apparaat de belangrijkste onderdelen van uw privacyverklaring te laten voorlezen. Het is in ieder geval belangrijk dat u mensen vóór de aanschaf van het apparaat wijst op uw online privacyverklaring en waar zij die kunnen vinden.

Let op: verwerkt u persoonsgegevens maar heeft u geen (online) privacyverklaring? Dan moet u ervoor zorgen dat u de betrokken personen op een andere manier de vereiste informatie geeft.

* Deze informatie is gebaseerd op de guidelines voor transparantie van de Europese privacytoezichthouders.

Verantwoordingsplicht

Onder de AVG geldt de verantwoordingsplicht. Dat betekent dat u aan de Autoriteit Persoonsgegevens (AP) moet kunnen aantonen dat u aan de AVG voldoet. U moet onder meer kunnen laten zien dat u mensen goed heeft geïnformeerd over de verwerking van hun persoonsgegevens. U kunt hiervoor uw privacyverklaring gebruiken.

• Meer informatie over de verantwoordingsplicht
• Meer informatie over hoe u een privacyverklaring opstelt 

De AVG stelt een aantal specifieke eisen waar een privacyverklaring aan moet voldoen. Deze eisen gaan over de inhoud, de toegankelijkheid en de duidelijkheid van de informatie.

Welke informatie moet er in een privacyverklaring staan?

In het document moet u in ieder geval de volgende informatie geven:

• De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van uw vertegenwoordiger in de EU;
• De contactgegevens van de FG als u die heeft.
• De doeleinden en rechtsgrond van de verwerking, en als u zich beroept op een gerechtvaardigd belang: op welk belang u zich beroept.
• De (categorieën van) ontvangers van de persoonsgegevens.
• Of u van plan bent de persoonsgegevens door te geven buiten de EU of een internationale organisatie en op welke juridische grond.
• De bewaartermijn van de gegevens.
• De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering.
• Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken.
• Dat de betrokkene een klacht kan indienen bij de relevante privacytoezichthouder.
• Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt.
• Of u gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe u besluiten neemt.
• Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.

Hoe zorgt u dat u privacyverklaring toegankelijk is?

In de AVG staat dat u de informatie over uw verwerkingen in principe schriftelijk moet geven. De beste manier om er zeker van te zijn dat uw informatie voor de meeste mensen goed vindbaar is, is het publiceren van een online privacyverklaring.

Daarnaast mag u andere middelen inzetten om de inhoud van uw privacybeleid toegankelijk te maken. Zoals het tonen van pop-ups met een toelichting bij elke toestemmingsvraag. Of het gebruik van iconen of een video.

Tip: om de informatie in een (online) privacyverklaring zo toegankelijk mogelijk te maken, kunt u de verklaring in meerdere lagen opstellen. Bijvoorbeeld:

• In de eerste laag geeft u kort aan wie de verantwoordelijke organisatie is, hoe die te bereiken is en welke gegevensverwerkingen de meeste impact hebben op de betrokken personen.
• In de tweede en derde laag van de privacyverklaring kunt u meer in detail aangeven welke persoonsgegevens u voor welk doel verwerkt en hoe mensen hun rechten kunnen uitoefenen.

Duidelijke taal

De informatie over de gegevensverwerking moet beknopt, transparant en begrijpelijk zijn. Daarom moet u duidelijke en eenvoudige taal gebruiken. Dat betekent onder meer: wees kort en bondig, vermijd vaktermen en verplaats u in de lezer.

Richt u zich tot kinderen onder de zestien jaar? Of weet u dat kinderen uw diensten veel gebruiken? Dan moet u de woordkeuze, toon en stijl van de informatie aanpassen. Zodat de kinderen weten dat deze informatie voor hen is bedoeld en ze de informatie kunnen begrijpen.

Is een privacyverklaring volgens de AVG verplicht?

De Algemene verordening gegevensbescherming (AVG) geeft mensen het recht om onjuiste persoonsgegevens te laten wijzigen. Of om hun persoonsgegevens aan te vullen. In de AVG (artikel 16) staat dit recht beschreven als ‘recht op rectificatie’.

U bent er verantwoordelijk voor dat de persoonsgegevens die u verwerkt juist zijn. En dat u deze gegevens actualiseert als dat nodig is.

Zijn persoonsgegevens, gelet op de doeleinden waarvoor u die verwerkt, onjuist? Dan bent u verplicht om alle redelijke maatregelen te nemen om die gegevens te rectificeren of aan te vullen. Dus ook als iemand u erop wijst dat zijn gegevens niet kloppen. Of onvolledig zijn.

Derde partijen informeren

Heeft u onjuiste of onvolledige persoonsgegevens aan derde partijen verstrekt? Dan moet u de aangepaste of aangevulde gegevens ook aan deze organisaties doorgeven.

Als een betrokkene daar om vraagt, moet u ook vertellen welke organisaties u op die manier heeft geïnformeerd.

Meer informatie

• Dossier Recht op rectificatie (voor burgers)

De Algemene verordening gegevensbescherming (AVG) geeft mensen in bepaalde situaties het recht op beperking van het gebruik van hun gegevens. In de AVG (artikel 18) staat dit recht omschreven als het ‘recht op beperking van de verwerking’.

