Vergroot contrast
  1. Algemene informatie AVG
  2. Rechten van betrokkenen

Rechten van betrokkenen

Mensen hebben verschillende rechten om controle te houden over hun persoonsgegevens. In dit dossier vindt u praktische informatie en tips voor organisaties over het omgaan met privacyrechten in de praktijk.

Gezond privacybeleid

Gehoor geven aan mensen die een beroep doen op hun rechten is een belangrijk onderdeel van een gezond privacybeleid. En een gezond privacybeleid draagt bij aan het vertrouwen van mensen in uw organisatie.

De AVG-privacyrechten

  • Recht op inzage. Dat is het recht van mensen om onder meer een kopie te ontvangen van de persoonsgegevens die u van hen verwerkt. De Autoriteit Persoonsgegevens (AP) biedt u een voorbeeldoverzicht.
  • Recht op vergetelheid. Mensen hebben het recht om ‘vergeten’ te worden. Maar wist u dat u vaak niet alle persoonsgegevens kunt wissen?
  • Recht op rectificatie en aanvulling. Het recht om de persoonsgegevens die u verwerkt te wijzigen.
  • Het recht op dataportabiliteit. Het recht om persoonsgegevens over te dragen aan een andere partij. 
  • Het recht op beperking van de verwerking: Het recht om minder gegevens te laten verwerken.
  • Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Oftewel: het recht op een menselijke blik bij besluiten.
  • Het recht om bezwaar te maken tegen de gegevensverwerking.
  • Ten slotte hebben mensen recht op duidelijke informatie over wat u met hun persoonsgegevens doet. Onder de AVG moet u aan een aantal specifieke eisen voldoen.

Houd grip op persoonsgegevens

Controleer regelmatig of uw organisatie op de juiste manier gehoor geeft aan mensen die een beroep doen op hun privacyrechten. Want privacybescherming is een continu proces. De volgende hulpmiddelen helpen u om grip te houden op deze en andere privacyregels:

Nieuws

Alle nieuwsberichten over het onderwerp 'Rechten van betrokkenen'

Alle antwoorden op mijn vragenAlgemene vragen over rechten van betrokkenen

  • Waar moet ik als organisatie op letten als het gaat om de privacyrechten?

    Onder de Algemene verordening gegevensbescherming (AVG) zijn de privacyrechten van personen versterkt en uitgebreid. U moet uw systemen, processen en interne organisatie op deze rechten inrichten. Zodat u op de juiste manier gehoor kunt geven aan verzoeken van betrokkenen.

    Waar moet u op letten?

    Om volgens de regels op een verzoek te reageren moet u het volgende weten en doen:

    • Weet u en weten uw eventuele medewerkers welke privacyrechten er gelden en wanneer u wel of niet gehoor hoeft te geven aan een verzoek?
    • Weet u en weten uw eventuele medewerkers hoe u aan de verzoeken gaat voldoen? Bijvoorbeeld: op welke manier u mensen inzage gaat geven, hun gegevens wist of gaat overdragen. Mogelijk moet u daarvoor technische en organisatorische maatregelen nemen;
    • Wijst u mensen op de privacyrechten die zij hebben? Bijvoorbeeld via uw privacystatement?
    • Informeert u mensen duidelijk over hóe zij een verzoek bij u kunnen indienen?
    • Is het voor mensen makkelijk om een verzoek bij u te doen? Wanneer iemand elektronisch (bijvoorbeeld per e-mail) een verzoek doet, dan moet u de gevraagde informatie ook elektronisch geven.
    • Kunt u zo snel mogelijk maar in ieder geval binnen 1 maand* reageren op een verzoek? Concreet betekent dit dat u binnen die termijn ofwel het verzoek moet hebben uitgevoerd en de verzoeker hierover hebben geïnformeerd, of hebben aangegeven waarom u geen gehoor geeft aan het verzoek. 

    In uitzonderlijke gevallen mag u binnen 3 maanden reageren op een verzoek. Bijvoorbeeld wanneer een verzoek heel complex is. Of wanneer het aantal ontvangen verzoeken van dezelfde persoon extreem hoog is. Maar ook dan geldt dat u wel binnen 1 maand moet laten weten dat u meer tijd nodig heeft om op het verzoek te reageren.

    Kosten

    U mag in principe géén kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is? Bijvoorbeeld omdat iemand heel veel verzoeken bij u indient? Dan mag u een redelijke administratieve vergoeding vragen. Of het verzoek weigeren.

  • Hoe kan ik de identiteit vaststellen wanneer iemand zijn/haar privacyrechten uitoefent?

    Wanneer iemand zijn/haar privacyrechten bij u uitoefent, dan moet u checken of die persoon is wie hij of zij zegt te zijn. U wilt immers voorkomen dat u iemand toegang geeft tot de persoonsgegevens van een ander.

    Geen kopie ID

    Toch mag u voor dit doel bijna nooit een volledige kopie van het identiteitsbewijs vragen. In de meeste gevallen zijn er namelijk minder ingrijpende manieren om iemands identiteit vast te stellen.

    Voorbeelden vaststellen identiteit

    Ter inspiratie vindt u hieronder een aantal manieren waarop u de identiteit van een betrokkene kunt vaststellen. Het is aan u om te bepalen welke manier het meest passend is gelet op de situatie. 

