Voor organisaties: privacyrechten in de praktijk

De Algemene verordening gegevensbescherming (AVG) geeft mensen verschillende rechten om controle te houden over hun persoonsgegevens. Op deze pagina vindt u als organisatie praktische tips om op een goede manier om te gaan met deze privacyrechten van bijvoorbeeld uw klanten of werknemers.

Op deze pagina

Onderdeel van gezond privacybeleid

Gehoor geven aan mensen die een beroep doen op hun privacyrechten, is een belangrijk onderdeel van een gezond privacybeleid. En een gezond privacybeleid draagt bij aan het vertrouwen van mensen in uw organisatie. Zorg er daarom voor dat u uw systemen, processen en interne organisatie inricht op deze privacyrechten. Zodat u op de juiste manier gehoor kunt geven aan de verzoeken die u krijgt.

Voorbereid zijn op verzoeken

Om goed voorbereid te zijn op de verzoeken die u kunt krijgen, moet u ervoor zorgen dat u:

  • Weet welke privacyrechten er gelden. En wanneer u wel of niet gehoor hoeft te geven aan een verzoek.
  • Weet hoe u aan de verzoeken gaat voldoen. Bijvoorbeeld: op welke manier u mensen inzage gaat geven, hun gegevens gaat verwijderen of hun gegevens gaat overdragen. Mogelijk moet u daarvoor technische en organisatorische maatregelen nemen.
  • Weet hoe u de identiteit gaat vaststellen van mensen die een verzoek doen.
  • Mensen wijst op de privacyrechten die zij hebben. Bijvoorbeeld via uw privacyverklaring.
  • Mensen duidelijk informeert over hoe zij een verzoek bij u kunnen indienen.
  • Het voor mensen makkelijk maakt om een verzoek bij u te doen. Let op: wanneer iemand elektronisch (bijvoorbeeld per e-mail) een verzoek doet, moet u de gevraagde informatie ook elektronisch geven.

Tip: In de gegevensbeschermingsgids voor het mkb van de EDPB  vindt u een handige checklist. Hierin staan tips voor het omgaan met privacyverzoeken.

Verzoeken afhandelen

Krijgt u een verzoek van iemand op basis van een van de privacyrechten? Neem dan de volgende stappen:

  1. controleer de identiteit van de aanvrager;
  2. reageer binnen 1 maand;
  3. eventueel: weiger het verzoek (deels);
  4. reken geen kosten;
  5. informeer andere organisaties als dat nodig is.

Bij het recht op inzage gelden enkele bijzonderheden, die niet gelden bij de andere privacyrechten. Dus krijgt u een inzageverzoek, lees dan ook: Voor organisaties: recht op inzage in de praktijk.

Controleer identiteit

Controleer de identiteit van de aanvrager voordat u het verzoek in behandeling neemt.

Reageer binnen 1 maand

U heeft 1 maand de tijd om het verzoek af te handelen. Binnen deze maand geeft u een reactie per e-mail of brief. Hierin laat u weten of u aan het verzoek voldoet. Zo ja, dan voert u het verzoek ook binnen 1 maand uit.

In uitzonderlijke gevallen mag u binnen 3 maanden reageren op een verzoek. Bijvoorbeeld wanneer een verzoek heel complex is. Of wanneer het aantal ontvangen verzoeken van dezelfde persoon heel hoog is. Maar ook dan geldt dat u wel binnen 1 maand moet reageren om te laten weten dat u meer tijd nodig heeft. Leg ook uit waarom dat zo is.

Eventueel: weiger het verzoek

U mag een verzoek weigeren in de volgende gevallen:

  • Het verzoek is niet in overeenstemming met de regels voor het betreffende privacyrecht. Bijvoorbeeld: de aanvrager vraagt u bepaalde persoonsgegevens te verwijderen. Maar u kunt deze gegevens (nog) niet verwijderen, want u bent wettelijk verplicht deze een bepaalde periode te bewaren.
  • U ontvangt heel veel verzoeken van dezelfde persoon. U kunt er dan ook voor kiezen om een redelijke administratieve vergoeding te vragen in plaats van het verzoek te weigeren.
  • Er geldt in uw situatie een van de algemene uitzonderingen op de privacyrechten die in artikel 23 van de AVG staan. Bijvoorbeeld: het verzoek weigeren is noodzakelijk voor de openbare veiligheid, om strafbare feiten te voorkomen dan wel op te sporen of om de rechten en vrijheden van anderen te beschermen. U moet dan een afweging maken waaruit blijkt dat het belang van uw organisatie zwaarder weegt, of de rechten en vrijheden van anderen zwaarder wegen, dan iemands privacyrecht. Voor meer informatie, zie: EDPB-richtsnoeren over de beperkingen krachtens artikel 23 AVG.

Heeft u besloten het verzoek te weigeren? Of maar deels aan het verzoek te doen? Leg dan uit waarom. En wijs de aanvrager op de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens of:

  • een verzoekschriftprocedure te starten bij de rechter (als u een bedrijf bent);
  • bezwaar te maken tegen het besluit (als u een overheidsorganisatie bent).

Reken geen kosten

U mag in principe geen kosten berekenen. Maar kunt u bewijzen dat een verzoek ongegrond of buitensporig is? Bijvoorbeeld omdat iemand extreem veel verzoeken bij u indient? Dan mag u een redelijke administratieve vergoeding vragen. Dit mag ook als iemand extra kopieën wil bij het recht op inzage.

