U start een verzoekschriftprocedure door een brief te schrijven aan de sector Civiel van de rechtbank. U heeft hierbij geen advocaat nodig.

Conflict over privacyrechten

U heeft privacyrechten. Zoals het recht om uw gegevens in te zien, te laten rectificeren of te laten verwijderen. U kunt bijvoorbeeld aan een organisatie vragen om inzage te geven in uw gegevens. 

De organisatie moet binnen 1 maand reageren op uw verzoek. Doet de organisatie dat niet? Of krijgt u wel een reactie, maar bent u hier niet tevreden mee? Dan kunt u een verzoekschriftprocedure starten.

Let op: dit geldt alleen als het om een bedrijf gaat. Gaat het om een overheidsorganisatie? En reageert die niet? Dan kunt u de organisatie in gebreke stellen wegens niet tijdig beslissen. Krijgt u wel een reactie, maar bent u niet tevreden? Dan kunt u bezwaar maken.

Normaal heeft u bij de civiele rechter een advocaat nodig om uw verzoekschrift in te dienen. Maar dit geldt niet als de zaak over uw privacyrechten gaat. Dat is een uitzondering die staat in artikel 35, vierde lid, van de UAVG.

Inhoud verzoekschrift

Het is belangrijk dat u de situatie in uw brief uitlegt. En dat u precies aangeeft wat u wilt dat de rechter doet. U kunt de rechter bijvoorbeeld vragen om een websitebeheerder te bevelen uw gegevens van een bepaalde website te verwijderen. Of u kunt vragen om inzage in uw dossier bij een organisatie.

U kunt de rechter ook vragen om bijvoorbeeld aanpassing van onjuiste persoonsgegevens, een beperking van het gebruik van uw gegevens of van de overdracht van uw gegevens aan een andere organisatie.

Ondersteun uw verhaal door kopieën van bewijzen en andere belangrijke stukken toe te voegen aan uw brief.

Adres rechtbank

Het adres van de rechtbank in uw regio om uw brief heen te sturen vindt u op Rechtspraak.nl.

Termijn verzoekschrift

U moet uw brief binnen 6 weken versturen nadat u het antwoord van de organisatie heeft ontvangen op uw verzoek. Heeft de organisatie niet op tijd geantwoord? Dan hoeft u uw verzoekschrift niet voor een bepaalde datum in te dienen.

Dagvaarding

Wilt u dat de rechter het gebruik van uw persoonsgegevens door een organisatie helemaal verbiedt? Of heeft u schade doordat een organisatie uw persoonsgegevens niet volgens de wet gebruikt? Dan kunt u een dagvaardingsprocedure tegen de organisatie starten.

Wilt u dat de rechter het gebruik van uw persoonsgegevens door een organisatie verbiedt? Of heeft u schade doordat een organisatie uw persoonsgegevens niet volgens de wet gebruikt? Dan kunt u een dagvaardingsprocedure tegen de organisatie starten. Daarbij heeft u een deurwaarder nodig.

Dagvaarding

Een dagvaarding is een brief aan de organisatie waarin u de organisatie oproept om voor de rechter te verschijnen. Een deurwaarder reikt de dagvaarding uit aan de organisatie en stuurt de dagvaarding naar de rechter.

Op Rechtspraak.nl vindt u meer informatie over de:
 

• dagvaardingsprocedure bij de kantonrechter
• dagvaardingsprocedure bij de civiele rechter.

Heeft u een klacht over het gebruik van uw persoonsgegevens? En gaat deze klacht over een beslissing van een overheidsorganisatie? Bijvoorbeeld omdat deze organisatie heeft besloten om uw inzage- of rectificatieverzoek te weigeren? Dan kunt u meestal bezwaar maken. De overheidsorganisatie moet u hierover informeren.

U maakt bezwaar door een bezwaarschrift (brief) te schrijven aan de overheidsorganisatie. Hierin geeft u aan dat u het niet eens bent met de beslissing en legt u uit waarom niet. Voorbeeldbrieven voor een voorlopig en een definitief bezwaarschrift vindt u op de website van de Nationale ombudsman.

