Rechten van betrokkenen

Onder de Algemene verordening gegevensbescherming (AVG) zijn de privacyrechten van personen versterkt en uitgebreid. U moet uw systemen, processen en interne organisatie op deze rechten inrichten. Zodat u op de juiste manier gehoor kunt geven aan verzoeken van betrokkenen.

Waar moet u op letten?

Om volgens de regels op een verzoek te reageren, moet u het volgende weten en doen:

• Weet u en weten uw eventuele medewerkers welke privacyrechten er gelden? En wanneer u wel of niet gehoor hoeft te geven aan een verzoek?
• Weet u en weten uw eventuele medewerkers hoe u aan de verzoeken gaat voldoen? Bijvoorbeeld: op welke manier u mensen inzage gaat geven, hun gegevens wist of hun gegevens gaat overdragen? Mogelijk moet u daarvoor technische en organisatorische maatregelen nemen.
• Weet u en weten uw eventuele medewerkers hoe u de identiteit gaat vaststellen van mensen die een verzoek doen?
• Wijst u mensen op de privacyrechten die zij hebben? Bijvoorbeeld via uw privacyverklaring?
• Informeert u mensen duidelijk over hóe zij een verzoek bij u kunnen indienen?
• Is het voor mensen makkelijk om een verzoek bij u te doen? Wanneer iemand elektronisch (bijvoorbeeld per e-mail) een verzoek doet, moet u de gevraagde informatie ook elektronisch geven.
• Kunt u zo snel mogelijk, maar in ieder geval binnen 1 maand, reageren op een verzoek?

  Concreet betekent dit dat u binnen die termijn het verzoek moet hebben uitgevoerd. En de verzoeker hierover hebben geïnformeerd. Ofwel moet u binnen deze termijn hebben aangegeven waarom u geen gehoor geeft aan het verzoek.

  In uitzonderlijke gevallen mag u binnen 3 maanden reageren op een verzoek. Bijvoorbeeld wanneer een verzoek heel complex is. Of wanneer het aantal ontvangen verzoeken van dezelfde persoon extreem hoog is. Maar ook dan geldt dat u wel binnen 1 maand moet laten weten dat u meer tijd nodig heeft om op het verzoek te reageren.

Kosten

U mag in principe géén kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is? Bijvoorbeeld omdat iemand heel veel verzoeken bij u indient? Dan mag u een redelijke administratieve vergoeding vragen. Of het verzoek weigeren.

Wanneer iemand zijn/haar privacyrechten bij u uitoefent, dan moet u checken of die persoon is wie hij of zij zegt te zijn. U wilt immers voorkomen dat u iemand toegang geeft tot de persoonsgegevens van een ander.

Geen kopie ID

Toch mag u voor dit doel bijna nooit een kopie van het identiteitsbewijs vragen. In de meeste gevallen zijn er namelijk minder ingrijpende manieren om iemands identiteit vast te stellen.

Voorbeelden vaststellen identiteit

Ter inspiratie vindt u hieronder een aantal manieren waarop u de identiteit van een betrokkene kunt vaststellen. Het is aan u om te bepalen welke manier het meest passend is gelet op de situatie. 

• Via een bestaand inlogsysteem. Bedrijven met een webshop hebben vaak al een beveiligd inlogsysteem voor klanten. Het uitoefenen van iemands rechten kunt u dan in dat systeem integreren.
• Een vorm van tweefactorauthenticatie. U gebruikt hiervoor de klantgegevens uit uw eigen administratie ter controle. Hier zijn veel variaties op mogelijk. Bijvoorbeeld:
  - na het ontvangen van een verzoek via e-mail vraagt u om een bevestiging per sms. Dit mobiele nummer moet dan kloppen met de klantgegevens uit uw administratie.
  - u vraagt per e-mail om een bevestiging van het telefonische verzoek. Dit e-mailadres moet dan kloppen met de klantgegevens uit uw administratie.
  - u vraagt om de laatste 3 cijfers van het rekeningnummer, de geboortedatum en/of het klantnummer ter controle.
• U kunt iemand vragen om langs te komen en zijn ID-bewijs aan u te tonen zonder een kopie te maken. Let op: u mag hiermee geen drempel opwerpen om inzage te geven. Bijvoorbeeld wanneer iemand niet in de buurt woont. Bied dit daarom alleen als alternatief aan. 