    • Via een bestaand inlogsysteem. Bedrijven met een webshop hebben vaak al een beveiligd inlogsysteem voor klanten. Het uitoefenen van iemands rechten kunt u dan in dat systeem integreren.
    • Een vorm van tweefactorauthenticatie. U gebruikt hiervoor de klantgegevens uit uw eigen administratie ter controle. Hier zijn veel variaties op mogelijk. Bijvoorbeeld:
      - na het ontvangen van een verzoek via e-mail vraagt u om een bevestiging per sms. Dit mobiele nummer moet dan kloppen met de klantgegevens uit uw administratie.
      - u vraagt per e-mail om een bevestiging van het telefonische verzoek. Dit e-mailadres moet dan kloppen met de klantgegevens uit uw administratie.
      - u vraagt om de laatste 3 cijfers van het rekeningnummer, de geboortedatum en/of het klantnummer ter controle.
    • U kunt iemand vragen om langs te komen en zijn ID-bewijs aan u te tonen zonder een kopie te maken. Let op: u mag hiermee geen drempel opwerpen om inzage te geven. Bijvoorbeeld wanneer iemand niet in de buurt woont. Bied dit daarom alleen als alternatief aan. 

    Verantwoordingsplicht

    Onder de Algemene verordening gegevensbescherming (AVG) heeft u een verantwoordingsplicht. Dat houdt in dat u moet kunnen aantonen dat u persoonsgegevens volgens de regels van de AVG verwerkt.

    Zie ook het dossier Identificatie.

Alle antwoorden op mijn vragenVragen over recht op inzage

  • Wat houdt het recht op inzage in?

    Het recht op inzage is bedoeld om mensen meer grip te geven op hun persoonsgegevens. Ook kunnen zij hiermee controleren of u zich aan de regels houdt.

    Ontvangt u een verzoek om inzage? Dan moet u de volgende informatie geven:

    • een kopie van de persoonsgegevens waar iemand inzage in wil;
    • informatie over de verwerking.

    Kopie persoonsgegevens

    Wil iemand inzage in álle persoonsgegevens die u van hem/haar heeft? Dan heeft hij/zij daar in principe recht op. Inclusief persoonsgegevens uit e-mails, eventuele opgenomen telefoongesprekken en eventuele correspondentie die u met derden over hem/haar heeft gehad.

    Maar het kan ook zijn dat iemand alleen meer informatie wil óver de verwerking (zie onder). Of dat iemand alleen maar inzage wil in een deel van de persoonsgegevens. Bijvoorbeeld om te controleren of u niet onnodig veel persoonsgegevens heeft vastgelegd in zijn/haar persoonlijke dossier.

    Zie ook: hoe maak ik een kopie van persoonsgegevens bij het recht op inzage? Inclusief een voorbeeldoverzicht.

    Informatie over de verwerking

    Bij inzageverzoeken moet u de betrokkene ook laten weten:

    • waarom u bepaalde gegevens verwerkt.
    • welke soorten persoonsgegevens u verzamelt.
    • indien van toepassing: aan welke organisaties u de persoonsgegevens doorgeeft. Dit geldt ook voor gegevens die u doorgeeft aan organisaties in andere landen of aan internationale organisaties.
    • hoe lang u de persoonsgegevens bewaart. Als u dat niet precies kunt aangeven, moet u duidelijk kunnen maken welke criteria u hanteert om een bewaartermijn te bepalen.
    • welke privacyrechten mensen hebben: het recht om hun persoonsgegevens te laten wijzigen, aanvullen of wissen, om u te vragen om minder persoonsgegevens te verwerken en om bezwaar te maken als u hun persoonsgegevens verwerkt.
    • dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
    • indien van toepassing: van welke organisatie u persoonsgegevens heeft ontvangen als u deze niet zelf heeft verzameld bij de betrokken personen.
    • indien van toepassing: op basis van welke logica u een geautomatiseerd besluit over iemand neemt.

    Veel van deze informatie staat waarschijnlijk ook al in uw privacyverklaring.

    Meer informatie

  • Hoe maak ik een kopie van persoonsgegevens bij het recht op inzage?

    Bij een verzoek om inzage maakt u een kopie van de persoonsgegevens waar iemand inzage in wil. In de wet staat niet hoe zo’n kopie eruit moet zien. De Autoriteit Persoonsgegevens (AP) geeft twee voorbeelden.

    1. Overzicht kopie persoonsgegevens

    In het overzicht neemt u een kopie op van alle persoonsgegevens die u van iemand verwerkt, tenzij anders met diegene afgesproken. Ook als dit betekent dat bepaalde persoonsgegevens vaker op het overzicht staan. Bijvoorbeeld wanneer u zijn/haar adres op meerdere plekken heeft staan.

    Zie 'Voorbeeldoverzicht inzage persoonsgegevens' 

    2. Kopie van documenten met persoonsgegevens

    U kunt er ook voor kiezen om een kopie te maken van alle documenten waarin de gevraagde persoonsgegevens voorkomen. Let op dat u hierbij niet per ongeluk de persoonsgegevens van anderen deelt.

    Tip: is het niet duidelijk in welke persoonsgegevens iemand inzage wil? En gaat het om veel gegevens? Neem dan contact op met de betrokken persoon om te vragen waar hij/zij precies inzage in wil. Bevestig altijd schriftelijk wat u heeft besproken om misverstanden te voorkomen. 

    Geef ook informatie over de verwerking

    Naast een kopie van de persoonsgegevens moet u bij inzageverzoeken ook informatie geven over de verwerking. Zie: wat houdt het recht op inzage in?

Alle antwoorden op mijn vragenVragen over het recht op vergetelheid

  • Wat houdt het recht op vergetelheid in?

