Vergroot contrast

Rechten van betrokkenen

Onder de Algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt. Hun bestaande privacyrechten worden uitgebreid en er gelden 2 nieuwe rechten. Bent u klaar voor verzoeken van personen die hun rechten willen uitoefenen?

De AVG-privacyrechten

Ten slotte hebben mensen recht op duidelijke informatie over wat u met hun persoonsgegevens doet. Onder de AVG moet u aan een aantal specifieke eisen voldoen.

Bent u voorbereid?

U moet uw systemen, processen en interne organisatie op deze (nieuwe) rechten inrichten. Zodat u vanaf 25 mei 2018 op de juiste manier gehoor kunt geven aan verzoeken van mensen die hun rechten uitoefenen. Hieronder vindt u meer informatie over de verschillende rechten. En wanneer en hoe u daar gehoor aan moet geven.

Bekijk binnen het onderwerp Rechten van betrokkenen

Alle antwoorden op mijn vragenAlgemene vragen over rechten van betrokkenen

  • Hoe bereidt u zich voor op de (nieuwe) privacyrechten van mensen?

    Onder de Algemene verordening gegevensbescherming (AVG) worden de privacyrechten van personen versterkt en uitgebreid. U moet uw systemen, processen en interne organisatie op deze (nieuwe) rechten inrichten. Zodat u vanaf 25 mei 2018 op de juiste manier gehoor kunt geven aan verzoeken van betrokkenen.

    Waar moet u op letten?

    Om volgens de regels op een verzoek te reageren moet u het volgende weten en doen:

    • Weet u en weten uw eventuele medewerkers welke privacyrechten er gelden en wanneer u wel of niet gehoor hoeft te geven aan een verzoek?
    • Weet u en weten uw eventuele medewerkers hoe u aan de verzoeken gaat voldoen? Bijvoorbeeld: op welke manier u mensen inzage gaat geven, hun gegevens wist of gaat overdragen. Mogelijk moet u daarvoor technische en organisatorische maatregelen nemen;
    • Wijst u mensen op de privacyrechten die zij hebben? Bijvoorbeeld via uw privacystatement?
    • Informeert u mensen duidelijk over hóe zij een verzoek bij u kunnen indienen?
    • Is het voor mensen makkelijk om een verzoek bij u te doen? Wanneer iemand elektronisch (bijvoorbeeld per e-mail) een verzoek doet, dan moet u de gevraagde informatie ook elektronisch geven.
    • Kunt u zo snel mogelijk maar in ieder geval binnen 1 maand* reageren op een verzoek? Concreet betekent dit dat u binnen die termijn ofwel het verzoek moet hebben uitgevoerd en de verzoeker hierover hebben geïnformeerd, of hebben aangegeven waarom u geen gehoor geeft aan het verzoek. 

    In uitzonderlijke gevallen mag u binnen 3 maanden reageren op een verzoek. Bijvoorbeeld wanneer een verzoek heel complex is. Of wanneer het aantal ontvangen verzoeken van dezelfde persoon extreem hoog is. Maar ook dan geldt dat u wel binnen 1 maand moet laten weten dat u meer tijd nodig heeft om op het verzoek te reageren.

    Kosten

    U mag in principe géén kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is? Bijvoorbeeld omdat iemand heel veel verzoeken bij u indient? Dan mag u een redelijke administratieve vergoeding vragen. Of het verzoek weigeren.

Alle antwoorden op mijn vragenVragen over dataportabiliteit

  • Wat houdt het recht op dataportabiliteit in?

    Onder de Algemene verordening gegevensbescherming (AVG) krijgen mensen het recht op dataportabiliteit, oftewel overdraagbaarheid van persoonsgegevens.

    In de AVG (artikel 20) heet dit het 'recht om gegevens over te dragen'. Het houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft.

    Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Ook kunnen mensen vragen om gegevens rechtstreeks over te dragen aan een andere organisatie.

    Guidelines dataportabiliteit

    De Europese privacytoezichthouders hebben in april 2017 de (definitieve) Guidelines on the right to data portability gepubliceerd die meer uitleg geven over het recht op dataportabiliteit. Er is ook een officiële Nederlandse vertaling van de guidelines dataportabiliteit beschikbaar.

  • Welke gegevens vallen onder het recht op dataportabiliteit?

    Ten eerste gaat het alleen om digitale gegevens. Papieren dossiers vallen er dus niet onder. Ten tweede gaat het om persoonsgegevens die een organisatie óf met toestemming van de betrokkene verwerkt óf om een overeenkomst met de betrokkene uit te voeren.