Beroep instellen

Bent u het ook niet eens met de reactie op uw bezwaarschrift? Dan kunt u beroep instellen bij de bestuursrechter. U kunt ook naar deze rechter gaan als de overheidsorganisatie niet op tijd een beslissing neemt op uw bezwaar. U stelt beroep in door een beroepschrift (brief) te schrijven. U heeft hierbij geen advocaat nodig.

Meer informatie bezwaar en beroep overheid

U leest meer over bezwaar maken en in beroep gaan in de brochure Bezwaar en beroep tegen een beslissing van de overheid.

Er zijn een paar situaties waarin u een andere mogelijkheid heeft dan een klacht indienen bij de AP. Soms biedt die optie u meer kans op een oplossing.

• Gaat uw klacht over een besluit van de overheid? Zoals een gemeente of het UWV? Dan kunt u bezwaar maken tegen het besluit of beroep instellen bij de bestuursrechter.
• Loopt er een juridische procedure over uw klacht? Dan beoordeelt die andere instantie uw klacht.
• Vermoedt u een misstand op uw werk waardoor de bescherming van privacy en persoonsgegevens in gevaar komt? U kunt dan mogelijk als klokkenluider melding maken bij de AP.
• Gaat uw klacht over een camerakwestie met buren? Hierin kunt u het beste zelf stappen ondernemen.
• Heeft een klacht over uw privacyrechten, zoals het recht om gegevens in te zien of het recht om gegevens te verwijderen? Lees hier wat u kunt doen.

Lees meer over hoe de AP met uw klacht omgaat.

Meerfactorauthenticatie (ook wel MFA genoemd) is een techniek waarbij een persoon of systeem een combinatie van minimaal 2 verschillende typen authenticatiefactoren moet gebruiken om toegang te krijgen.

Wat is authenticatie?

Authenticatie is het beveiligingsmechanisme dat toegangscontrole regelt. Het vereist dat de (digitale) identiteit van een gebruiker of systeem wordt geverifieerd met een authenticatiemiddel.

Voorbeelden meerfactorauthenticatie

Voorbeelden van meerfactorauthenticatie zijn:

• de combinatie van een wachtwoord en een eenmalige code (token) per sms;
• de combinatie van een wachtwoord en een smartcard;
• het gebruik van een app of hardwaretoken die wisselende wachtwoorden genereert in combinatie met een wachtwoord of pincode.

Authenticatiefactoren

De 3 meest gebruikte authenticatiefactoren zijn:

• Iets wat (alleen) de gebruiker weet. Bijvoorbeeld een wachtwoord, een pincode of een andere unieke authenticatiecode.
• Iets wat de gebruiker heeft. Bijvoorbeeld een smartcard, een token of een sleutel. Een (mobiele) telefoon behoort ook tot deze categorie en wordt vaak gebruikt voor sms-tokens.
• Iets wat de gebruiker is. Bijvoorbeeld een biometrisch gegeven, zoals een vingerafdruk. Onder deze categorie vallen ook onderscheidende producten van handelingen, zoals een handtekening of kinetische metingen van een toetsenbord.

Andere authenticatiefactoren zijn:

• Waar de gebruiker is. Deze authenticatiefactor is gebaseerd op een geografische bepaling. Bijvoorbeeld door het IP-adres te gebruiken.
• Hoe de gebruiker zich gedraagt. Deze authenticatiefactor is gebaseerd op het herkennen van gedrag. Bijvoorbeeld door een inlogtijd te hanteren.

Wat is geen meerfactorauthenticatie?

Een combinatie van hetzelfde type authenticatiefactor is géén meerfactorauthenticatie. Bijvoorbeeld wanneer er meerdere combinaties van gebruikersnamen en wachtwoorden nodig zijn om toegang te krijgen. Gebruikersnamen en wachtwoorden vallen beide binnen het type authenticatiefactor ‘iets wat de gebruiker weet’. Hierdoor kwalificeren deze combinaties niet als meerfactorauthenticatie.

