Vergroot contrast

Recht op informatie

Organisaties zijn wettelijk verplicht informatie te geven aan personen van wie zij persoonsgegevens gebruiken. Zij moeten deze mensen informeren welke gegevens zij gebruiken en met welk doel.

Ook moeten zij informatie geven over hun identiteit (naam en adres), de contactgegevens van de vertegenwoordiger en de functionaris voor de gegevensbescherming (FG) en of zij de gegevens aan andere organisaties verstrekken.

Zo moeten werkgevers het hun werknemers laten weten als zij gegevens aan de arbodienst doorgeven. En moeten huisartsen hun patiënten informeren als zij de rekeningen rechtstreeks aan de zorgverzekeraar versturen.

Direct of indirect verkregen

Organisaties kunnen iemands persoonsgegevens van diegene zelf krijgen of via een andere organisatie. Bij de informatieplicht is er op een aantal punten verschil tussen deze twee situaties.

Doorgeven buitenland

Wil de organisatie de gegevens gaan doorgeven aan organisaties in het buitenland of aan een internationale organisatie? Dan is het verplicht om betrokkenen te informeren of een adequaatheidsbesluit van de Europese Commissie bestaat. Of te laten weten welke passende of geschikte waarborgen er zijn. En hoe betrokkenen hiervan een kopie kunnen krijgen of de waarborgen kunnen raadplegen.

Wetgeving

Het recht op informatie is geregeld in artikel 13 en 14 van de Algemene verordening gegevensbescherming (AVG).

Bekijk binnen het onderwerp Recht op informatie

Alle antwoorden op mijn vragenVragen over het recht op informatie

  • Welke informatie moet een organisatie mij geven?

    Gebruikt een organisatie uw persoonsgegevens? Dan moet de organisatie u in ieder geval de naam en het adres van de organisatie laten weten. En waarvoor de organisatie uw gegevens gebruikt. In sommige situaties moet de organisatie u meer informatie geven over het gebruik van uw persoonsgegevens.

    Uw verwachtingen

    Is het gebruik van uw persoonsgegevens anders dan u redelijkerwijs kunt verwachten? Dan kan dit een reden zijn om u meer informatie te geven.

    Verwacht u bijvoorbeeld niet dat uw werkgever soms persoonsgegevens aan de politie doorgeeft als deze daarom vraagt? Dan moet uw werkgever u specifiek over deze mogelijkheid informeren.

    Hoe een organisatie uw gegevens krijgt

    Krijgt een organisatie uw persoonsgegevens niet rechtstreeks van u, maar via een andere organisatie? Dan heeft u recht op meer informatie.

    Zo kan een organisatie gegevens over uw kredietwaardigheid krijgen van een handelsinformatiebureau.

    De gevolgen voor u

    Op hoeveel informatie u recht heeft, hangt ook af van hoe groot de gevolgen voor u zijn van het gebruik van uw gegevens.

    Plaatst een organisatie u bijvoorbeeld op een zwarte lijst, dan kan dit grote gevolgen voor u hebben. Het is dan niet genoeg als de organisatie u alleen laat weten dat u op een zwarte lijst staat.

    De aard van uw gegevens

    Hoe gevoeliger de gegevens zijn die een organisatie van u gebruikt, hoe meer reden er is om u hierover in detail te informeren.

    Zo kan een arts verplicht zijn om aan de ouders van een minderjarige patiënt extra informatie te geven.

  • Op welk moment moet een organisatie mij informeren?

    Wil een organisatie uw persoonsgegevens gaan gebruiken? Dan moet de organisatie u hierover op de hoogte stellen vóór het moment waarop deze uw gegevens krijgt. Dit kan een organisatie uiteraard alleen doen als deze de gegevens van u zelf krijgt. Bijvoorbeeld wanneer u uw gegevens invult op een formulier of via de website van de organisatie. 

    Persoonsgegevens via andere organisatie

    Krijgt de organisatie uw gegevens van een andere organisatie? Dan moet de organisatie u informeren op het moment dat deze de gegevens vastlegt.