    Onder gegevens die een organisatie verwerkt om een overeenkomst uit te voeren, vallen bijvoorbeeld ook de titels van boeken die iemand in een webwinkel heeft gekocht of de liedjes die diegene heeft beluisterd via een muziekstreamingdienst.

  • Wat is het verschil tussen het inzagerecht en het recht op dataportabiliteit?

    Betrokkenen hebben nu al het recht om inzage te vragen in de persoonsgegevens die een organisatie van hen verwerkt. Maar organisaties kunnen zelf beslissen hoe ze de gegevens ter inzage geven. Ze kunnen er bijvoorbeeld ook voor kiezen om de gegevens niet aan de betrokkene te verstrekken, maar de betrokkene uit te nodigen om ter plekke zijn gegevens te komen inzien.

    Bij het recht op dataportabiliteit moeten organisaties de gegevens verstrekken in een vorm die het voor betrokkenen makkelijk maakt om hun gegevens te hergebruiken en door te geven aan een andere organisatie. Organisaties zijn daarom wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken.

  • Hoe kan ik me als organisatie voorbereiden op het recht op dataportabiliteit?

    Vanaf 25 mei 2018 kunnen uw klanten gebruikmaken van hun recht op dataportabiliteit. Dat betekent dat u dus vanaf deze datum verzoeken kunt krijgen van uw klanten om hun persoonsgegevens beschikbaar te stellen. U bent dan wettelijk verplicht om de gegevens in een gestructureerd, veelgebruikt en machineleesbaar formaat te verstrekken.

    U kunt zich hierop voorbereiden door alvast na te denken over hoe u de gegevens beschikbaar gaat stellen. Bijvoorbeeld via een tool waarmee uw klanten hun gegevens direct op een beveiligde manier kunnen downloaden.

    Ook moet u ervoor zorgen dat uw klanten hun gegevens direct kunnen doorgeven aan een andere organisatie. Dit kunt u bijvoorbeeld doen met een application programming interface (API), waarmee u een verbinding mogelijk maakt tussen uw systeem of applicatie en dat van een andere partij.

    Dit kan ook een vertrouwde derde partij zijn, die de overgedragen gegevens opslaat en op verzoek van klanten aan meerdere organisaties kan doorgeven.

    Meer informatie over voorbereiden op de AVG

    Wilt u weten wat u nog meer kunt doen om u voor te bereiden op de nieuwe Europese privacyregels? Bekijk het 10-stappenplan Voorbereiding op de AVG (pdf).

  • Welke gegevens moet ik straks aan mijn klanten verstrekken?

    U moet alle persoonsgegevens beschikbaar stellen die uw klanten aan u hebben verstrekt. Maar dit moet u ruim opvatten. Het gaat hierbij niet alleen om gegevens die klanten actief en bewust aan u hebben verstrekt, zoals de accountgegevens (e-mailadres, gebruikersnaam, leeftijd etc.) die zij op een online formulier hebben ingevuld.

    Het gaat ook om de gegevens die klanten aan u hebben ‘verstrekt’ door uw dienst of apparaat te gebruiken. Bijvoorbeeld de zoekgeschiedenis of locatiegegevens van uw klanten. Of andere (ruwe) data als de hartslag die via een fitnesstracker is vastgelegd.

    Afgeleide gegevens

    U hoeft bij een verzoek om dataportabiliteit géén afgeleide gegevens te verstrekken, dat wil zeggen gegevens die u zelf heeft gegenereerd door bijvoorbeeld data-analyse. Zoals een kredietscore of een profiel dat u van een klant heeft opgesteld.

    Let op: deze gegevens moet u bij een inzageverzoek wél verstrekken.

  • In welk formaat moet ik de gegevens verstrekken?

    De Algemene verordening gegevensbescherming (AVG) schrijft geen specifieke formaten voor. De persoonsgegevens moeten worden overgedragen in een gestructureerd, veelgebruikt en machineleesbaar formaat. Het doel is dat de klanten hun gegevens makkelijk in een andere omgeving kunnen hergebruiken.

    Metagegevens meeleveren

    Daarom moet u niet alleen de feitelijke inhoud leveren, maar ook zoveel mogelijk relevante metagegevens meeleveren. Zoals tijdstip, afzender, geadresseerde etc. Hierdoor blijft de betekenis van de overgedragen informatie zo goed mogelijk bewaard.

    Standaarden

    Het beste formaat om gegevens te verstrekken, zal per sector verschillen. De Europese toezichthouders doen een oproep aan alle belanghebbenden en brancheorganisaties om samen te werken aan een set van standaarden en formaten om het recht op dataportabiliteit vorm te geven.