    Heeft u als organisatie geen goede reden (meer) om iemands gegevens nog langer te verwerken? Dan is het belangrijk dat u deze gegevens wist. Betrokkenen (de mensen van wie u gegevens verwerkt) hebben namelijk recht op vergetelheid, dus dat u hen ‘vergeet’. 

    Betrokkenen kunnen u in een aantal gevallen vragen om hun persoonsgegevens te verwijderen. Maar let op: vaak is het niet mogelijk dat u ál iemands gegevens verwijdert.

    Wanneer geldt het recht op vergetelheid?

    In de volgende situaties moet u de persoonsgegevens van een betrokkene wissen:

    • Niet meer nodig
      U heeft de persoonsgegevens niet meer nodig voor het doel waarvoor u ze heeft verzameld of waarvoor u ze verwerkt.
    • Toestemming ingetrokken
      Een betrokkene heeft u eerder toestemming gegeven voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.
    • Bezwaar
      Een betrokkene maakt bezwaar tegen het gebruik van zijn gegevens.
    • Onrechtmatige verwerking
      U verwerkt de persoonsgegevens van de betrokkene onrechtmatig. Bijvoorbeeld omdat u geen wettelijke grondslag heeft voor de verwerking.
    • Wettelijk bepaalde bewaartermijn verlopen
      U bent wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
    • Apps en websites bij kinderen
      U heeft persoonsgegevens van een betrokkene jonger dan 16 jaar verzameld via een app of website.

    Wanneer geldt het recht op vergetelheid niet?

    Er is een aantal uitzonderingen op het recht op vergetelheid. Bijvoorbeeld als u wettelijk verplicht bent iemands gegevens te gebruiken of een bepaalde tijd te bewaren. Dan mag u de gegevens niet wissen als iemand dat vraagt.

  • Wat moet ik als organisatie doen als ik een verzoek krijg om gegevens te wissen?

    Vraagt iemand u op grond van het recht om vergeten te worden om zijn persoonsgegevens te wissen? Dan moet u de volgende stappen zetten:

    1. Controleer de identiteit van de verzoeker.
    2. Bepaal welke persoonsgegevens u moet wissen en welke niet. Er kunnen bijvoorbeeld wettelijke verplichtingen gelden waardoor u bepaalde persoonsgegevens nog even moet bewaren.
    3. Wis de persoonsgegevens zo snel mogelijk, uiterlijk binnen een maand. Alleen als het om een heel complex verzoek gaat, heeft u twee maanden extra de tijd. U moet dan wel binnen een maand aan de betrokkene laten weten dat het langer gaat duren.
    4. Informeer derde partijen als u hen de betreffende persoonsgegevens heeft verstrekt. Geef aan dat u de gegevens heeft gewist. En leg uit dat ook zij iedere kopie van of koppeling naar die persoonsgegevens moeten wissen.

    Als een betrokkene erom vraagt, moet u vertellen welke ontvangers u op die manier heeft geïnformeerd.

    Kosten

    U mag in principe géén kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is (veelvuldig herhaalde verzoeken van één persoon)? Dan mag u een redelijke administratieve vergoeding vragen. Of het verzoek weigeren.

    Zie ook: hoe bepaal ik de bewaartermijn van persoonsgegevens?

  • Ben ik verplicht om alle persoonsgegevens van een betrokkene te wissen als hij/zij daarom vraagt?

    U bent alleen verplicht om die persoonsgegevens te wissen waarop een van onderstaande situaties van toepassing is en die niet vallen onder een uitzondering.

    Situaties waarin u moet wissen

    In veel van deze gevallen mag u de betreffende persoonsgegevens sowieso niet langer verwerken. Ook al heeft niemand u gevraagd zijn/haar persoonsgegevens te wissen.

    • Niet meer nodig. U heeft de persoonsgegevens niet meer nodig voor het doel waarvoor u ze heeft verzameld of verwerkt.
    • Toestemming ingetrokken. De betrokkene heeft u eerder toestemming gegeven voor het gebruik van zijn/haar gegevens, maar trekt die toestemming nu weer in. En u heeft geen andere grondslag om de persoonsgegevens te verwerken.
    • Onrechtmatige verwerking. U verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
    • Wettelijk bepaalde bewaartermijn verlopen. U bent wettelijk verplicht om de gegevens na bepaalde tijd te wissen. Bijvoorbeeld omdat de fiscale bewaarplicht niet langer geldt. Zie ook ‘Wanneer geldt het recht op vergetelheid niet?’
    • Apps en websites. U heeft de persoonsgegevens verzameld via een ‘dienst van de informatiemaatschappij’. Bijvoorbeeld via een app of website.
    • Bezwaar tegen de verwerking. Er geldt op grond van artikel 21, lid 2, van de Algemene verordening gegevensbescherming (AVG) een absoluut recht van bezwaar tegen direct marketing. En een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van uw organisatie om de persoonsgegevens te verwerken.

    Uitzonderingen
    De AVG noemt daarnaast nog een aantal specifieke omstandigheden waarin u persoonsgegevens niet hoeft te wissen. Ook niet als iemand een beroep doet op zijn recht om vergeten te worden.

    Zie: wanneer geldt het recht op vergetelheid niet?

  • Wanneer geldt het recht op vergetelheid niet?

    In de privacywet staat een aantal situaties waarin het recht op vergetelheid niet geldt. In die situaties hoeft u als organisaties de persoonsgegevens dus niet te wissen. Ook al doet iemand een beroep op het 'recht op vergetelheid'.