Informatieplicht bij kopie ID

Is het in uw geval wél passend om een kopie te vragen van iemands identiteitsbewijs? Let er dan op dat u bepaalde informatie moet verstrekken aan deze persoon.

Zie verder: Welke informatie moet ik als organisatie geven als ik een kopie van een identiteitsbewijs vraag?

Het recht op inzage is bedoeld om mensen meer grip te geven op hun persoonsgegevens. Ook kunnen zij hiermee controleren of u zich aan de regels houdt.

Ontvangt u een verzoek om inzage? Dan moet u de volgende informatie geven:

• een kopie van de persoonsgegevens waar iemand inzage in wil;
• informatie over de verwerking.

Kopie persoonsgegevens

Wil iemand inzage in álle persoonsgegevens die u van hem/haar heeft? Dan heeft hij/zij daar in principe recht op. Inclusief persoonsgegevens uit e-mails, eventuele opgenomen telefoongesprekken en eventuele correspondentie die u met derden over hem/haar heeft gehad.

Maar het kan ook zijn dat iemand alleen meer informatie wil óver de verwerking (zie onder). Of dat iemand alleen maar inzage wil in een deel van de persoonsgegevens. Bijvoorbeeld om te controleren of u niet onnodig veel persoonsgegevens heeft vastgelegd in zijn/haar persoonlijke dossier.

Zie ook: hoe maak ik een kopie van persoonsgegevens bij het recht op inzage? Inclusief een voorbeeldoverzicht.

Informatie over de verwerking

Bij inzageverzoeken moet u de betrokkene ook laten weten:

• waarom u bepaalde gegevens verwerkt.
• welke soorten persoonsgegevens u verzamelt.
• indien van toepassing: aan welke organisaties u de persoonsgegevens doorgeeft. Dit geldt ook voor gegevens die u doorgeeft aan organisaties in andere landen of aan internationale organisaties.
• hoe lang u de persoonsgegevens bewaart. Als u dat niet precies kunt aangeven, moet u duidelijk kunnen maken welke criteria u hanteert om een bewaartermijn te bepalen.
• welke privacyrechten mensen hebben: het recht om hun persoonsgegevens te laten wijzigen, aanvullen of wissen, om u te vragen om minder persoonsgegevens te verwerken en om bezwaar te maken als u hun persoonsgegevens verwerkt.
• dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
• indien van toepassing: van welke organisatie u persoonsgegevens heeft ontvangen als u deze niet zelf heeft verzameld bij de betrokken personen.
• indien van toepassing: op basis van welke logica u een geautomatiseerd besluit over iemand neemt.

Veel van deze informatie staat waarschijnlijk ook al in uw privacyverklaring.

Meer informatie

• Dossier Recht op inzage (voor burgers)

Bij een verzoek om inzage maakt u een kopie van de persoonsgegevens waar iemand inzage in wil. In de wet staat niet hoe zo’n kopie eruit moet zien. De Autoriteit Persoonsgegevens (AP) geeft twee voorbeelden.

1. Overzicht kopie persoonsgegevens

In het overzicht neemt u een kopie op van alle persoonsgegevens die u van iemand verwerkt, tenzij anders met diegene afgesproken. Ook als dit betekent dat bepaalde persoonsgegevens vaker op het overzicht staan. Bijvoorbeeld wanneer u zijn/haar adres op meerdere plekken heeft staan.

Zie 'Voorbeeldoverzicht inzage persoonsgegevens' 

2. Kopie van documenten met persoonsgegevens

U kunt er ook voor kiezen om een kopie te maken van alle documenten waarin de gevraagde persoonsgegevens voorkomen. Let op dat u hierbij niet per ongeluk de persoonsgegevens van anderen deelt.

Tip: is het niet duidelijk in welke persoonsgegevens iemand inzage wil? En gaat het om veel gegevens? Neem dan contact op met de betrokken persoon om te vragen waar hij/zij precies inzage in wil. Bevestig altijd schriftelijk wat u heeft besproken om misverstanden te voorkomen. 