  • Wat moet ik doen met gegevens van andere mensen in de gegevens die ik aan mijn klanten moet verstrekken?

    U verwerkt waarschijnlijk vaak informatie die persoonsgegevens bevat van meerdere mensen. Vraagt een klant bijvoorbeeld om zijn belgeschiedenis? Dan staan in dit overzicht niet alleen persoonsgegevens van uw klant, maar ook van de personen met wie uw klant heeft gebeld. U moet het complete overzicht verstrekken aan uw klant.

    Geeft uw klant het overzicht vervolgens door aan een andere organisatie, dan moet die organisatie een wettelijke grondslag hebben om de gegevens van de andere mensen te verwerken. Dat betekent dat de organisatie deze gegevens bijvoorbeeld niet zomaar mag gebruiken voor reclame.

    Het is aan te raden om uw klanten te helpen om een zorgvuldige keuze te maken welke gegevens zij willen overdragen aan een andere organisatie. Dit kunt u bijvoorbeeld doen door gelaagde overdrachtsmogelijkheden aan te bieden. Bijvoorbeeld de keuze tussen alle gegevens of alleen de gegevens van het afgelopen jaar of de keuze tussen alle contacten of geselecteerde contacten bij de overdracht van een adresboek.

  • Ben ik verantwoordelijk voor wat mijn klant doet met zijn gegevens?

    Nee. Heeft u op verzoek van uw klant zijn persoonsgegevens verstrekt, dan bent u niet verantwoordelijk voor wat hij daarmee doet. Ook niet voor de verwerking van deze gegevens door een andere organisatie.

    Let op: u bent er wel verantwoordelijk voor dat het recht op dataportabiliteit niet leidt tot datalekken. U moet een goed authenticatiemechanisme aanbieden, zodat u zeker bent van de identiteit van uw klanten.

  • Mag ik kosten in rekening brengen voor het beschikbaar stellen van gegevens?

    Nee, in principe niet. Bij het huidige inzagerecht mag u geld vragen voor het verstrekken van kopieën, maar bij het recht op dataportabiliteit heeft u deze mogelijkheid niet.

    Alleen als u kunt aantonen dat een verzoek duidelijk ongegrond is of excessief (bijvoorbeeld als u heel veel verzoeken van één persoon krijgt), kunt u geld vragen of het verzoek weigeren. Maar het zal niet vaak voorkomen dat u kunt verantwoorden dat een verzoek voor u een buitenproportionele last oplevert, zeker niet als uw organisatie gespecialiseerd is in het automatisch verwerken van persoonsgegevens.

    Let op: de totale hoeveelheid verzoeken die u krijgt en de totale kosten die u maakt om deze verzoeken te beantwoorden, mag u niet laten meewegen bij uw beslissing of een verzoek ‘excessief’ is. De kosten zijn voor uw rekening en mag u niet verhalen op uw klanten of gebruiken als argument om een verzoek af te wijzen.

  • Binnen welke termijn moet ik reageren op een verzoek om dataportabiliteit?

    U moet de gevraagde persoonsgegevens zo snel mogelijk beschikbaar stellen, in ieder geval binnen een maand.

    Complexe verzoeken

    Bij complexe verzoeken heeft u maximaal drie maanden de tijd, maar dan moet u de reden voor deze vertraging wel binnen een maand aan uw klant laten weten.

    Verzoek weigeren

    Wilt u een verzoek weigeren? Dan moet u binnen een maand aan uw klant laten weten waarom u het verzoek weigert. En hem erop wijzen dat hij een klacht kan indienen bij de Autoriteit Persoonsgegevens of juridische hulp kan zoeken.

  • Moet ik gegevens extra lang bewaren voor mogelijke verzoeken?

    Nee, dat hoeft niet. U bewaart de gegevens van uw klanten zo lang als u normaal ook zou doen. U hoeft ze niet - voor eventuele toekomstige verzoeken - langer te bewaren dan de gebruikelijke bewaartermijn.

  • Betekent een verzoek om dataportabiliteit dat ik de gegevens daarna moet vernietigen?

    Nee, klanten mogen een verzoek indienen om dataportabiliteit zolang zij klant bij uw organisatie zijn. Dus zolang zij klant blijven, moet u de persoonsgegevens blijven verwerken voor de noodzakelijke en gerechtvaardigde doeleinden van uw organisatie.