    Uitzonderingen recht op vergetelheid

    Het recht op vergetelheid geldt niet in de volgende situaties:

    • De verwerking is noodzakelijk om het recht op vrijheid van meningsuiting en informatie uit te oefenen. Daarmee doet de AVG recht aan het principe dat privacy en vrijheid van meningsuiting gelijkwaardige grondrechten zijn.
    • U verwerkt de gegevens omdat er een wettelijke verplichting is om dat te doen. Bijvoorbeeld vanwege fiscale regelgeving of de Archiefwet.
    • U verwerkt de gegevens om openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang uit te oefenen.
    • U verwerkt de gegevens voor een taak van algemeen belang op het gebied van de volksgezondheid.
    • U moet de gegevens in het algemeen belang archiveren.
    • De gegevens zijn noodzakelijk voor een rechtsvordering.

    Algemene uitzonderingen privacyrechten

    Daarnaast staan in de AVG enkele algemene uitzonderingen op de privacyrechten. Hierdoor kunt u in een bijzonder geval een verzoek afwijzen.

    U moet dan een afweging maken waaruit blijkt dat het belang van uw organisatie (of de rechten en vrijheden van anderen) zwaarder weegt dan iemands privacyrecht. Zo is het bijvoorbeeld niet de bedoeling dat iemand met een beroep op zijn/haar rechten sporen van crimineel gedrag wist.

  • Hoe kan ik aantonen dat ik de gegevens van een burger heb gewist?

    Mensen vragen u als organisatie soms om te bewijzen dat u hun persoonsgegevens na een verzoek ook echt heeft gewist. Ook al heeft u volgens de regels terugkoppeling gegeven. Deze terugkoppeling zou voldoende moeten zijn.

    Het is begrijpelijk dat “klanten” dit vragen. Zij moeten er op kunnen vertrouwen dat u hun verzoek om gegevens te wissen op de juiste manier heeft behandeld. Maar u kunt natuurlijk niet laten zien welke persoonsgegevens u niet (meer) heeft.

    Duidelijke terugkoppeling

    Volgens de wet bent u verplicht om mensen terugkoppeling te geven als zij een beroep doen op hun privacyrechten. Op basis van die reactie mag iemand ervan uitgaan dat uw bevestiging klopt.

    Geef de terugkoppeling bij voorkeur schriftelijk (bijvoorbeeld per e-mail). En wees zo specifiek mogelijk. Geef bijvoorbeeld aan welke gegevens u heeft gewist en wanneer. Geef ook aan welke persoonsgegevens u niet heeft gewist, waarom en wanneer u dat wel gaat doen.

    Zie ook: Ben ik verplicht om alle persoonsgegevens van een betrokkene te wissen als hij/zij daar om vraagt?

    Tip: controleer alles goed

    Heeft u ook uw verwerkers laten weten dat zij bepaalde persoonsgegevens moeten wissen? Of derden aan wie u de persoonsgegevens heeft verstrekt?

    Zorg er voor dat u alles goed checkt. Zodat iemand bijvoorbeeld niet alsnog een reclamemail van u ontvangt terwijl u heeft bevestigd dat hij/zijn e-mailadres is gewist uit uw bestanden.

    Klachten

    Wanneer iemand twijfelt over de uitvoering van zijn verzoek, kan hij/zij een klacht indienen bij de Autoriteit Persoonsgegevens. 

Alle antwoorden op mijn vragenVragen over het recht op dataportabiliteit

  • Wat houdt het recht op dataportabiliteit in?

    Uw klanten hebben het recht om de persoonsgegevens te ontvangen die u van hen heeft. Dit heet het recht op dataportabiliteit, ook wel het ‘recht om gegevens over te dragen’ genoemd.

    Uw klanten kunnen bijvoorbeeld vragen om hun gegevens over te dragen als zij hun contract bij u stopzetten. En zo hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst.

    Ook kunnen uw klanten aan u vragen om hun gegevens rechtstreeks over te dragen aan een andere organisatie.

    Vraagt een klant u om zijn of haar gegevens over te dragen? Dan bent u verplicht om mee te werken. U mag de gegevens dus niet ‘vasthouden’.

    Zie ook

  • Welke gegevens moet ik aan mijn klant verstrekken bij dataportabiliteit?

    U hoeft niet alle soorten gegevens over te dragen wanneer iemand een beroep doet op het recht op dataportabiliteit. Ten eerste gaat het alleen om digitale gegevens. Papieren dossiers vallen er dus niet onder. Ten tweede gaat het alleen om persoonsgegevens die u óf met iemands toestemming verwerkt óf die nodig waren om een overeenkomst met iemand uit te voeren.

    Directe en indirecte persoonsgegevens

    U moet alle persoonsgegevens beschikbaar stellen die uw klant aan u heeft verstrekt. Maar dit moet u ruim opvatten.

    Het gaat hierbij niet alleen om gegevens die iemand actief en bewust heeft verstrekt, zoals de accountgegevens (e-mailadres, gebruikersnaam, leeftijd etc.) die iemand op een online formulier heeft ingevuld.

    Het gaat ook om de gegevens die iemand indirect heeft ‘verstrekt’ door een dienst of apparaat te gebruiken. Bijvoorbeeld:

    • iemands zoekgeschiedenis of locatiegegevens;
    • (ruwe) data zoals iemands hartslag die via een fitnesstracker is vastgelegd;
    • titels van boeken die iemand in een webwinkel heeft gekocht;
    • liedjes die iemand heeft beluisterd via een muziekstreamingdienst.

