Praktische informatie over privacyrechten

Voor alle privacyrechten gelden enkele algemene regels. Zo moeten organisaties binnen een bepaalde tijd reageren als zij een verzoek van iemand krijgen. Op deze pagina lezen mensen die hun privacyrechten willen gebruiken wat zij kunnen verwachten. Voor organisaties zijn er praktische tips om op een goede manier om te gaan met de privacyrechten van bijvoorbeeld hun klanten, werknemers of burgers. 

Op deze pagina

Uw privacyrechten gebruiken

Wilt u een van uw privacyrechten gebruiken? En een organisatie bijvoorbeeld vragen om inzage in uw persoonsgegevens of om uw gegevens te wijzigen of verwijderen? Dan kunt u het volgende doen en van de organisatie verwachten.

Tip: verzoek schriftelijk doen

U kunt de organisatie het beste schriftelijk een verzoek doen, met een brief of e-mail. Dat is handig om bewijsmateriaal te krijgen. Want reageert de organisatie niet op uw verzoek? Of weigert de organisatie uw verzoek? Dan kunt u laten zien welke stappen u heeft ondernomen. Dit is nodig als  u een klacht wilt indienen bij de Autoriteit Persoonsgegevens (AP) of u naar de rechter wilt gaan.

16 jaar of ouder

U kunt alleen een verzoek doen als u 16 jaar of ouder bent en niet onder curatele bent gesteld. Anders moet uw wettelijk vertegenwoordiger het verzoek doen. Dat is meestal een van uw ouders. De organisatie moet het antwoord dan ook aan die persoon sturen.

Verzoek doen voor uw kind

U kunt een verzoek doen voor uw kind als uw kind jonger is dan 16 jaar. En u de wettelijk vertegenwoordiger bent van uw kind. Dat betekent dat u gezag heeft over uw kind. Gezag wordt meestal door een of beide ouders uitgeoefend. 

Doet u een verzoek voor uw kind en twijfelt de organisatie of u daadwerkelijk het gezag over uw kind heeft? Dan kan de organisatie u vragen het gezag aan te tonen.

Identiteit controleren

Voordat de organisatie uw verzoek in behandeling neemt, moet de organisatie uw identiteit controleren. Dat is om uw privacy te beschermen. Zodat niet iemand anders toegang krijgt tot uw gegevens.

Organisatie moet binnen 1 maand reageren

De organisatie is verplicht binnen 1 maand per brief of e-mail te reageren op uw verzoek. Maar is uw verzoek ingewikkeld? Of heeft u meerdere verzoeken aan dezelfde organisatie gestuurd? Dan mag de organisatie er 2 maanden langer over doen. De organisatie moet u dan wel binnen 1 maand laten weten dat het langer gaat duren en waarom dat zo is.

Organisatie reageert niet

Heeft u binnen 1 maand nog geen reactie gekregen van de organisatie? Dan kunt u contact opnemen met de functionaris gegevensbescherming (FG), privacyfunctionaris of privacy officer van de organisatie, als de organisatie die heeft. De contactgegevens van deze persoon vindt u in de privacyverklaring op de website van de organisatie.

Krijgt u ook geen reactie van deze persoon? Of bent u niet tevreden met de reactie? Wat u dan verder kunt doen, hangt ervan af of het gaat om een bedrijf of een overheidsorganisatie.

Bedrijf

U kunt een klacht indienen bij de AP. Of een verzoekschriftprocedure starten bij de rechter.

Overheidsorganisatie

U kunt een klacht indienen bij de AP. Of de overheidsorganisatie in gebreke stellen wegens niet tijdig beslissen. Krijgt u vervolgens na uw ingebrekestelling niet binnen 2 weken alsnog een besluit? Dan kunt u beroep wegens niet tijdig beslissen indienen bij de bestuursrechter.  

Verzoek uitvoeren of weigeren

In de reactie moet de organisatie u laten weten of de organisatie aan uw verzoek voldoet. En zo ja, wat de organisatie dan precies gaat doen. Weigert de organisatie uw verzoek? Dan moet de organisatie u laten weten waarom. 

Bent u het niet eens met het weigeren van uw verzoek? Dan kunt u een klacht indienen bij de AP. Of u kunt een verzoekschriftprocedure starten bij de rechter, als het om een bedrijf gaat. Gaat het om een overheidsorganisatie? Dan kunt u bezwaar maken bij de overheidsorganisatie.

Geen kosten

De organisatie mag geen geld aan u vragen om uw verzoek te behandelen. Tenzij u heel veel verzoeken aan dezelfde organisatie stuurt. Dan mag de organisatie administratieve kosten in rekening brengen. De organisatie kan er dan ook voor kiezen om uw verzoek te weigeren.