    Andere privacyrechten

    Een verzoek om dataportabiliteit heeft ook geen invloed op de andere privacyrechten van uw klanten. Uw klant mag gelijktijdig zijn andere privacyrechten uitoefenen zolang hij klant bij u is, zoals het recht op inzage, correctie of verwijdering van persoonsgegevens.

    U moet al deze rechten respecteren zonder dat u een verzoek om dataportabiliteit mag vertragen, omdat de klant misschien nog een ander verzoek heeft gedaan.

  • Moet ik mijn klanten informeren over hun recht op dataportabiliteit?

    Ja, dat bent u wettelijk verplicht. U moet hierbij duidelijk maken dat het om een nieuw recht gaat, dat uw klanten hebben naast de bestaande privacyrechten.

    Het is vooral belangrijk dat u duidelijk uitlegt welke gegevens uw klanten kunnen opvragen met het inzagerecht en welke met het recht op dataportabiliteit. En dat u uw klanten wijst op de mogelijk van dataportabiliteit als zij hun contract bij u willen beëindigen.

  • Wat moet ik als organisatie doen als ik gegevens van een nieuwe klant krijg?

    Ontvangt u gegevens van een nieuwe klant? Die deze klant heeft opgevraagd bij een andere organisatie en vervolgens aan u heeft doorgegeven? Dan moet u goed kijken welke van deze gegevens noodzakelijk zijn voor het doel van uw gegevensverwerking. Alle andere gegevens moet u zo snel mogelijk vernietigen.

    Informatie over noodzakelijke gegevens

    Het is aan te raden dat u vooraf duidelijke informatie geeft aan nieuwe klanten over welke gegevens noodzakelijk zijn voor de dienst die u biedt. Op die manier kunnen klanten een bewuste keuze maken welke gegevens zij aan u overdragen.

    Hiermee verkleint u het risico dat uw nieuwe klanten gegevens verspreiden van zichzelf en/of anderen terwijl dat niet nodig is.

  • Wat merken mensen van wie persoonsgegevens worden verwerkt van de AVG?

    Door de algemene verordening gegevensbescherming (AVG) krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid.

    Toestemming

    In de AVG staat bijvoorbeeld een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken.

    Zo moeten organisaties kunnen bewijzen dat zij geldige toestemming hebben gekregen. En moet het voor mensen net zo makkelijk zijn om hun toestemming in te trekken als om die te geven.

    Aanvullende rechten

    Naast versterking van de bestaande rechten krijgen mensen door de AVG een aantal aanvullende rechten.

    Zij hebben al het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

    Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.

    Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Alle antwoorden op mijn vragenVragen over het recht op vergetelheid

  • Wat houdt het recht op vergetelheid uit de AVG in?

    In Artikel 17 van de Algemene verordening gegevensbescherming (AVG) is het zogeheten recht op vergetelheid opgenomen. Dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene (diegene van wie de organisatie gegevens verwerkt) erom vraagt.

    Voorwaarden recht op vergetelheid

    Het recht op vergetelheid geldt niet altijd. Alleen in de volgende situaties is het recht op vergetelheid van toepassing:

    • Niet meer nodig
      De organisatie heeft de persoonsgegevens niet meer nodig voor de doeleinden waarvoor de organisatie ze heeft verzameld of waarvoor de organisatie ze verwerkt.
    • Intrekken toestemming
      De betrokkene heeft eerder (uitdrukkelijke) toestemming gegeven aan de organisatie voor het gebruik van zijn gegevens, maar trekt die toestemming nu in.
    • Bezwaar
      De betrokkene maakt bezwaar tegen de verwerking. Er geldt op grond van artikel 21 van de AVG een absoluut recht van bezwaar tegen direct marketing. En een relatief recht van bezwaar als de rechten van de betrokkene zwaarder wegen dan het belang van de organisatie om de persoonsgegevens te verwerken.
    • Onrechtmatige verwerking
      De organisatie verwerkt de persoonsgegevens onrechtmatig. Bijvoorbeeld omdat er geen wettelijke grondslag is voor de verwerking.
    • Wettelijk bepaalde bewaartermijn
      De organisatie is wettelijk verplicht om de gegevens na bepaalde tijd te wissen.
    • Kinderen
      De betrokkene is jonger dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website (‘dienst van de informatiemaatschappij’).

    Verschil met nu

    Het recht op vergetelheid lijkt op het huidige recht op correctie en verwijdering (artikel 36 van de Wet bescherming persoonsgegevens). Maar het recht op vergetelheid is breder. Het recht is niet meer – zoals nu – beperkt tot het verwijderen van objectief onjuiste gegevens, onvolledige gegevens of niet ter zake doende gegevens.