    Geen afgeleide gegevens

    U hoeft géén afgeleide gegevens te verstrekken. Dat zijn gegevens die u zelf heeft gegenereerd door bijvoorbeeld data-analyse. Zoals een kredietscore of een profiel dat u van iemand heeft opgesteld.

    Let op: deze gegevens moet u bij een inzageverzoek wél verstrekken.

    Zie ook

  • In welk formaat moet ik de gegevens verstrekken?

    De Algemene verordening gegevensbescherming (AVG) schrijft geen specifieke formaten voor. De persoonsgegevens moeten worden overgedragen in een gestructureerd, veelgebruikt en machineleesbaar formaat. Het doel is dat de klanten hun gegevens makkelijk in een andere omgeving kunnen hergebruiken.

    Metagegevens meeleveren

    Daarom moet u niet alleen de feitelijke inhoud leveren, maar ook zoveel mogelijk relevante metagegevens meeleveren. Zoals tijdstip, afzender, geadresseerde etc. Hierdoor blijft de betekenis van de overgedragen informatie zo goed mogelijk bewaard.

    Standaarden

    Het beste formaat om gegevens te verstrekken, zal per sector verschillen. De Europese privacytoezichthouders doen een oproep aan alle belanghebbenden en brancheorganisaties om samen te werken aan een set van standaarden en formaten om het recht op dataportabiliteit vorm te geven.

  • Wat moet ik doen met gegevens van andere mensen in de gegevens die ik aan mijn klanten moet verstrekken?

    U verwerkt waarschijnlijk vaak informatie die persoonsgegevens bevat van meerdere mensen. Vraagt een klant bijvoorbeeld om zijn of haar belgeschiedenis? Dan staan in dit overzicht niet alleen persoonsgegevens van uw klant, maar ook van de personen met wie uw klant heeft gebeld. U moet het complete overzicht verstrekken aan uw klant.

    Geeft uw klant het overzicht vervolgens door aan een andere organisatie? Dan moet die organisatie een wettelijke grondslag hebben om de gegevens van de andere mensen te verwerken. Dat betekent dat de organisatie deze gegevens bijvoorbeeld niet zomaar mag gebruiken voor reclame.

    Het is aan te raden om uw klanten te helpen om een zorgvuldige keuze te maken welke gegevens zij willen overdragen aan een andere organisatie. Dit kunt u bijvoorbeeld doen door gelaagde overdrachtsmogelijkheden aan te bieden.

    Zoals de keuze tussen alle gegevens of alleen de gegevens van het afgelopen jaar. Of de keuze tussen alle contacten of geselecteerde contacten bij de overdracht van een adresboek.

  • Ben ik verantwoordelijk voor wat mijn klant doet met zijn gegevens?

    Nee. Heeft u op verzoek van uw klant zijn persoonsgegevens verstrekt, dan bent u niet verantwoordelijk voor wat hij daarmee doet. Ook niet voor de verwerking van deze gegevens door een andere organisatie.

    Let op: u bent er wel verantwoordelijk voor dat het recht op dataportabiliteit niet leidt tot datalekken. U moet een goed authenticatiemechanisme aanbieden, zodat u zeker bent van de identiteit van uw klanten.

  • Mag ik kosten in rekening brengen voor het beschikbaar stellen van gegevens?

    Nee, in principe niet. Alleen als u kunt aantonen dat een verzoek duidelijk ongegrond is of excessief (bijvoorbeeld als u heel veel verzoeken van één persoon krijgt), kunt u geld vragen of het verzoek weigeren.

    Maar het zal niet vaak voorkomen dat u kunt verantwoorden dat een verzoek voor u een buitenproportionele last oplevert, zeker niet als uw organisatie gespecialiseerd is in het automatisch verwerken van persoonsgegevens.

    Let op: de totale hoeveelheid verzoeken die u krijgt en de totale kosten die u maakt om deze verzoeken te beantwoorden, mag u niet laten meewegen bij uw beslissing of een verzoek ‘excessief’ is. De kosten zijn voor uw rekening en mag u niet verhalen op uw klanten of gebruiken als argument om een verzoek af te wijzen.

  • Binnen welke termijn moet ik reageren op een verzoek om dataportabiliteit?

    U moet de gevraagde persoonsgegevens zo snel mogelijk beschikbaar stellen. In ieder geval binnen 1 maand.

    Complexe verzoeken

    Bij complexe verzoeken heeft u maximaal 3 maanden de tijd. Maar dan moet u de reden voor deze vertraging wel binnen 1 maand aan uw klant laten weten.

    Verzoek weigeren

    Wilt u een verzoek weigeren? Dan moet u binnen 1 maand aan uw klant laten weten waarom u het verzoek weigert. En hem erop wijzen dat hij een klacht kan indienen bij de Autoriteit Persoonsgegevens of juridische hulp kan zoeken.

  • Moet ik gegevens extra lang bewaren voor mogelijke verzoeken?

    Nee, dat hoeft niet. U bewaart de gegevens van uw klanten zo lang als u normaal ook zou doen. U hoeft ze niet - voor eventuele toekomstige verzoeken - langer te bewaren dan de gebruikelijke bewaartermijn.

  • Betekent een verzoek om dataportabiliteit dat ik de gegevens daarna moet vernietigen?

    Nee, klanten mogen een verzoek indienen om dataportabiliteit zolang zij klant bij uw organisatie zijn. Dus zolang zij klant blijven, moet u de persoonsgegevens blijven verwerken voor de noodzakelijke en gerechtvaardigde doeleinden van uw organisatie.

