Met de Algemene Verordening Gegevensbescherming (AVG) krijgen mensen van wie persoonsgegevens worden verwerkt meer privacyrechten. Zo krijgen ze het recht om persoonsgegevens over te dragen en het recht om ‘vergeten’ te worden.
De nieuwe privacywetgeving, die op 25 mei 2018 inwerking treedt, verplicht organisaties om hun systemen en processen aan te passen. Dat is onder meer nodig voor de uitbreiding van de privacyrechten van mensen van wie persoonsgegevens door de organisatie worden verwerkt.
Een overzicht van de privacyrechten volgens de AVG:
Het recht op dataportabiliteit
Dat is het recht om digitale persoonsgegevens over te dragen. Mensen moeten de persoonsgegevens kunnen ontvangen die een organisatie van hen heeft. Zij kunnen die gegevens doorsturen naar een andere organisatie die eenzelfde soort dienst biedt. Ze kunnen een organisatie ook vragen de gegevens rechtstreeks door te sturen naar een andere organisatie. Het gaat niet om papieren gegevens.
Organisaties moeten alle persoonsgegevens beschikbaar stellen die betrokken mensen hebben gegeven. Daarbij gaat het niet alleen om bijvoorbeeld accountgegevens, maar ook om gegevens zoals zoekgeschiedenis of locatiegegevens.
Zogenaamde afgeleide gegevens, zoals gegevens die de organisatie zelf heeft gegenereerd door bijvoorbeeld data-analyse, hoeven niet te worden verstrekt.
Het recht op vergetelheid
Het recht van betrokkenen om vergeten te worden. Organisaties moeten in een aantal gevallen persoonsgegevens wissen als een betrokkene daarom vraagt. De gegevens moeten gewist worden als de organisatie de persoonsgegevens niet meer nodig heeft, als de betrokken persoon zijn toestemming voor verwerking intrekt of bezwaar maakt en als een organisatie de gegevens onrechtmatig verwerkt. Het recht op vergetelheid geldt ook voor back-upbestanden.
Recht op inzage
Mensen van wie persoonsgegevens worden verwerkt hebben het recht om die gegevens in te zien. De organisatie moet duidelijk maken waarom gegevens worden verwerkt, om welke soorten persoonsgegevens het gaat en aan welke organisaties persoonsgegevens eventueel worden doorgegeven. Ook moet duidelijk zijn voor welke termijn de persoonsgegevens worden bewaard.
De organisatie moet ook kenbaar maken van welke andere organisaties persoonsgegevens zijn betrokken. Ook moet worden aangegeven op basis waarvan de organisatie een geautomatiseerd besluit over iemand neemt.
Recht op rectificatie en aanvulling
Het recht van betrokkenen om onjuiste persoonsgegevens die de organisatie verwerkt te wijzigen. Persoonsgegevens moeten door de betrokken mensen ook kunnen worden aangevuld.
Het recht op beperking van de verwerking
Dat is het recht om minder gegevens te laten verwerken. Als bijvoorbeeld onjuiste gegevens worden verwerkt, dan mogen de gegevens niet gebruikt worden zolang ze niet juist zijn.
Als mensen bezwaar maken tegen het verwerken van hun persoonsgegevens, dan moet de organisatie daarmee stoppen, tenzij de organisatie dwingende gerechtvaardigde gronden kan aanvoeren die zwaarder wegen dan de belangen en rechten van de betrokkenen. Organisaties moeten betrokkenen informeren over het recht op bezwaar.
Het recht met betrekking tot geautomatiseerde besluitvorming en profilering
Betrokkenen hebben het recht op een menselijke blik bij besluiten die over hen gaan. Bijvoorbeeld in het geval van een geautomatiseerd besluit bij online sollicitaties. Het kan zijn dat een nieuw besluit genomen moet worden als de betrokkene de gegevens heeft beoordeeld.
Informatieplicht
Volgens de AVG hebben organisaties die persoonsgegevens verwerken een informatieplicht. Nieuwe en bestaande relaties of klanten moeten duidelijk worden geïnformeerd over wat precies met hun persoonsgegevens wordt gedaan. In de praktijk is een online privacyverklaring een goede manier om hier aan te voldoen.
De Autoriteit Persoonsgegevens geeft aanwijzingen voor het opstellen van een privacyverklaring.
Organisaties mogen geen kosten in rekening brengen als mensen een verzoek tot inzage doen of bezwaar maken. Tenzij bewezen kan worden dat een verzoek ongegrond of buitensporig is, bijvoorbeeld omdat een persoon heel veel verzoeken indient. Dan mag een redelijke administratieve vergoeding worden gevraagd of het verzoek mag worden geweigerd.
De ondernemingsraad heeft instemmingsrecht (artikel 27 WOR) bij regelingen voor het verwerken van persoonsgegevens van werknemers en voor personeelvolgsystemen.
Tip! download de gratis whitepaper: De Europese privacywet (AVG)
Lees ook:
- De nieuwe privacywet (AVG) in 10 stappen
- Privacywet: Wie moet een impact assessment (DPIA) uitvoeren?
- Privacywet: Een functionaris gegevensbescherming aanstellen
- Privacyregels bij ziekte vaak geschonden
1-daagse opleiding: de nieuwe privacywetgeving voor de or
Voor de or is het van groot belang om de ins en outs van de nieuwe privacywetgeving te kennen. Tijdens de 1-daagse opleiding De nieuwe Privacywetgeving voor de or wordt de privacywet uitgebreid behandeld en komen alle specifieke punten voor de or aan de orde.
Geef een reactie