    Meer informatie

  • Wanneer geldt het recht op vergetelheid uit de AVG niet?

    De Algemene verordening gegevensbescherming (AVG) noemt een aantal omstandigheden waarin het recht op vergetelheid niet geldt:

    • De verwerking is noodzakelijk om het recht op vrijheid van meningsuiting en informatie uit te oefenen. Daarmee doet de AVG recht aan het principe dat privacy en vrijheid van meningsuiting gelijkwaardige grondrechten zijn.
    • De organisatie verwerkt de gegevens omdat er een wettelijke verplichting is om dat te doen.
    • De organisatie verwerkt de gegevens om openbaar gezag of een (wettelijk vastgelegde) taak van algemeen belang uit te oefenen.
    • De organisatie verwerkt de gegevens voor een taak van algemeen belang op het gebied van de volksgezondheid.
    • De organisatie moet de gegevens in het algemeen belang archiveren.
    • De gegevens zijn noodzakelijk voor een rechtsvordering.

    Algemene uitzonderingen privacyrechten

    Daarnaast is in artikel 23 van de AVG een aantal algemene uitzonderingen opgenomen op de rechten van betrokkenen. Dit artikel lijkt op het huidige artikel 43 van de Wet bescherming persoonsgegevens.

    Het artikel biedt organisaties de mogelijkheid om in bijzondere omstandigheden geen gehoor te geven aan verzoeken van betrokkenen. Zij moeten dan voor dat verzoek een belangenafweging maken waaruit blijkt dat hun belangen (of de rechten en vrijheden van anderen) zwaarder wegen dan het privacyrecht van de betrokkene.

    Het is bijvoorbeeld niet de bedoeling dat betrokkenen met een beroep op hun rechten sporen van crimineel gedrag wissen.

  • Wat moet ik als organisatie doen als ik een verzoek krijg om gegevens te wissen?

    Zodra de Algemene verordening gegevensbescherming (AVG) geldt, hebben betrokkenen (degenen van wie u gegevens verwerkt) het recht op vergetelheid. Vraagt iemand u op grond van dit recht om zijn gegevens te wissen? Dan moet u dat onmiddellijk doen, uiterlijk binnen een maand. Alleen als het om een heel complex verzoek gaat, heeft u twee maanden extra de tijd. U moet dan wel binnen een maand aan de betrokkene laten weten dat het langer gaat duren.

    Manier van reageren

    Als een betrokkene het verzoek elektronisch indient, moet u ook elektronisch reageren. Tenzij de betrokkene u vraagt om op een andere manier te reageren.

    Kosten

    U mag in principe géén kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is (veelvuldig herhaalde verzoeken van één persoon)? Dan mag u een redelijke administratieve vergoeding vragen. Of het verzoek weigeren.

    Derde partijen informeren

    Heeft u de betreffende persoonsgegevens aan derde partijen verstrekt? Dan moet u die ontvangers informeren dat u deze persoonsgegevens heeft gewist. En uitleggen dat ook de ontvangers iedere kopie van of koppeling naar die persoonsgegevens moeten wissen.

    Publiceert u bijvoorbeeld persoonsgegevens via een website? Dan moet u zoekmachines informeren. U kunt daarbij de webpagina opnieuw laten indexeren, zodat de gewiste persoonsgegevens niet meer verschijnen in de zoekresultaten.

    Als een betrokkene erom vraagt, moet u ook vertellen welke ontvangers u op die manier heeft geïnformeerd (artikel 19 van de AVG).

  • Vallen back-ups ook onder het recht op vergetelheid?

    Ja. U moet het recht op vergetelheid ook toepassen op digitale back-upbestanden. Vraagt iemand u om zijn gegevens te wissen? Dan moet u zijn persoonsgegevens dus ook zo snel mogelijk uit uw back-ups verwijderen.

    Zodra de Algemene verordening gegevensbescherming (AVG) geldt, hebben mensen het recht op vergetelheid. Dit houdt in dat u in bepaalde gevallen verplicht bent om iemands gegevens te verwijderen als diegene hierom vraagt. Bijvoorbeeld als de gegevens niet meer nodig zijn of als die persoon zijn toestemming intrekt.