Geef ook informatie over de verwerking

Naast een kopie van de persoonsgegevens moet u bij inzageverzoeken ook informatie geven over de verwerking. Zie: wat houdt het recht op inzage in?

Vraagt iemand u op grond van het recht om vergeten te worden om zijn persoonsgegevens te wissen? Dan moet u een aantal stappen zetten.

1. Identiteit controleren

Controleer de identiteit van de verzoeker. Let op: is het in uw situatie passend om hiervoor een kopie te vragen van het identiteitsbewijs van de verzoeker? Dan moet u bepaalde informatie verstrekken aan deze persoon.

2. Gegevens bepalen

Bepaal welke persoonsgegevens u moet wissen en welke niet. Er kunnen bijvoorbeeld wettelijke verplichtingen gelden waardoor u bepaalde persoonsgegevens nog even moet bewaren.

3. Gegevens wissen

Wis de persoonsgegevens die u moet wissen zo snel mogelijk, uiterlijk binnen 1 maand. Alleen als het om een heel complex verzoek gaat, heeft u 2 maanden extra de tijd. U moet dan wel binnen 1 maand aan de betrokkene laten weten dat het langer gaat duren.

Let op: heeft de verzoeker aangifte gedaan bij de politie tegen het delen van zijn of haar persoonsgegevens? Bijvoorbeeld in het geval van wraakporno? Overweeg dan of u het verzoek met meer urgentie kunt behandelen.

4. Derde partijen informeren

Heeft u de betreffende persoonsgegevens aan andere organisaties verstrekt? Dan moet u deze derde partijen informeren.

Geef aan dat u de gegevens heeft gewist. Leg uit dat ook zij iedere kopie van of koppeling naar die persoonsgegevens moeten wissen. En vermeld het als de betrokkene aangifte heeft gedaan bij de politie. Zodat ook deze andere organisaties weten dat het belangrijk is om de gegevens zo snel mogelijk te wissen.  

Als een betrokkene erom vraagt, moet u vertellen welke ontvangers u op die manier heeft geïnformeerd.

Kosten

U mag in principe géén kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is (veelvuldig herhaalde verzoeken van één persoon)? Dan mag u een redelijke administratieve vergoeding vragen. Of het verzoek weigeren.

In de privacywet staat een aantal situaties waarin het recht op vergetelheid niet geldt. In die situaties hoeft u als organisaties de persoonsgegevens dus niet te wissen. Ook al doet iemand een beroep op het 'recht op vergetelheid'.

Uitzonderingen recht op vergetelheid

Het recht op vergetelheid geldt niet in de volgende situaties:

• De verwerking is noodzakelijk om het recht op vrijheid van meningsuiting en informatie uit te oefenen. Daarmee doet de AVG recht aan het principe dat privacy en vrijheid van meningsuiting gelijkwaardige grondrechten zijn.
• U verwerkt de gegevens omdat er een wettelijke verplichting is om dat te doen. Bijvoorbeeld vanwege fiscale regelgeving of de Archiefwet.
• U verwerkt de gegevens om openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang uit te oefenen.
• U verwerkt de gegevens voor een taak van algemeen belang op het gebied van de volksgezondheid.
• U moet de gegevens in het algemeen belang archiveren.
• De gegevens zijn noodzakelijk voor een rechtsvordering.

Algemene uitzonderingen privacyrechten

Daarnaast staan in de AVG enkele algemene uitzonderingen op de privacyrechten. Hierdoor kunt u in een bijzonder geval een verzoek afwijzen.

U moet dan een afweging maken waaruit blijkt dat het belang van uw organisatie (of de rechten en vrijheden van anderen) zwaarder weegt dan iemands privacyrecht. Zo is het bijvoorbeeld niet de bedoeling dat iemand met een beroep op zijn/haar rechten sporen van crimineel gedrag wist.

Mensen vragen u als organisatie soms om te bewijzen dat u hun persoonsgegevens na een verzoek ook echt heeft gewist. Ook al heeft u volgens de regels terugkoppeling gegeven. Deze terugkoppeling zou voldoende moeten zijn.

