Hoe geef je invulling aan de verschillende rechten van betrokkenen: recht van inzage en recht op rectificatie
Onder de Wet bescherming persoonsgegevens hebben betrokkenen verschillende rechten. De privacyverordening heeft een aantal van deze rechten aangescherpt en nieuwe rechten toegevoegd, waar organisaties rekening mee moeten houden. In een nieuwe blogreeks behandelen we de vraag hoe je als organisatie invulling kan geven aan de verschillende rechten van betrokkenen. In deze eerste blogpost staan het recht van inzage en het recht op rectificatie centraal.
Recht van inzage en recht op rectificatie
Een betrokkene kan met het recht van inzage achterhalen of en welke persoonsgegevens van hem of haar worden verwerkt door een kopie hiervan aan te vragen bij de organisatie die de gegevens (eventueel) verwerkt.
Een gevolg van een succesvol inzageverzoek kan zijn dat de betrokkene erachter komt dat de gegevens niet juist of onvolledig zijn. Dan komt het recht op rectificatie aan bod, waarmee een betrokkene het recht heeft om onvolledigheden en/of fouten in zijn of haar persoonsgegevens te laten corrigeren. Een organisatie dient alle redelijke maatregelen te nemen om ervoor te zorgen dat onjuiste persoonsgegevens worden gecorrigeerd of gewist.
Hoe ziet het proces bij ontvangst van een inzage- of correctieverzoek eruit?
Proces van een inzage- en correctieverzoek
- Ontvangen van een verzoek van een betrokkene Een betrokkene kan een inzage- of correctieverzoek bijvoorbeeld indienen via een brief of e-mail. Als organisatie dien je middelen beschikbaar te stellen om verzoeken elektronisch in te dienen, vooral als het gaat om elektronische verwerkingen van persoonsgegevens. Indien een verzoek via e-mail wordt ontvangen dien je op een gangbare elektronische wijze het verzoek te beantwoorden.
- Identificatieplicht van de organisatie Om gehoor te geven aan een verzoek dient de organisatie eerst de identiteit van de betrokkene vast te stellen.
- Termijn waarop het antwoord gegeven moet worden Als organisatie dien je uiterlijk binnen een maand schriftelijk te reageren. Als het gaat om een zeer omvangrijk of complex verzoek, bijvoorbeeld omdat de organisatie een grote hoeveelheid persoonsgegevens van de betrokkene verwerkt, kan de termijn met maximaal 2 maanden worden verlengd.
- (Gedeeltelijke) weigering van een verzoek In uitzonderlijke gevallen kan de organisatie een inzageverzoek weigeren. Dit kan bijvoorbeeld het geval zijn bij een onredelijk of excessief verzoek. Bij een excessief inzageverzoek mag de organisatie de betrokkene vragen om een nadere toespitsing van zijn verzoek.
- Antwoord geven a. Op een inzageverzoek
De organisatie dient bij een inzageverzoek de volgende informatie te verstrekken:
- Een kopie van de verwerkte persoonsgegevens;
- Indien de persoonsgegevens niet zijn verkregen van de betrokkene, informatie over de bron van de persoonsgegevens;
Informatie over:
- het doel / de doelen van de verwerking;
- de categorieën van persoonsgegevens die worden verwerkt;
- de categorieën van ontvangers met wie data gedeeld kan worden;
- toepasselijke waarborgen als gegevens worden gedeeld met ontvangers in derde landen zonder privacy waarborgen;
- de bewaartermijn van de persoonsgegevens (of criteria om die termijn vast te stellen);
- het bestaan van het recht op rectificatie en wissing, het recht op bezwaar en het recht op beperking van de verwerking;
- het recht om te klagen bij de Autoriteit Persoonsgegevens;
- het bestaan, en een uitleg van de logica, van geautomatiseerde besluitvorming die een betrokkene juridisch of in aannemelijke mate kan treffen.
- b. Op een correctieverzoek
Als organisatie dien je de betrokkene op de hoogte te stellen als wordt besloten de persoonsgegevens te corrigeren of aan te vullen. Een eventuele correctie of aanvulling moet zo snel mogelijk gebeuren.
Belangrijk om te weten is:
- Een antwoord dient kosteloos te worden gegeven. In bepaalde gevallen mag een organisatie een vergoeding vragen die overeenkomt met de administratiekosten. Dit is bijvoorbeeld het geval bij verzoeken om meerdere kopieën en bij onredelijke, herhaaldelijke en/of excessieve verzoeken.
- Het verlenen van inzage mag verder geen afbreuk doen aan de rechten en vrijheden van anderen, denk hierbij aan het zakengeheim, intellectueel eigendomsrecht en het auteursrecht. Desalniettemin mogen deze overwegingen niet leiden tot het geen informatie verstrekken aan een betrokkene.
- Een correctieverzoek kan in uitzonderlijke gevallen worden geweigerd, bijvoorbeeld als het gaat om een onjuist of onredelijk correctieverzoek.
- Een eventuele (gedeeltelijke) weigering dient gemotiveerd te worden. Daarnaast dient de betrokkene gewezen te worden op zijn recht om te klagen bij de Autoriteit Persoonsgegevens.
- Wanneer externe partijen worden ingeschakeld om namens de organisatie persoonsgegevens te verwerken (zogenoemde verwerkers) dan moeten zij meewerken aan de rechten van betrokkenen. Van belang is om dit ook af te spreken in de verwerkersovereenkomst.
Tip: richt een standaard proces in
Het is aan te raden om een proces in te richten om een eenduidige en tijdige afhandeling van de verzoeken te waarborgen. Een dergelijk proces kan bijvoorbeeld worden vormgegeven aan de hand van een vast e-mailadres voor alle inzage- en correctieverzoeken of een speciaal portaal of formulier op de website.
Een proces kan ook het afhandelen van inzageverzoeken vergemakkelijken door het verstrekken van persoonsgegevens en het verstrekken van de aanvullende informatie (gedeeltelijk) te standaardiseren.
Deze post is geschreven door Jake van der Putten, stagiair bij Privacy Company.