Criteria recht op beperking van de verwerking

Het recht op beperking van de verwerking geldt in situaties die voldoen aan een van de volgende criteria:

• Gegevens zijn mogelijk onjuist
  Geeft iemand aan dat uw organisatie onjuiste persoonsgegevens gebruikt? Dan mag u deze gegevens niet gebruiken zolang u nog niet heeft gecontroleerd of de gegevens wel kloppen.
• De verwerking is onrechtmatig
  U mag bepaalde gegevens niet verwerken, maar de betrokkene wil niet dat u de gegevens wist. Bijvoorbeeld omdat hij de gegevens later nog wil opvragen.
• Gegevens zijn niet meer nodig
  U heeft de persoonsgegevens niet meer nodig voor het doel waarvoor u ze heeft verzameld. Maar de betrokkene heeft de persoonsgegevens nog wel nodig voor een rechtsvordering. Bijvoorbeeld een juridische procedure waarbij hij betrokken is.
• Betrokkene maakt bezwaar
  Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet u stoppen met deze gegevens te verwerken. Tenzij u dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Zo lang nog niet duidelijk is of uw gronden zwaarder wegen, mag u de gegevens niet verwerken.

Derde partijen informeren

Heeft u de betreffende persoonsgegevens aan andere partijen verstrekt? Dan moet u deze organisaties laten weten dat u het gebruik van deze gegevens heeft beperkt. En dat zij dat dus ook moeten doen.

Als iemand van wie u persoonsgegevens verwerkt er om vraagt, moet u ook vertellen welke organisaties u op die manier heeft geïnformeerd.

Meer informatie

• Dossier Recht op beperking van de verwerking (voor burgers)

De Algemene verordening gegevensbescherming (AVG) geeft mensen het recht om bezwaar te maken tegen het verwerken van hun persoonsgegevens. In de AVG staat dit recht beschreven als ‘recht van bezwaar’.

Betrokkenen (de mensen van wie u gegevens verwerkt) hebben in twee situaties het recht aan u te vragen hun persoonsgegevens niet meer te gebruiken. 

Ten eerste als u iemands gegevens gebruikt voor direct marketing. Ten tweede kan iemand bezwaar maken vanwege zijn specifieke situatie.

Direct marketing

U mag uw bestaande klanten onder bepaalde voorwaarden reclamepost sturen, zonder dat zij daarvoor toestemming hebben gegeven.

Maar uw klanten hebben altijd het recht om hiertegen bezwaar te maken. Ook als het gaat om profilering voor deze marketingdoeleinden.

Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens voor direct marketing? Dan moet u hier hoe dan ook direct mee stoppen.

Specifieke situatie

Betrokkenen kunnen bezwaar maken tegen het gebruik van hun persoonsgegevens vanwege hun specifieke situatie (hun bijzondere persoonlijke omstandigheden).

Dit geldt alleen als u hun persoonsgegevens verwerkt op grond van een taak van algemeen belang of op grond van een gerechtvaardigd belang.

Bijvoorbeeld: iemand heeft als patiënt meegedaan aan een medisch onderzoek en komt er later achter dat een bekende van hem als onderzoeker bij dat centrum werkt. En heeft dan liever niet dat zijn onderzoeksgegevens nog worden gebruikt.

Verwerking stoppen of beperken

Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet u stoppen met deze gegevens te verwerken.

Tenzij u dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Of die te maken hebben met een rechtsvordering.

Let op: zo lang nog niet duidelijk is of uw gronden zwaarder wegen, mag u de betreffende gegevens niet verwerken. U stelt dan een beperking van de verwerking in.

Informeren over recht van bezwaar

U moet betrokkenen informeren over het recht van bezwaar. Dit moet u uiterlijk op het moment van het eerste contact met de betrokkene doen. U moet deze informatie duidelijk en gescheiden van andere informatie aanbieden.

Meer informatie

• Dossier Recht van bezwaar (voor burgers)

Sommige organisaties nemen een besluit op basis van automatisch verwerkte gegevens. De Algemene verordening gegevensbescherming (AVG) geeft betrokkenen (de mensen van wie u gegevens verwerkt) recht op een menselijke blik bij besluiten die over hen gaan.

Voorbeelden zijn de automatische weigering van een online ingediende kredietaanvraag of verwerking van sollicitaties via internet zonder menselijke tussenkomst.

Recht op nieuw besluit

Wilt u een besluit nemen op basis van automatisch verwerkte gegevens? En zitten daar voor de betrokkene consequenties aan? Bijvoorbeeld dat hij een lening niet krijgt? Of u hem niet uitnodigt voor een sollicitatiegesprek?

Dan heeft de betrokkene het recht zich te beroepen op dit artikel. Dat betekent dat u een nieuw besluit moet nemen waarbij een mens de gegevens heeft beoordeeld.

Profilering

Organisaties die automatische besluiten nemen, kunnen hierbij profilering gebruiken. Dit houdt in dat ze een besluit over iemand nemen op basis van het profiel van die persoon.

Voorwaarden automatisch besluit

Automatische besluitvorming is meestal verboden. U mag alleen een automatisch besluit over een betrokkene nemen in een van de volgende gevallen:

• het is noodzakelijk om een overeenkomst met hem af te sluiten;
• er staat in een wet dat het mag;
• de betrokkene heeft uitdrukkelijk toestemming gegeven.

Neemt u als organisatie automatische besluiten, dan moet u uw systemen regelmatig controleren en testen. Zodat de systemen werken zoals ze bedoeld zijn en geen foute uitkomsten geven.

Informatie geven

Neemt u als organisatie automatische besluiten, inclusief profilering? Dan moet u dit vermelden in uw privacyverklaring. 

U moet daarbij ook uitleggen waarom u dat doet, op basis van welke logica en welke gevolgen dat voor de betrokkenen kan hebben.

Doet iemand een inzageverzoek bij u? Dan moet u deze informatie ook geven.

Meer informatie

• Dossier Recht op menselijke blik bij besluiten (voor burgers)
• Guidelines geautomatiseerde besluitvorming en profilering van de Europese privacytoezichthouders