    Andere privacyrechten

    Een verzoek om dataportabiliteit heeft ook geen invloed op de andere privacyrechten van uw klanten. Uw klant mag gelijktijdig zijn andere privacyrechten uitoefenen zolang hij klant bij u is, zoals het recht op inzage, correctie of verwijdering van persoonsgegevens.

    U moet al deze rechten respecteren zonder dat u een verzoek om dataportabiliteit mag vertragen, omdat de klant misschien nog een ander verzoek heeft gedaan.

  • Moet ik mijn klanten informeren over hun recht op dataportabiliteit?

    Ja, dat bent u wettelijk verplicht (artikel 13, lid 2 onder b, AVG). U moet hierbij duidelijk maken dat het om een nieuw recht gaat, dat uw klanten hebben naast de bestaande privacyrechten.

    Het is vooral belangrijk dat u duidelijk uitlegt welke gegevens uw klanten kunnen opvragen met het inzagerecht en welke met het recht op dataportabiliteit.

    En dat u uw klanten wijst op de mogelijk van dataportabiliteit als zij hun contract bij u willen beëindigen.

  • Wat moet ik als organisatie doen als ik gegevens van een nieuwe klant krijg?

    Ontvangt u gegevens van een nieuwe klant? Die deze klant heeft opgevraagd bij een andere organisatie en vervolgens aan u heeft doorgegeven? Dan moet u goed kijken welke van deze gegevens noodzakelijk zijn voor het doel van uw gegevensverwerking. Alle andere gegevens moet u zo snel mogelijk vernietigen.

    Informatie over noodzakelijke gegevens

    Het is aan te raden dat u vooraf duidelijke informatie geeft aan nieuwe klanten over welke gegevens noodzakelijk zijn voor de dienst die u biedt. Op die manier kunnen klanten een bewuste keuze maken welke gegevens zij aan u overdragen.

    Hiermee verkleint u het risico dat uw nieuwe klanten gegevens verspreiden van zichzelf en/of anderen terwijl dat niet nodig is.

  • Wat is het verschil tussen het inzagerecht en het recht op dataportabiliteit?

    Het verschil zit in de vorm waarin u de persoonsgegevens aanlevert als een klant een verzoek bij u doet. Ook zijn er bepaalde gegevens die u niet hoeft te geven als iemand om dataportabiliteit vraagt, maar wel als diegene een inzageverzoek doet.

    Vorm bij inzageverzoek

    Doet een klant een inzageverzoek bij u? Dan moet u een kopie van zijn persoonsgegevens verstrekken. Dit kan een overzicht zijn van de persoonsgegevens of kopieën van de documenten waarin de gegevens staan.

    Hiermee moet uw klant kunnen controleren of zijn gegevens kloppen. En of u zijn gegevens op de juiste manier verwerkt.

    Vorm bij verzoek om dataportabiliteit

    Vraagt een klant u om zijn gegevens over te dragen? Dan moet u de gegevens verstrekken in een vorm die het voor uw klant makkelijk maakt om zijn gegevens te hergebruiken en door te geven aan een andere organisatie.

    U bent daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken.

    Dat betekent dat u ervoor moet zorgen dat uw klanten hun gegevens direct kunnen doorgeven aan een andere organisatie. Dit kan bijvoorbeeld met een application programming interface (API), waarmee u een verbinding mogelijk maakt tussen uw systeem of applicatie en dat van een andere partij.

    Dit kan ook een vertrouwde derde partij zijn, die de overgedragen gegevens opslaat en op verzoek van klanten aan meerdere organisaties kan doorgeven.

    Verschil in gegevens

    Bij een verzoek om dataportabiliteit hoeft u geen afgeleide gegevens te verstrekken. Dat zijn gegevens die u zelf heeft gegenereerd door bijvoorbeeld data-analyse.

    Zoals een kredietscore of een profiel dat u van een klant heeft opgesteld. Maar doet iemand een inzageverzoek, dan moet u deze afgeleide gegevens wél verstrekken.

Alle antwoorden op mijn vragenVragen over de privacyverklaring

  • Is een privacyverklaring volgens de AVG verplicht?

    Onder de Algemene verordening gegevensbescherming (AVG) heeft u een informatieplicht. Dat betekent dat u verplicht bent om nieuwe en bestaande klanten duidelijk te informeren over wat u met hun persoonsgegevens doet en waarom. In de praktijk is een online privacyverklaring de meest handige manier om hier aan te voldoen.

    Hoe wijst u mensen op uw privacyverklaring?

    In de AVG staat dat u de informatie over uw verwerkingen in principe schriftelijk moet geven. De beste manier om er zeker van te zijn dat uw informatie voor de meeste mensen goed vindbaar is, is het publiceren van een online privacyverklaring. Daarnaast mag u andere middelen inzetten. Zoals het tonen van pop-ups met een toelichting bij elke toestemmingsvraag.

    Apparaten zonder beeldscherm*

    Verkoopt u een apparaat zonder beeldscherm? Dan kunt u er voor kiezen om op de verpakking van het apparaat de URL van uw privacyverklaring op te nemen. Of om het apparaat de belangrijkste onderdelen van uw privacyverklaring te laten voorlezen. Het is in ieder geval belangrijk dat u mensen vóór de aanschaf van het apparaat wijst op uw online privacyverklaring en waar zij die kunnen vinden.

    Let op: verwerkt u persoonsgegevens maar heeft u geen (online) privacyverklaring? Dan moet u ervoor zorgen dat u de betrokken personen op een andere manier de vereiste informatie geeft.