Het is begrijpelijk dat “klanten” dit vragen. Zij moeten er op kunnen vertrouwen dat u hun verzoek om gegevens te wissen op de juiste manier heeft behandeld. Maar u kunt natuurlijk niet laten zien welke persoonsgegevens u niet (meer) heeft.

Duidelijke terugkoppeling

Volgens de wet bent u verplicht om mensen terugkoppeling te geven als zij een beroep doen op hun privacyrechten. Op basis van die reactie mag iemand ervan uitgaan dat uw bevestiging klopt.

Geef de terugkoppeling bij voorkeur schriftelijk (bijvoorbeeld per e-mail). En wees zo specifiek mogelijk. Geef bijvoorbeeld aan welke gegevens u heeft gewist en wanneer. Geef ook aan welke persoonsgegevens u niet heeft gewist, waarom en wanneer u dat wel gaat doen.

Zie ook: Ben ik verplicht om alle persoonsgegevens van een betrokkene te wissen als hij/zij daar om vraagt?

Tip: controleer alles goed

Heeft u ook uw verwerkers laten weten dat zij bepaalde persoonsgegevens moeten wissen? Of derden aan wie u de persoonsgegevens heeft verstrekt?

Zorg er voor dat u alles goed checkt. Zodat iemand bijvoorbeeld niet alsnog een reclamemail van u ontvangt terwijl u heeft bevestigd dat hij/zijn e-mailadres is gewist uit uw bestanden.

Klachten

Wanneer iemand twijfelt over de uitvoering van zijn verzoek, kan hij/zij een klacht indienen bij de Autoriteit Persoonsgegevens. 

Ja. U moet het recht op vergetelheid ook toepassen op digitale back-upbestanden. Vraagt iemand u om zijn gegevens te wissen? Dan moet u zijn persoonsgegevens dus ook zo snel mogelijk uit uw back-ups verwijderen.

Het recht op vergetelheid houdt in dat u in bepaalde gevallen verplicht bent om iemands gegevens te verwijderen als diegene hierom vraagt. Bijvoorbeeld als de gegevens niet meer nodig zijn of als die persoon zijn toestemming intrekt.

Eisen aan back-ups

Zo gaat u goed om met back-ups onder de AVG:

• Inventariseer van welke gegevens u back-ups moet bijhouden, bijvoorbeeld vanwege uw beveiligingsbeleid. Houd er rekening mee dat u alleen gegevens mag verwerken die noodzakelijk zijn voor het doel van uw verwerking (zie artikel 5 van de AVG). U moet ook kunnen aantonen dat deze gegevens noodzakelijk zijn. Dat is onderdeel van uw verantwoordingsplicht.
• Maak regelmatig back-ups en verwijder systematisch verouderde gegevens.
• Informeer mensen goed over welke aanvullende bewaartermijn noodzakelijk is voor back-ups van uw specifieke dienstverlening. Bijvoorbeeld: u bewaart persoonsgegevens van klanten 1 jaar in uw reguliere systemen, maar hanteert aanvullend een bewaartermijn van 3 maanden voor uw back-ups.
• Richt uw back-upsysteem zo in dat u verwijderverzoeken van betrokkenen ook kan doorvoeren in dit systeem.

Is het noodzakelijk voor uw dienstverlening om back-ups te maken die moeilijk of niet overschrijfbaar zijn, zoals tapes? Dan kunt u de persoonsgegevens niet verwijderen uit de back-ups. Zorg dan wel dat u goed bijhoudt welke persoonsgegevens u had moeten verwijderen. Is het onverhoopt nodig om een back-up terug te zetten? Dan moet u deze gegevens alsnog verwijderen.

Uitzonderingen

Er zijn ook uitzonderingen op het recht op vergetelheid. U hoeft de betreffende persoonsgegevens bijvoorbeeld niet uit uw back-ups te verwijderen als u wettelijk verplicht bent om de gegevens een bepaalde tijd te bewaren. Of als u ze moet archiveren in het algemeen belang.

U hoeft niet alle soorten gegevens over te dragen wanneer iemand een beroep doet op het recht op dataportabiliteit. Ten eerste gaat het alleen om digitale gegevens. Papieren dossiers vallen er dus niet onder. Ten tweede gaat het alleen om persoonsgegevens die u óf met iemands toestemming verwerkt óf die nodig waren om een overeenkomst met iemand uit te voeren.