    Eisen aan back-ups

    Zo gaat u goed om met back-ups onder de AVG:

    • Inventariseer van welke gegevens u back-ups moet bijhouden, bijvoorbeeld vanwege uw beveiligingsbeleid. Houd er rekening mee dat u alleen gegevens mag verwerken die noodzakelijk zijn voor het doel van uw verwerking (zie artikel 5 van de AVG). U moet ook kunnen aantonen dat deze gegevens noodzakelijk zijn. Dat is onderdeel van uw verantwoordingsplicht.
    • Maak regelmatig back-ups en verwijder systematisch verouderde gegevens.
    • Informeer mensen goed over welke aanvullende bewaartermijn noodzakelijk is voor back-ups van uw specifieke dienstverlening. Bijvoorbeeld: u bewaart persoonsgegevens van klanten 1 jaar in uw reguliere systemen, maar hanteert aanvullend een bewaartermijn van 3 maanden voor uw back-ups.
    • Richt uw back-upsysteem zo in dat u verwijderverzoeken van betrokkenen ook kan doorvoeren in dit systeem.
    • Is het noodzakelijk voor uw dienstverlening om back-ups te maken die moeilijk of niet overschrijfbaar zijn, zoals tapes? Dan kunt u de persoonsgegevens niet verwijderen uit de back-ups. Zorg dan wel dat u goed bijhoudt welke persoonsgegevens u had moeten verwijderen. Is het onverhoopt nodig om een back-up terug te zetten? Dan moet u deze gegevens alsnog verwijderen.

    Uitzonderingen

    Er zijn ook uitzonderingen op het recht op vergetelheid. U hoeft de betreffende persoonsgegevens bijvoorbeeld niet uit uw back-ups te verwijderen als u wettelijk verplicht bent om de gegevens een bepaalde tijd te bewaren. Of als u ze moet archiveren in het algemeen belang.

Alle antwoorden op mijn vragenVragen over overige rechten van betrokkenen

  • Wat houdt het recht op inzage in?

    De Algemene verordening gegevensbescherming (AVG) geeft mensen meer zeggenschap over hun persoonsgegevens. Ze hebben het recht om u te vragen welke gegevens u van hen heeft. Ze mogen u ook vragen deze gegevens in te zien. In de AVG (artikel 15) staat dit recht beschreven als ‘recht op inzage’.

    Bij inzageverzoeken moet u ook laten weten:

    • Waarom u bepaalde gegevens verwerkt.
    • Welke soorten persoonsgegevens u verzamelt.
    • Indien van toepassing: aan welke organisaties u de persoonsgegevens doorgeeft. Dit geldt ook voor gegevens die u doorgeeft aan organisaties in andere landen of aan internationale organisaties.
    • Hoe lang u de persoonsgegevens bewaart. Als u dat niet precies kunt aangeven, moet u duidelijk kunnen maken welke criteria u hanteert om een bewaartermijn te bepalen.
    • Welke privacyrechten mensen hebben: het recht om hun persoonsgegevens te laten wijzigen, aanvullen of wissen, om u te vragen om minder persoonsgegevens te verwerken en om bezwaar te maken als u hun persoonsgegevens verwerkt.
    • Dat mensen het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
    • Indien van toepassing: van welke organisatie u persoonsgegevens heeft ontvangen als u deze niet zelf heeft verzameld bij de betrokken personen.
    • Indien van toepassing: op basis van welke logica u een geautomatiseerd besluit over iemand neemt.
  • Wat houdt het recht op rectificatie in?

    De Algemene verordening gegevensbescherming (AVG) geeft mensen het recht om onjuiste persoonsgegevens te laten wijzigen. Of om hun persoonsgegevens aan te vullen. In de AVG (artikel 16) staat dit recht beschreven als ‘recht op rectificatie’.

    U bent er verantwoordelijk voor dat de persoonsgegevens die u verwerkt juist zijn. En dat u deze gegevens actualiseert als dat nodig is.

    Zijn persoonsgegevens, gelet op de doeleinden waarvoor u die verwerkt, onjuist? Dan bent u verplicht om alle redelijke maatregelen te nemen om die gegevens te rectificeren of aan te vullen. Dus ook als iemand u erop wijst dat zijn gegevens niet kloppen. Of onvolledig zijn.

    Derde partijen informeren

    Heeft u onjuiste of onvolledige persoonsgegevens aan derde partijen verstrekt? Dan moet u de aangepaste of aangevulde gegevens ook aan deze organisaties doorgeven.

    Als een betrokkene daar om vraagt, moet u ook vertellen welke organisaties u op die manier heeft geïnformeerd.

  • Wat houdt het recht op beperking van de verwerking in?

    De Algemene verordening gegevensbescherming (AVG) geeft mensen in bepaalde situaties het recht op beperking van het gebruik van hun gegevens. In de AVG (artikel 18) staat dit recht omschreven als het ‘recht op beperking van de verwerking’.