Voor organisaties: privacyrechten in de praktijk

Mensen hebben verschillende rechten om controle te houden over hun persoonsgegevens. Gehoor geven aan mensen die een beroep doen op hun privacyrechten, is een belangrijk onderdeel van een gezond privacybeleid. En een gezond privacybeleid draagt bij aan het vertrouwen van mensen in uw organisatie. Zorg er daarom voor dat u uw systemen, processen en interne organisatie inricht op deze rechten. Zodat u op de juiste manier gehoor kunt geven aan de verzoeken die u krijgt.

Voorbereid zijn op verzoeken

Om goed voorbereid te zijn op de verzoeken die u kunt krijgen, moet u ervoor zorgen dat u:

  • Weet welke privacyrechten er gelden. En wanneer u wel of niet gehoor hoeft te geven aan een verzoek.
  • Weet hoe u aan de verzoeken gaat voldoen. Bijvoorbeeld: op welke manier u mensen inzage gaat geven, hun gegevens gaat verwijderen of hun gegevens gaat overdragen. Mogelijk moet u daarvoor technische en organisatorische maatregelen nemen.
  • Weet hoe u de identiteit gaat vaststellen van mensen die een verzoek doen.
  • Mensen wijst op de privacyrechten die zij hebben. Bijvoorbeeld via uw privacyverklaring.
  • Mensen duidelijk informeert over hoe zij een verzoek bij u kunnen indienen.
  • Het voor mensen makkelijk maakt om een verzoek bij u te doen. Let op: wanneer iemand elektronisch (bijvoorbeeld per e-mail) een verzoek doet, moet u de gevraagde informatie ook elektronisch geven.

Verzoeken afhandelen

Krijgt u een verzoek van iemand op basis van een van de privacyrechten? Neem dan de volgende stappen:

  1. controleer de identiteit van de aanvrager;
  2. reageer binnen 1 maand;
  3. eventueel: weiger het verzoek (deels);
  4. reken geen kosten;
  5. informeer andere organisaties als dat nodig is.

Controleer identiteit

Controleer de identiteit van de aanvrager voordat u het verzoek in behandeling neemt.

Reageer binnen 1 maand

U heeft 1 maand de tijd om het verzoek af te handelen. Binnen deze maand geeft u een reactie per e-mail of brief. Hierin laat u weten of u aan het verzoek voldoet. Zo ja, dan voert u het verzoek ook binnen 1 maand uit.

In uitzonderlijke gevallen mag u binnen 3 maanden reageren op een verzoek. Bijvoorbeeld wanneer een verzoek heel complex is. Of wanneer het aantal ontvangen verzoeken van dezelfde persoon heel hoog is. Maar ook dan geldt dat u wel binnen 1 maand moet reageren om te laten weten dat u meer tijd nodig heeft. Leg ook uit waarom dat zo is.

Eventueel: weiger het verzoek

U mag een verzoek weigeren in de volgende gevallen:

  • Het verzoek is niet in overeenstemming met de regels voor het betreffende privacyrecht. Bijvoorbeeld: de aanvrager vraagt u bepaalde persoonsgegevens te wissen. Maar u kunt deze gegevens (nog) niet wissen, want u bent wettelijk verplicht deze een bepaalde periode te bewaren.
  • U ontvangt heel veel verzoeken van dezelfde persoon. U kunt er dan ook voor kiezen om een redelijke administratieve vergoeding te vragen in plaats van het verzoek te weigeren.
  • Er geldt in uw situatie een van de algemene uitzonderingen op de privacyrechten die in artikel 23 van de AVG staan. Bijvoorbeeld: het verzoek weigeren is noodzakelijk voor de openbare veiligheid, om strafbare feiten te voorkomen dan wel op te sporen of om de rechten en vrijheden van anderen te beschermen. U moet dan een afweging maken waaruit blijkt dat het belang van uw organisatie zwaarder weegt, of de rechten en vrijheden van anderen zwaarder wegen, dan iemands privacyrecht.

Heeft u besloten het verzoek te weigeren? Of maar deels aan het verzoek te doen? Leg dan uit waarom. En wijs de aanvrager op de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens of:

  • een verzoekschriftprocedure te starten bij de rechter (als u een bedrijf bent);
  • bezwaar te maken tegen het besluit (als u een overheidsorganisatie bent).

Reken geen kosten

U mag in principe geen kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is? Bijvoorbeeld omdat iemand extreem veel verzoeken bij u indient? Dan mag u een redelijke administratieve vergoeding vragen. Dit mag ook als iemand extra kopieën wil bij het recht op inzage.