Directe en indirecte persoonsgegevens

U moet alle persoonsgegevens beschikbaar stellen die uw klant aan u heeft verstrekt. Maar dit moet u ruim opvatten.

Het gaat hierbij niet alleen om gegevens die iemand actief en bewust heeft verstrekt, zoals de accountgegevens (e-mailadres, gebruikersnaam, leeftijd etc.) die iemand op een online formulier heeft ingevuld.

Het gaat ook om de gegevens die iemand indirect heeft ‘verstrekt’ door een dienst of apparaat te gebruiken. Bijvoorbeeld:

• iemands zoekgeschiedenis of locatiegegevens;
• (ruwe) data zoals iemands hartslag die via een fitnesstracker is vastgelegd;
• titels van boeken die iemand in een webwinkel heeft gekocht;
• liedjes die iemand heeft beluisterd via een muziekstreamingdienst.

Geen afgeleide gegevens

U hoeft géén afgeleide gegevens te verstrekken. Dat zijn gegevens die u zelf heeft gegenereerd door bijvoorbeeld data-analyse. Zoals een kredietscore of een profiel dat u van iemand heeft opgesteld.

Let op: deze gegevens moet u bij een inzageverzoek wél verstrekken.

Zie ook

• In welk formaat moet ik de gegevens verstrekken?

Nee. Heeft u op verzoek van uw klant zijn persoonsgegevens verstrekt, dan bent u niet verantwoordelijk voor wat hij daarmee doet. Ook niet voor de verwerking van deze gegevens door een andere organisatie.

Let op: u bent er wel verantwoordelijk voor dat het recht op dataportabiliteit niet leidt tot datalekken. U moet een goed authenticatiemechanisme aanbieden, zodat u zeker bent van de identiteit van uw klanten.

Nee, in principe niet. Alleen als u kunt aantonen dat een verzoek duidelijk ongegrond is of excessief (bijvoorbeeld als u heel veel verzoeken van één persoon krijgt), kunt u geld vragen of het verzoek weigeren.

Maar het zal niet vaak voorkomen dat u kunt verantwoorden dat een verzoek voor u een buitenproportionele last oplevert, zeker niet als uw organisatie gespecialiseerd is in het automatisch verwerken van persoonsgegevens.

Let op: de totale hoeveelheid verzoeken die u krijgt en de totale kosten die u maakt om deze verzoeken te beantwoorden, mag u niet laten meewegen bij uw beslissing of een verzoek ‘excessief’ is. De kosten zijn voor uw rekening en mag u niet verhalen op uw klanten of gebruiken als argument om een verzoek af te wijzen.

U moet de gevraagde persoonsgegevens zo snel mogelijk beschikbaar stellen. In ieder geval binnen 1 maand.

Complexe verzoeken

Bij complexe verzoeken heeft u maximaal 3 maanden de tijd. Maar dan moet u de reden voor deze vertraging wel binnen 1 maand aan uw klant laten weten.

Verzoek weigeren

Wilt u een verzoek weigeren? Dan moet u binnen 1 maand aan uw klant laten weten waarom u het verzoek weigert. En hem erop wijzen dat hij een klacht kan indienen bij de Autoriteit Persoonsgegevens of juridische hulp kan zoeken.

Nee, dat hoeft niet. U bewaart de gegevens van uw klanten zo lang als u normaal ook zou doen. U hoeft ze niet - voor eventuele toekomstige verzoeken - langer te bewaren dan de gebruikelijke bewaartermijn.

Nee, klanten mogen een verzoek indienen om dataportabiliteit zolang zij klant bij uw organisatie zijn. Dus zolang zij klant blijven, moet u de persoonsgegevens blijven verwerken voor de noodzakelijke en gerechtvaardigde doeleinden van uw organisatie.

Andere privacyrechten

Een verzoek om dataportabiliteit heeft ook geen invloed op de andere privacyrechten van uw klanten. Uw klant mag gelijktijdig zijn andere privacyrechten uitoefenen zolang hij klant bij u is, zoals het recht op inzage, correctie of verwijdering van persoonsgegevens.