Over het algemeen zijn de volgende voorbeelden géén authenticatiefactoren voor het gebruik van een computer of applicatie:
 

• een toegangspas waarmee toegang wordt verkregen tot een ruimte waar meerdere mensen toegang hebben;
• een unieke telefoon of unieke computer (tenzij de mobiele telefoon een tijdelijk paswoord of wachtwoord genereert of gebruikmaakt van een ingebouwde authenticatiefactor);
• een uniek IP-adres.

Meer informatie

• Factsheet Gebruik tweefactorauthenticatie van het Nationaal Cyber Security Centrum.
• AP Datalekkenrapportage 2020 (p. 7-11).
• Techblogpost: factoren in authenticatie.

Ja. Bij het verwerken van persoonsgegevens moet u altijd voldoen aan regels uit de Algemene verordening gegevensbescherming (AVG). Dat geldt ook als u een legacy-systeem gebruikt. De AVG maakt daar geen uitzondering voor.

Dat betekent onder meer dat u:

• De persoonsgegevens die u in uw legacy-systeem verwerkt, voldoende moet beveiligen. Hierbij moet u rekening houden met de huidige stand van de techniek en actuele dreigingen.
• Ervoor moet zorgen dat de mensen van wie u gegevens verwerkt hun privacyrechten kunnen uitoefenen. Zij kunnen u bijvoorbeeld vragen om hun persoonsgegevens te wissen. U moet dus onder meer zorgen dat het mogelijk is om gegevens uit uw legacy-systeem te verwijderen.
• Moet voldoen aan de algemene principes uit de AVG, zoals privacy by default.

Verwerker

Levert u als verwerker een legacy-systeem? Dan moet u zich ook aan deze regels houden, voor zover dat gezien uw invloedssfeer passend is. Daarnaast moet u de verwerking uitvoeren volgens de afspraken in de verwerkersovereenkomst.

Risico’s bij legacy-systemen

Een legacy-systeem is een ICT-voorziening die al heel lang in gebruik is. Bijvoorbeeld legacy-software of een legacy-applicatie. Vaak zijn er bij het ontwikkelen van legacy-systemen hulpmiddelen of technieken gebruikt die nu niet meer gangbaar zijn.

Ook is niet altijd goed beschreven in documentatie hoe legacy-systemen precies werken. Daardoor is een legacy-systeem soms lastig aan te passen. Of is het moeilijk om persoonsgegevens uit het systeem te exporteren of te verwijderen.

Gebruikt u een legacy-systeem, dan loopt u het risico dat u niet voldoet aan de AVG. Bijvoorbeeld doordat het systeem verouderde technologie gebruikt die leidt tot beveiligingsrisico’s. Het is daarom noodzakelijk deze verouderde systemen aan te passen aan de eisen van de AVG.

Ja, dat kan. Als een organisatie uw persoonsgegevens gebruikt, heeft u een aantal rechten. Zo houdt u grip op uw gegevens. Dit zijn de belangrijkste privacyrechten:

• U heeft recht op inzage in uw persoonsgegevens.
• Blijken er gegevens van u niet te kloppen? Of ontbreken er gegevens? Dan kunt u vragen uw gegevens te rectificeren (aanpassen of aanvullen). 
• In sommige gevallen kunt u ook vragen gegevens te verwijderen (wissen). 

Wilt u weten welke rechten u nog meer heeft? Kijk dan bij Privacyrechten AVG.

Heeft u een vraag of een klacht? Bijvoorbeeld omdat u vindt dat uw zorgaanbieder (zoals een huisartsenpraktijk of ziekenhuis) uw verzoek om uw dossier in te zien onterecht heeft afgewezen? Bespreek uw vraag of klacht dan eerst met uw zorgaanbieder.

Komt u er niet uit?