    Verantwoordingsplicht

    Onder de AVG geldt de verantwoordingsplicht. Dat betekent dat u aan de Autoriteit Persoonsgegevens (AP) moet kunnen aantonen dat u aan de AVG voldoet. U moet onder meer kunnen laten zien dat u mensen goed heeft geïnformeerd over de verwerking van hun persoonsgegevens. U kunt hiervoor uw privacyverklaring gebruiken.

    * Deze informatie is gebaseerd op de guidelines voor transparantie.

  • Hoe stelt u een privacyverklaring op?

    De AVG stelt een aantal specifieke eisen waar een privacyverklaring aan moet voldoen. Deze eisen gaan over de inhoud, de toegankelijkheid en de duidelijkheid van de informatie.

    Welke informatie moet er in een privacyverklaring staan?

    In het document moet u in ieder geval de volgende informatie geven:

    • De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van uw vertegenwoordiger in de EU;
    • De contactgegevens van de FG als u die heeft.
    • De doeleinden en rechtsgrond van de verwerking, en als u zich beroept op een gerechtvaardigd belang: op welk belang u zich beroept.
    • De (categorieën van) ontvangers van de persoonsgegevens.
    • Of u van plan bent de persoonsgegevens door te geven buiten de EU of een internationale organisatie en op welke juridische grond.
    • De bewaartermijn van de gegevens.
    • De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering.
    • Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken.
    • Dat de betrokkene een klacht kan indienen bij de relevante privacytoezichthouder.
    • Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt.
    • Of u gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe u besluiten neemt.
    • Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.

    Hoe zorgt u dat u privacyverklaring toegankelijk is?

    In de AVG staat dat u de informatie over uw verwerkingen in principe schriftelijk moet geven. De beste manier om er zeker van te zijn dat uw informatie voor de meeste mensen goed vindbaar is, is het publiceren van een online privacyverklaring.

    Daarnaast mag u andere middelen inzetten om de inhoud van uw privacybeleid toegankelijk te maken. Zoals het tonen van pop-ups met een toelichting bij elke toestemmingsvraag. Of het gebruik van iconen of een video.

    Tip: om de informatie in een (online) privacyverklaring zo toegankelijk mogelijk te maken, kunt u de verklaring in meerdere lagen opstellen. Bijvoorbeeld:

    • In de eerste laag geeft u kort aan wie de verantwoordelijke organisatie is, hoe die te bereiken is en welke gegevensverwerkingen de meeste impact hebben op de betrokken personen.
    • In de tweede en derde laag van de privacyverklaring kunt u meer in detail aangeven welke persoonsgegevens u voor welk doel verwerkt en hoe mensen hun rechten kunnen uitoefenen.

    Duidelijke taal

    De informatie over de gegevensverwerking moet beknopt, transparant en begrijpelijk zijn. Daarom moet u duidelijke en eenvoudige taal gebruiken. Dat betekent onder meer: wees kort en bondig, vermijd vaktermen en verplaats u in de lezer.

    Richt u zich tot kinderen onder de zestien jaar? Of weet u dat kinderen uw diensten veel gebruiken? Dan moet u de woordkeuze, toon en stijl van de informatie aanpassen. Zodat de kinderen weten dat deze informatie voor hen is bedoeld en ze de informatie kunnen begrijpen.

    Is een privacyverklaring volgens de AVG verplicht?

Alle antwoorden op mijn vragenVragen over overige rechten van betrokkenen

  • Wat houdt het recht op rectificatie in?

    De Algemene verordening gegevensbescherming (AVG) geeft mensen het recht om onjuiste persoonsgegevens te laten wijzigen. Of om hun persoonsgegevens aan te vullen. In de AVG (artikel 16) staat dit recht beschreven als ‘recht op rectificatie’.

    U bent er verantwoordelijk voor dat de persoonsgegevens die u verwerkt juist zijn. En dat u deze gegevens actualiseert als dat nodig is.

    Zijn persoonsgegevens, gelet op de doeleinden waarvoor u die verwerkt, onjuist? Dan bent u verplicht om alle redelijke maatregelen te nemen om die gegevens te rectificeren of aan te vullen. Dus ook als iemand u erop wijst dat zijn gegevens niet kloppen. Of onvolledig zijn.

    Derde partijen informeren

    Heeft u onjuiste of onvolledige persoonsgegevens aan derde partijen verstrekt? Dan moet u de aangepaste of aangevulde gegevens ook aan deze organisaties doorgeven.

    Als een betrokkene daar om vraagt, moet u ook vertellen welke organisaties u op die manier heeft geïnformeerd.

    Meer informatie

  • Wat houdt het recht op beperking van de verwerking in?

    De Algemene verordening gegevensbescherming (AVG) geeft mensen in bepaalde situaties het recht op beperking van het gebruik van hun gegevens. In de AVG (artikel 18) staat dit recht omschreven als het ‘recht op beperking van de verwerking’.

    Criteria recht op beperking van de verwerking

    Het recht op beperking van de verwerking geldt in situaties die voldoen aan een van de volgende criteria:

    • Gegevens zijn mogelijk onjuist
      Geeft iemand aan dat uw organisatie onjuiste persoonsgegevens gebruikt? Dan mag u deze gegevens niet gebruiken zolang u nog niet heeft gecontroleerd of de gegevens wel kloppen.
    • De verwerking is onrechtmatig
      U mag bepaalde gegevens niet verwerken, maar de betrokkene wil niet dat u de gegevens wist. Bijvoorbeeld omdat hij de gegevens later nog wil opvragen.
    • Gegevens zijn niet meer nodig
      U heeft de persoonsgegevens niet meer nodig voor het doel waarvoor u ze heeft verzameld. Maar de betrokkene heeft de persoonsgegevens nog wel nodig voor een rechtsvordering. Bijvoorbeeld een juridische procedure waarbij hij betrokken is.
    • Betrokkene maakt bezwaar
      Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet u stoppen met deze gegevens te verwerken. Tenzij u dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Zo lang nog niet duidelijk is of uw gronden zwaarder wegen, mag u de gegevens niet verwerken.