Let op: De totale hoeveelheid verzoeken die u krijgt (van verschillende mensen) en de totale kosten die u maakt om deze verzoeken te beantwoorden, mag u niet laten meewegen bij uw beslissing of een verzoek 'excessief' is. De kosten zijn voor uw rekening en mag u niet verhalen op de mensen van wie u gegevens verwerkt. Of gebruiken als argument om een verzoek af te wijzen.

Informeer andere organisaties als dat nodig is

Heeft u de betreffende persoonsgegevens aan andere organisaties verstrekt? Dan moet u soms ook aan deze organisaties laten weten dat u een verzoek heeft uitgevoerd. En deze organisaties vragen hetzelfde te doen.

Dit geldt bij:

  • Het recht op rectificatie: heeft u bepaalde gegevens gerectificeerd? Dan moet u aan de andere organisaties doorgeven dat zij deze gegevens ook moeten aanpassen of aanvullen.
  • Het recht op gegevens verwijderen: heeft u bepaalde gegevens verwijderd? Dan moet u aan de andere organisaties doorgeven dat zij de gegevens ook moeten verwijderen.
  • Het recht op beperking van de verwerking: heeft u de verwerking van bepaalde gegevens beperkt? Dan moet u aan de andere organisaties doorgeven dat zij de verwerking van deze gegevens ook moeten beperken.
  • Het recht van bezwaar: bent u gestopt met het verwerken van bepaalde gegevens omdat iemand bezwaar heeft gemaakt? Dan moet u aan de andere organisaties doorgeven dat zij ook moeten stoppen met het verwerken van deze gegevens.

Vraagt de aanvrager welke organisaties u op deze manier heeft geïnformeerd? Dan moet u dit aan deze persoon laten weten.

Identiteit vaststellen

Doet iemand een verzoek bij u op basis van de privacyrechten uit de AVG? Zoals een inzageverzoek? Dan moet u checken of die persoon is wie diegene zegt te zijn. Daarmee voorkomt u dat u iemand toegang geeft tot de persoonsgegevens van een ander. U mag daarbij niet meer gegevens opvragen dan nodig is.

Geen kopie ID

U mag voor dit doel nooit een volledige kopie van het identiteitsbewijs vragen. Dat is een kopie waarop alle persoonsgegevens zichtbaar zijn. U mag alleen een volledige kopie ID vragen als u daartoe wettelijk verplicht bent.

Anders mag u hooguit vragen om een kopie ID waarbij bepaalde gegevens zijn afgeschermd. Maar dit mag alleen als het echt niet anders kan. In de meeste gevallen zijn er namelijk minder ingrijpende manieren om iemands identiteit vast te stellen. U moet altijd zoveel mogelijk proberen iemands identiteit vast te stellen met de gegevens die u al heeft van deze persoon.

Voorbeelden identiteit vaststellen

Ter inspiratie vindt u hierna een aantal manieren waarop u iemands identiteit kunt vaststellen. Het is aan u om te bepalen welke manier het meest passend is gelet op de situatie.

  • Via een bestaand inlogsysteem: bedrijven met een webshop hebben vaak al een beveiligd inlogsysteem voor klanten. Het uitoefenen van iemands privacyrechten kunt u dan in dat systeem integreren.
  • Een vorm van meerfactorauthenticatie: u gebruikt hiervoor de klantgegevens uit uw eigen administratie ter controle. Hierop zijn veel variaties mogelijk. Bijvoorbeeld:
    • Na het ontvangen van een verzoek via e-mail vraagt u om een bevestiging per sms. Dit mobiele nummer moet dan kloppen met de klantgegevens uit uw administratie.
    • U vraagt per e-mail om een bevestiging van het telefonische verzoek. Dit e-mailadres moet dan kloppen met de klantgegevens uit uw administratie.
    • U vraagt om de laatste 3 cijfers van het rekeningnummer, de geboortedatum en/of het klantnummer ter controle.
  • Langskomen en ID tonen: u kunt mensen vragen om langs te komen en hun ID-bewijs aan u te tonen zonder een kopie te maken. Let op: u mag hiermee geen drempel opwerpen om inzage te geven. Bijvoorbeeld wanneer iemand niet in de buurt woont. Bied dit daarom alleen als alternatief aan.

Twijfel over identiteit

Heeft u iemands identiteit proberen vast te stellen op uw standaardmanier? Maar heeft u redenen om alsnog te twijfelen of iemand wel is wie diegene zegt te zijn? Dan mag u om aanvullende informatie vragen. Ook hier geldt dat u niet om meer gegevens mag vragen dan nodig is. U mag hooguit om een kopie ID vragen waarbij bepaalde gegevens zijn afgeschermd. Maar dit mag alleen als het echt niet anders kan.

Vastleggen in beleid

Als organisatie moet u beleid hebben waarin staat hoe mensen hun privacyrechten kunnen uitoefenen. Een onderdeel daarvan is de manier waarop iemand zich identificeert bij een verzoek privacyrechten.

Informatieplicht bij kopie ID

Vraagt u om een kopie van iemands identiteitsbewijs? Let er dan op dat u bepaalde informatie moet verstrekken aan deze persoon.