Informeer andere organisaties als dat nodig is

Heeft u de betreffende persoonsgegevens aan andere organisaties verstrekt? Dan moet u soms ook aan deze organisaties laten weten dat u een verzoek heeft uitgevoerd. En deze organisaties vragen hetzelfde te doen.

Dit geldt bij:

  • Het recht op rectificatie: heeft u bepaalde gegevens gerectificeerd? Dan moet u aan de andere organisaties doorgeven dat zij deze gegevens ook moeten aanpassen of aanvullen.
  • Het recht op gegevens verwijderen: heeft u bepaalde gegevens verwijderd? Dan moet u aan de andere organisaties doorgeven dat zij de gegevens ook moeten verwijderen.
  • Het recht op beperking van de verwerking: heeft u de verwerking van bepaalde gegevens beperkt? Dan moet u aan de andere organisaties doorgeven dat zij de verwerking van deze gegevens ook moeten beperken.
  • Het recht van bezwaar: bent u gestopt met het verwerken van bepaalde gegevens omdat iemand bezwaar heeft gemaakt? Dan moet u aan de andere organisaties doorgeven dat zij ook moeten stoppen met het verwerken van deze gegevens.

Vraagt de aanvrager welke organisaties u op deze manier heeft geïnformeerd? Dan moet u dit aan deze persoon laten weten.

Voor organisaties: identiteit vaststellen

Doet iemand een verzoek bij u op basis van de privacyrechten uit de AVG? Zoals een inzageverzoek? Dan moet u checken of die persoon is wie diegene zegt te zijn. U wilt immers voorkomen dat u iemand toegang geeft tot de persoonsgegevens van een ander. Maar u mag daarbij niet meer gegevens opvragen dan nodig is.

Geen kopie ID

U mag voor dit doel nooit een volledige kopie van het identiteitsbewijs vragen. Dat is een kopie waarop alle persoonsgegevens zichtbaar zijn. U mag alleen een volledige kopie ID vragen als u daartoe wettelijk verplicht bent.

Anders mag u hooguit vragen om een kopie ID waarbij bepaalde gegevens zijn afgeschermd. Maar dit mag alleen als het echt niet anders kan. In de meeste gevallen zijn er namelijk minder ingrijpende manieren om iemands identiteit vast te stellen. U moet altijd zo veel mogelijk proberen iemands identiteit vast te stellen met de gegevens die u al heeft van deze persoon.

Voorbeelden identiteit vaststellen

Ter inspiratie vindt u hierna een aantal manieren waarop u iemands identiteit kunt vaststellen. Het is aan u om te bepalen welke manier het meest passend is gelet op de situatie.

  • Via een bestaand inlogsysteem: bedrijven met een webshop hebben vaak al een beveiligd inlogsysteem voor klanten. Het uitoefenen van iemands privacyrechten kunt u dan in dat systeem integreren.
  • Een vorm van meerfactorauthenticatie: u gebruikt hiervoor de klantgegevens uit uw eigen administratie ter controle. Hierop zijn veel variaties mogelijk. Bijvoorbeeld:
    • Na het ontvangen van een verzoek via e-mail vraagt u om een bevestiging per sms. Dit mobiele nummer moet dan kloppen met de klantgegevens uit uw administratie.
    • U vraagt per e-mail om een bevestiging van het telefonische verzoek. Dit e-mailadres moet dan kloppen met de klantgegevens uit uw administratie.
    • U vraagt om de laatste 3 cijfers van het rekeningnummer, de geboortedatum en/of het klantnummer ter controle.
  • Langskomen en ID tonen: u kunt mensen vragen om langs te komen en hun ID-bewijs aan u te tonen zonder een kopie te maken. Let op: u mag hiermee geen drempel opwerpen om inzage te geven. Bijvoorbeeld wanneer iemand niet in de buurt woont. Bied dit daarom alleen als alternatief aan.

Twijfel over identiteit

Heeft u iemands identiteit proberen vast te stellen op uw standaardmanier? Maar heeft u redenen om alsnog te twijfelen of iemand wel is wie diegene zegt te zijn? Dan mag u om aanvullende informatie vragen. Ook hier geldt dat u niet om meer gegevens mag vragen dan nodig is. U mag hooguit om een kopie ID vragen waarbij bepaalde gegevens zijn afgeschermd. Maar dit mag alleen als het echt niet anders kan.

Vastleggen in beleid

Als organisatie moet u beleid hebben waarin staat hoe mensen hun privacyrechten kunnen uitoefenen. Een onderdeel daarvan is de manier waarop iemand zich identificeert bij een verzoek privacyrechten.

Informatieplicht bij kopie ID

Vraagt u om een kopie van iemands identiteitsbewijs? Let er dan op dat u bepaalde informatie moet verstrekken aan deze persoon.