    Derde partijen informeren

    Heeft u de betreffende persoonsgegevens aan andere partijen verstrekt? Dan moet u deze organisaties laten weten dat u het gebruik van deze gegevens heeft beperkt. En dat zij dat dus ook moeten doen.

    Als iemand van wie u persoonsgegevens verwerkt er om vraagt, moet u ook vertellen welke organisaties u op die manier heeft geïnformeerd.

    Meer informatie

  • Wat houdt het recht van bezwaar in?

    De Algemene verordening gegevensbescherming (AVG) geeft mensen het recht om bezwaar te maken tegen het verwerken van hun persoonsgegevens. In de AVG staat dit recht beschreven als ‘recht van bezwaar’.

    Betrokkenen (de mensen van wie u gegevens verwerkt) hebben in twee situaties het recht aan u te vragen hun persoonsgegevens niet meer te gebruiken. 

    Ten eerste als u iemands gegevens gebruikt voor direct marketing. Ten tweede kan iemand bezwaar maken vanwege zijn specifieke situatie.

    Direct marketing

    U mag uw bestaande klanten onder bepaalde voorwaarden reclamepost sturen, zonder dat zij daarvoor toestemming hebben gegeven.

    Maar uw klanten hebben altijd het recht om hiertegen bezwaar te maken. Ook als het gaat om profilering voor deze marketingdoeleinden.

    Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens voor direct marketing? Dan moet u hier hoe dan ook direct mee stoppen.

    Specifieke situatie

    Betrokkenen kunnen bezwaar maken tegen het gebruik van hun persoonsgegevens vanwege hun specifieke situatie (hun bijzondere persoonlijke omstandigheden).

    Dit geldt alleen als u hun persoonsgegevens verwerkt op grond van een taak van algemeen belang of op grond van een gerechtvaardigd belang.

    Bijvoorbeeld: iemand heeft als patiënt meegedaan aan een medisch onderzoek en komt er later achter dat een bekende van hem als onderzoeker bij dat centrum werkt. En heeft dan liever niet dat zijn onderzoeksgegevens nog worden gebruikt.

    Verwerking stoppen of beperken

    Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet u stoppen met deze gegevens te verwerken.

    Tenzij u dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Of die te maken hebben met een rechtsvordering.

    Let op: zo lang nog niet duidelijk is of uw gronden zwaarder wegen, mag u de betreffende gegevens niet verwerken. U stelt dan een beperking van de verwerking in.

    Informeren over recht van bezwaar

    U moet betrokkenen informeren over het recht van bezwaar. Dit moet u uiterlijk op het moment van het eerste contact met de betrokkene doen. U moet deze informatie duidelijk en gescheiden van andere informatie aanbieden.

    Meer informatie

  • Wat houdt het recht op een menselijke blik bij besluiten in?

    Sommige organisaties nemen een besluit op basis van automatisch verwerkte gegevens. De Algemene verordening gegevensbescherming (AVG) geeft betrokkenen (de mensen van wie u gegevens verwerkt) recht op een menselijke blik bij besluiten die over hen gaan.

    Voorbeelden zijn de automatische weigering van een online ingediende kredietaanvraag of verwerking van sollicitaties via internet zonder menselijke tussenkomst.

    Recht op nieuw besluit

    Wilt u een besluit nemen op basis van automatisch verwerkte gegevens? En zitten daar voor de betrokkene consequenties aan? Bijvoorbeeld dat hij een lening niet krijgt? Of u hem niet uitnodigt voor een sollicitatiegesprek?

    Dan heeft de betrokkene het recht zich te beroepen op dit artikel. Dat betekent dat u een nieuw besluit moet nemen waarbij een mens de gegevens heeft beoordeeld.

    Profilering

    Organisaties die automatische besluiten nemen, kunnen hierbij profilering gebruiken. Dit houdt in dat ze een besluit over iemand nemen op basis van het profiel van die persoon.

    Voorwaarden automatisch besluit

    Automatische besluitvorming is meestal verboden. U mag alleen een automatisch besluit over een betrokkene nemen in een van de volgende gevallen:

    • het is noodzakelijk om een overeenkomst met hem af te sluiten;
    • er staat in een wet dat het mag;
    • de betrokkene heeft uitdrukkelijk toestemming gegeven.

    Neemt u als organisatie automatische besluiten, dan moet u uw systemen regelmatig controleren en testen. Zodat de systemen werken zoals ze bedoeld zijn en geen foute uitkomsten geven.

    Informatie geven

    Neemt u als organisatie automatische besluiten, inclusief profilering? Dan moet u dit vermelden in uw privacyverklaring

    U moet daarbij ook uitleggen waarom u dat doet, op basis van welke logica en welke gevolgen dat voor de betrokkenen kan hebben.

    Doet iemand een inzageverzoek bij u? Dan moet u deze informatie ook geven.

    Meer informatie

Hulpmiddelen voor professionals

Praktische hulpmiddelen

Guidelines