Bent u niet tevreden over de uitkomst van het gesprek? Of wilt u geen gesprek aangaan? Dan zijn er verschillende manieren waarop u een klacht kunt indienen over uw zorgaanbieder.

Gaat uw klacht over een overheidsinstantie? Dan kunt u ook terecht bij de Nationale ombudsman.

Gegevens over iemands religie zijn bijzondere persoonsgegevens. Het is verboden om deze gegevens te verwerken, tenzij in de wet staat dat het in bepaalde situaties mag. In de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG artikel 30, lid 5) staat dat hulpverleners zulke bijzondere persoonsgegevens mogen verwerken, in aanvulling op gezondheidsgegevens. Maar alleen als dat noodzakelijk is voor een goede behandeling of verzorging.

De hulpverlener moet dus nagaan of het wel noodzakelijk is om de gegevens te verwerken. En of er andere manieren zijn om het doel te bereiken.

Een voorbeeld: registreert een hulpverlener uw religie alleen vanwege bepaalde eetgewoonten? Dan kan de hulpverlener in plaats daarvan ook registreren wat uw eetgewoonten zijn, zonder uw religie vast te leggen.

Of een hulpverlener kan u vragen of er nog religieuze achtergronden zijn die van belang zijn voor uw verzorging of behandeling. De hulpverlener registreert de religie dan alleen wanneer u samen heeft beoordeeld dat dit noodzakelijk is voor een goede behandeling.

Nee, dat bent u niet verplicht. Het invullen van deze vragenlijsten is vrijwillig. De vragenlijsten zijn bedoeld om inzicht te krijgen in de fysieke, sociale, psychische en cognitieve ontwikkeling van uw kind. Ze kunnen gebruikt worden als leidraad tijdens gesprekken tussen u en de arts van de jeugdgezondheidszorg.

Ja, dat mag. Via de digitale omgeving van VECOZO kunnen zorgverzekeraars, zorgkantoren en gemeentes berichten uitwisselen met zorgaanbieders. Bijvoorbeeld om zorg toe te wijzen of declaraties voor medische zorg af te handelen.

Opdrachtgevers

De zorgverzekeraars, zorgkantoren en gemeenten zijn opdrachtgevers van VECOZO. Zij schakelen VECOZO in om voor hen persoonsgegevens te verwerken. Dat betekent dat voor de privacywet de zorgverzekeraar, het zorgkantoor of de gemeente de verwerkingsverantwoordelijke is en VECOZO de verwerker.

VECOZO is als verwerker niet zelfstandig verantwoordelijk voor de verwerking van persoonsgegevens. Dat is en blijft de zorgverzekeraar, het zorgkantoor of de gemeente.

Verwerkersovereenkomst

Zorgverzekeraars, zorgkantoren en gemeenten moeten een verwerkersovereenkomst met VECOZO afsluiten. Hierin leggen zij de gemaakte afspraken vast over de verwerking van persoonsgegevens door VECOZO. Bijvoorbeeld over de beveiliging van de gegevens.

Afnemers

Zorgaanbieders zijn afnemers van VECOZO. Omdat zij geen opdrachtgever zijn, hoeven zij geen verwerkersovereenkomst af te sluiten met VECOZO.

Ja, u heeft als patiënt het recht om te weten voor welke behandeling uw zorgaanbieder kosten heeft gedeclareerd. En die uw zorgverzekeraar heeft vergoed. Zo kunt u bijvoorbeeld controleren of u terecht een eigen bijdrage moet betalen.

Uw zorgverzekeraar is verplicht informatie over behandeling(en) op het declaratieoverzicht of de zorgnota te zetten. Die kunt u digitaal inzien of krijgt u per post. De informatie is pas beschikbaar nadat het bedrag is gedeclareerd en betaald.

Privacy verzekerden

Geeft uw zorgverzekeraar aan om privacyredenen de gegevens over de behandeling weg te laten? Dat mag alleen als de declaratie niet gaat over uw eigen behandeling, maar over die van uw (meeverzekerde) gezinsleden, zoals uw kind.