    Criteria recht op beperking van de verwerking

    Het recht op beperking van de verwerking geldt in situaties die voldoen aan een van de volgende criteria:

    • Gegevens zijn mogelijk onjuist
      Geeft iemand aan dat uw organisatie onjuiste persoonsgegevens gebruikt? Dan mag u deze gegevens niet gebruiken zolang u nog niet heeft gecontroleerd of de gegevens wel kloppen.
    • De verwerking is onrechtmatig
      U mag bepaalde gegevens niet verwerken, maar de betrokkene wil niet dat u de gegevens wist. Bijvoorbeeld omdat hij de gegevens later nog wil opvragen.
    • Gegevens zijn niet meer nodig
      U heeft de persoonsgegevens niet meer nodig voor het doel waarvoor u ze heeft verzameld. Maar de betrokkene heeft de persoonsgegevens nog wel nodig voor een rechtsvordering. Bijvoorbeeld een juridische procedure waarbij hij betrokken is.
    • Betrokkene maakt bezwaar
      Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet u stoppen met deze gegevens te verwerken. Tenzij u dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Zo lang nog niet duidelijk is of uw gronden zwaarder wegen, mag u de gegevens niet verwerken.

    Derde partijen informeren

    Heeft u de betreffende persoonsgegevens aan andere partijen verstrekt? Dan moet u deze organisaties laten weten dat u het gebruik van deze gegevens heeft beperkt. En dat zij dat dus ook moeten doen.

    Als iemand van wie u persoonsgegevens verwerkt er om vraagt, moet u ook vertellen welke organisaties u op die manier heeft geïnformeerd.

  • Wat houdt het recht van bezwaar in?

    De Algemene verordening gegevensbescherming (AVG) geeft mensen het recht om bezwaar te maken tegen het verwerken van hun persoonsgegevens. In de AVG staat dit recht beschreven als ‘recht van bezwaar’.

    Verwerkt u als organisatie persoonsgegevens op grond van een taak van algemeen belang? Of op grond van een gerechtvaardigd belang?

    Dan hebben de betrokkenen – de mensen van wie u gegevens verwerkt – altijd het recht om bezwaar te maken tegen deze verwerking van hun gegevens.

    Verwerking stoppen of beperken

    Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens? Dan moet u stoppen met deze gegevens te verwerken.

    Tenzij u dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Of die te maken hebben met een rechtsvordering.

    Let op: zo lang nog niet duidelijk is of uw gronden zwaarder wegen, mag u de betreffende gegevens niet verwerken. U stelt dan een beperking van de verwerking in.

    Direct marketing

    Gebruikt u persoonsgegevens voor direct marketing? Dan hebben betrokkenen altijd het recht om hiertegen bezwaar te maken. Ook als het gaat om profilering voor deze marketingdoeleinden.

    Maakt iemand bezwaar tegen het verwerken van zijn persoonsgegevens voor direct marketing? Dan moet u hier hoe dan ook direct mee stoppen.

    Informeren over recht van bezwaar

    U moet betrokkenen informeren over het recht op bezwaar. Dit moet u uiterlijk op het moment van het eerste contact met de betrokkene doen. U moet deze informatie duidelijk en gescheiden van andere informatie aanbieden.

  • Wat houdt het recht op een menselijke blik bij besluiten in?

    Sommige organisaties nemen een besluit op basis van automatisch verwerkte gegevens. Dit gebeurt bijvoorbeeld bij profilering. De Algemene verordening gegevensbescherming (AVG) geeft mensen recht op een menselijke blik bij besluiten die over hen gaan.

    Voorbeelden zijn de automatische weigering van een online ingediende kredietaanvraag of verwerking van sollicitaties via internet zonder menselijke tussenkomst.

    Wilt u een besluit nemen op basis van automatisch verwerkte gegevens? En zitten daar voor de betrokken persoon consequenties aan? Dan heeft deze persoon het recht zich te beroepen op dit artikel. Dat betekent dat u een nieuw besluit moet nemen waarbij een mens de gegevens heeft beoordeeld. 

Alle antwoorden op mijn vragenVragen over recht op informatie

  • Is een privacyverklaring volgens de AVG verplicht?

    Onder de Algemene verordening gegevensbescherming (AVG) heeft u een informatieplicht. Dat betekent dat u verplicht bent om nieuwe en bestaande klanten duidelijk te informeren over wat u met hun persoonsgegevens doet. In de praktijk is een online privacyverklaring de meest handige manier om hier aan te voldoen.

    Hoe wijst u mensen op uw privacyverklaring?