    Verzamelt een organisatie uw gegevens alleen om deze aan een andere organisatie door te geven? Dan moet de organisatie u informeren uiterlijk op het moment van de eerste verstrekking aan die andere organisatie.

  • Hoe moet een organisatie mij informeren?

    Een organisatie kan u informeren over het gebruik van uw gegevens door bijvoorbeeld de informatie op te nemen op het formulier waarop u uw gegevens invult. Vult u via de website van een organisatie uw persoonsgegevens in? Dan is een duidelijke verwijzing naar het privacystatement genoeg. Hierin geeft de organisatie aan hoe deze omgaat met uw persoonsgegevens.

    Persoonsgegevens via andere organisatie

    Heeft een organisatie uw gegevens van een andere organisatie gekregen? En gaat het om een beperkt aantal mensen van wie de organisatie gegevens gebruikt? Dan moet de organisatie u en deze andere mensen persoonlijk informeren (artikel 14 AVG).

    Gaat het om een grote groep mensen, dan is het voldoende als de organisatie informatie geeft via bijvoorbeeld een blad of een tijdschrift. Maar dan moet de organisatie wel iedereen van de groep bereiken. Omdat niet iedereen een landelijk dagblad of een huis-aan-huisblad ontvangt, is een advertentie in deze kranten dus niet genoeg.

  • Wanneer heb ik geen recht op informatie?

    In een aantal situaties hoeft een organisatie u niet te informeren over het gebruik van uw gegevens.

    U bent al op de hoogte

    Een organisatie hoeft u niet te informeren als u al op de hoogte bent van de informatie (artikel 13, lid 4 en artikel 14, lid 5 onder a, AVG).

    Het is hierbij niet genoeg als de organisatie alleen het vermoeden heeft dat u al op de hoogte bent. De organisatie moet zeker weten dat dit zo is.

    Maar de organisatie mag ervan uitgaan dat u op de hoogte bent als deze u de informatie heeft toegestuurd of uitgereikt. De organisatie hoeft dan niet te controleren of u de informatie ook daadwerkelijk gelezen heeft.

    Onevenredige inspanning

    Krijgt een organisatie uw gegevens via een andere organisatie? Dan hoeft de organisatie u hierover niet in alle gevallen te informeren.

    Het kan zijn dat het de organisatie onevenredig veel inspanning kost om u te bereiken (artikel 14, lid 5 onder b, AVG). Bijvoorbeeld wanneer het de organisatie heel veel tijd zou kosten om uw adres te achterhalen.

    De organisatie moet dan wel de herkomst van uw gegevens vastleggen.

    Het kan ook dat de andere organisatie u al heeft geïnformeerd over het doorgeven van uw gegevens. Dan weet u dus al dat de organisatie uw gegevens kan gebruiken (artikel 14, lid 5 onder a, AVG).

    Ander zwaarwegend belang

    Een organisatie hoeft u niet te informeren als daarvoor een zwaarwegende belang is.

    Bijvoorbeeld als u niet informeren noodzakelijk is om strafbare feiten te voorkomen, op te sporen of te vervolgen. Of om de rechten en vrijheden van anderen te beschermen.

Alle antwoorden op mijn vragenVragen over de privacyverklaring

  • Is een privacyverklaring volgens de AVG verplicht?

    Onder de Algemene verordening gegevensbescherming (AVG) heeft u een informatieplicht. Dat betekent dat u verplicht bent om nieuwe en bestaande klanten duidelijk te informeren over wat u met hun persoonsgegevens doet en waarom. In de praktijk is een online privacyverklaring de meest handige manier om hier aan te voldoen.

    Hoe wijst u mensen op uw privacyverklaring?

    In de AVG staat dat u de informatie over uw verwerkingen in principe schriftelijk moet geven. De beste manier om er zeker van te zijn dat uw informatie voor de meeste mensen goed vindbaar is, is het publiceren van een online privacyverklaring. Daarnaast mag u andere middelen inzetten. Zoals het tonen van pop-ups met een toelichting bij elke toestemmingsvraag.