U moet al deze rechten respecteren zonder dat u een verzoek om dataportabiliteit mag vertragen, omdat de klant misschien nog een ander verzoek heeft gedaan.

Het verschil zit in de vorm waarin u de persoonsgegevens aanlevert als een klant een verzoek bij u doet. Ook zijn er bepaalde gegevens die u niet hoeft te geven als iemand om dataportabiliteit vraagt, maar wel als diegene een inzageverzoek doet.

Vorm bij inzageverzoek

Doet een klant een inzageverzoek bij u? Dan moet u een kopie van zijn persoonsgegevens verstrekken. Dit kan een overzicht zijn van de persoonsgegevens of kopieën van de documenten waarin de gegevens staan.

Hiermee moet uw klant kunnen controleren of zijn gegevens kloppen. En of u zijn gegevens op de juiste manier verwerkt.

Vorm bij verzoek om dataportabiliteit

Vraagt een klant u om zijn gegevens over te dragen? Dan moet u de gegevens verstrekken in een vorm die het voor uw klant makkelijk maakt om zijn gegevens te hergebruiken en door te geven aan een andere organisatie.

U bent daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken.

Dat betekent dat u ervoor moet zorgen dat uw klanten hun gegevens direct kunnen doorgeven aan een andere organisatie. Dit kan bijvoorbeeld met een application programming interface (API), waarmee u een verbinding mogelijk maakt tussen uw systeem of applicatie en dat van een andere partij.

Dit kan ook een vertrouwde derde partij zijn, die de overgedragen gegevens opslaat en op verzoek van klanten aan meerdere organisaties kan doorgeven.

Verschil in gegevens

Bij een verzoek om dataportabiliteit hoeft u geen afgeleide gegevens te verstrekken. Dat zijn gegevens die u zelf heeft gegenereerd door bijvoorbeeld data-analyse.

Zoals een kredietscore of een profiel dat u van een klant heeft opgesteld. Maar doet iemand een inzageverzoek, dan moet u deze afgeleide gegevens wél verstrekken.

Sommige organisaties nemen een besluit op basis van automatisch verwerkte gegevens. De Algemene verordening gegevensbescherming (AVG) geeft betrokkenen (de mensen van wie u gegevens verwerkt) recht op een menselijke blik bij besluiten die over hen gaan.

Voorbeelden zijn de automatische weigering van een online ingediende kredietaanvraag of verwerking van sollicitaties via internet zonder menselijke tussenkomst.

Recht op nieuw besluit

Wilt u een besluit nemen op basis van automatisch verwerkte gegevens? En zitten daar voor de betrokkene consequenties aan? Bijvoorbeeld dat hij een lening niet krijgt? Of u hem niet uitnodigt voor een sollicitatiegesprek?

Dan heeft de betrokkene het recht zich te beroepen op dit artikel. Dat betekent dat u een nieuw besluit moet nemen waarbij een mens de gegevens heeft beoordeeld.

Profilering

Organisaties die automatische besluiten nemen, kunnen hierbij profilering gebruiken. Dit houdt in dat ze een besluit over iemand nemen op basis van het profiel van die persoon.

Voorwaarden automatisch besluit

Automatische besluitvorming is meestal verboden. U mag alleen een automatisch besluit over een betrokkene nemen in een van de volgende gevallen:

• het is noodzakelijk om een overeenkomst met hem af te sluiten;
• er staat in een wet dat het mag;
• de betrokkene heeft uitdrukkelijk toestemming gegeven.

Neemt u als organisatie automatische besluiten, dan moet u uw systemen regelmatig controleren en testen. Zodat de systemen werken zoals ze bedoeld zijn en geen foute uitkomsten geven.

Informatie geven

Neemt u als organisatie automatische besluiten, inclusief profilering? Dan moet u dit vermelden in uw privacyverklaring. 

U moet daarbij ook uitleggen waarom u dat doet, op basis van welke logica en welke gevolgen dat voor de betrokkenen kan hebben.

Doet iemand een inzageverzoek bij u? Dan moet u deze informatie ook geven.

Meer informatie

• Dossier Recht op menselijke blik bij besluiten (voor burgers)
• Guidelines geautomatiseerde besluitvorming en profilering van de Europese privacytoezichthouders