    In de AVG staat dat u de informatie over uw verwerkingen in principe schriftelijk moet geven. De beste manier om er zeker van te zijn dat uw informatie voor de meeste mensen goed vindbaar is, is het publiceren van een online privacyverklaring. Daarnaast mag u andere middelen inzetten. Zoals het tonen van pop-ups met een toelichting bij elke toestemmingsvraag.

    Apparaten zonder beeldscherm*

    Verkoopt u een apparaat zonder beeldscherm? Dan kunt u er voor kiezen om op de verpakking van het apparaat de URL van uw privacyverklaring op te nemen. Of om het apparaat de belangrijkste onderdelen van uw privacyverklaring te laten voorlezen. Het is in ieder geval belangrijk dat u mensen vóór de aanschaf van het apparaat wijst op uw online privacyverklaring en waar zij die kunnen vinden.

    Let op: verwerkt u persoonsgegevens maar heeft u geen (online) privacyverklaring? Dan moet u ervoor zorgen dat u de betrokken personen op een andere manier de vereiste informatie geeft.

    Verantwoordingsplicht

    Onder de AVG geldt de verantwoordingsplicht. Dat betekent dat u aan de Autoriteit Persoonsgegevens (AP) moet kunnen aantonen dat u aan de AVG voldoet. U moet onder meer kunnen laten zien dat u mensen goed heeft geïnformeerd over de verwerking van hun persoonsgegevens. U kunt hiervoor uw privacyverklaring gebruiken.

    * Deze informatie is gebaseerd op de guidelines voor transparantie. Deze guidelines staan nog tot 23 januari 2018 open voor consultatie op de website van de Europese toezichthouders.

  • Hoe stelt u een privacyverklaring op?

    De AVG stelt een aantal specifieke eisen waar een privacyverklaring aan moet voldoen. Deze eisen gaan over de inhoud, de toegankelijkheid en de duidelijkheid van de informatie.

    Welke informatie moet er in een privacyverklaring staan?

    In het document moet u in ieder geval de volgende informatie geven:

    • De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van uw vertegenwoordiger in de EU;
    • De contactgegevens van de FG als u die heeft.
    • De doeleinden en rechtsgrond van de verwerking, en als u zich beroept op een gerechtvaardigd belang: op welk belang u zich beroept.
    • De (categorieën van) ontvangers van de persoonsgegevens.
    • Of u van plan bent de persoonsgegevens door te geven buiten de EU of een internationale organisatie en op welke juridische grond.
    • De bewaartermijn van de gegevens.
    • De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering. Zie ook stap 10.
    • Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken.
    • Dat de betrokkene een klacht kan indienen bij de relevante privacytoezichthouder.
    • Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt.
    • Of u gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe u besluiten neemt.
    • Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.

    Hoe zorgt u dat u privacyverklaring toegankelijk is?

    In de AVG staat dat u de informatie over uw verwerkingen in principe schriftelijk moet geven. De beste manier om er zeker van te zijn dat uw informatie voor de meeste mensen goed vindbaar is, is het publiceren van een online privacyverklaring.

    Daarnaast mag u andere middelen inzetten om de inhoud van uw privacybeleid toegankelijk te maken. Zoals het tonen van pop-ups met een toelichting bij elke toestemmingsvraag. Of het gebruik van iconen of een video.

    Tip: om de informatie in een (online) privacyverklaring zo toegankelijk mogelijk te maken, kunt u de verklaring in meerdere lagen opstellen. Bijvoorbeeld:

    • In de eerste laag geeft u kort aan wie de verantwoordelijke organisatie is, hoe die te bereiken is en welke gegevensverwerkingen de meeste impact hebben op de betrokken personen.
    • In de tweede en derde laag van de privacyverklaring kunt u meer in detail aangeven welke persoonsgegevens u voor welk doel verwerkt en hoe mensen hun rechten kunnen uitoefenen.

    Duidelijke taal

    De informatie over de gegevensverwerking moet beknopt, transparant en begrijpelijk zijn. Daarom moet u duidelijke en eenvoudige taal gebruiken. Dat betekent onder meer: wees kort en bondig, vermijd vaktermen en verplaats u in de lezer.

    Richt u zich tot kinderen onder de zestien jaar? Of weet u dat kinderen uw diensten veel gebruiken? Dan moet u de woordkeuze, toon en stijl van de informatie aanpassen. Zodat de kinderen weten dat deze informatie voor hen is bedoeld en ze de informatie kunnen begrijpen.

    Is een privacyverklaring volgens de AVG verplicht?