    Apparaten zonder beeldscherm*

    Verkoopt u een apparaat zonder beeldscherm? Dan kunt u er voor kiezen om op de verpakking van het apparaat de URL van uw privacyverklaring op te nemen. Of om het apparaat de belangrijkste onderdelen van uw privacyverklaring te laten voorlezen. Het is in ieder geval belangrijk dat u mensen vóór de aanschaf van het apparaat wijst op uw online privacyverklaring en waar zij die kunnen vinden.

    Let op: verwerkt u persoonsgegevens maar heeft u geen (online) privacyverklaring? Dan moet u ervoor zorgen dat u de betrokken personen op een andere manier de vereiste informatie geeft.

    Verantwoordingsplicht

    Onder de AVG geldt de verantwoordingsplicht. Dat betekent dat u aan de Autoriteit Persoonsgegevens (AP) moet kunnen aantonen dat u aan de AVG voldoet. U moet onder meer kunnen laten zien dat u mensen goed heeft geïnformeerd over de verwerking van hun persoonsgegevens. U kunt hiervoor uw privacyverklaring gebruiken.

    * Deze informatie is gebaseerd op de guidelines voor transparantie.

  • Hoe stelt u een privacyverklaring op?

    De AVG stelt een aantal specifieke eisen waar een privacyverklaring aan moet voldoen. Deze eisen gaan over de inhoud, de toegankelijkheid en de duidelijkheid van de informatie.

    Welke informatie moet er in een privacyverklaring staan?

    In het document moet u in ieder geval de volgende informatie geven:

    • De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van uw vertegenwoordiger in de EU;
    • De contactgegevens van de FG als u die heeft.
    • De doeleinden en rechtsgrond van de verwerking, en als u zich beroept op een gerechtvaardigd belang: op welk belang u zich beroept.
    • De (categorieën van) ontvangers van de persoonsgegevens.
    • Of u van plan bent de persoonsgegevens door te geven buiten de EU of een internationale organisatie en op welke juridische grond.
    • De bewaartermijn van de gegevens.
    • De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering.
    • Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken.
    • Dat de betrokkene een klacht kan indienen bij de relevante privacytoezichthouder.
    • Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt.
    • Of u gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe u besluiten neemt.
    • Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.

    Hoe zorgt u dat u privacyverklaring toegankelijk is?

    In de AVG staat dat u de informatie over uw verwerkingen in principe schriftelijk moet geven. De beste manier om er zeker van te zijn dat uw informatie voor de meeste mensen goed vindbaar is, is het publiceren van een online privacyverklaring.

    Daarnaast mag u andere middelen inzetten om de inhoud van uw privacybeleid toegankelijk te maken. Zoals het tonen van pop-ups met een toelichting bij elke toestemmingsvraag. Of het gebruik van iconen of een video.

    Tip: om de informatie in een (online) privacyverklaring zo toegankelijk mogelijk te maken, kunt u de verklaring in meerdere lagen opstellen. Bijvoorbeeld:

    • In de eerste laag geeft u kort aan wie de verantwoordelijke organisatie is, hoe die te bereiken is en welke gegevensverwerkingen de meeste impact hebben op de betrokken personen.
    • In de tweede en derde laag van de privacyverklaring kunt u meer in detail aangeven welke persoonsgegevens u voor welk doel verwerkt en hoe mensen hun rechten kunnen uitoefenen.

    Duidelijke taal

    De informatie over de gegevensverwerking moet beknopt, transparant en begrijpelijk zijn. Daarom moet u duidelijke en eenvoudige taal gebruiken. Dat betekent onder meer: wees kort en bondig, vermijd vaktermen en verplaats u in de lezer.

    Richt u zich tot kinderen onder de zestien jaar? Of weet u dat kinderen uw diensten veel gebruiken? Dan moet u de woordkeuze, toon en stijl van de informatie aanpassen. Zodat de kinderen weten dat deze informatie voor hen is bedoeld en ze de informatie kunnen begrijpen.

    Is een privacyverklaring volgens de AVG verplicht?