Rechten

1. Recht op inzage


Het individu over wie persoonsgegevens worden verwerkt - het datasubject genoemd of ook wel de betrokkene - krijgt door de Algemene Verordening Gegevensbescherming 10 specifieke rechten.


Ten eerste heeft het individu het recht om gegevens die over hem worden verwerkt in te zien.


Lees verder:


Artikel 15 lid 1 AVG (inzage)

3. Recht op kopie


Het individu heeft het recht op een kopie van de over hem verwerkte persoonsgegevens. Een voorbeeld is het opvragen van een patiëntendossier. Het kopie wordt bij voorkeur digitaal verstrekt, maar dat hoeft niet.


Redelijke kosten die worden gemaakt kunnen bij het individu in rekening worden gebracht.


De verantwoordelijke moet wel alle informatie verwijderen uit het dossier die de rechten van anderen in het gevaar kunnen brengen. Het kan dan gaan om informatie waarop intellectueel eigendom rust of om informatie die schade toebrengt aan de positie van anderen. Dat laatste kan bijvoorbeeld het geval zijn als in het dossier van een kind ook gevoelige en compromitterende informatie staat over de stiefvader. Die informatie moet dan worden weggelakt als het kind zijn dossier opvraagt.



Lees verder:


Artikel 15 lid 3 en 4 AVG (inzage)

5. Rectificeren en aanvullen van persoonsgegevens


Het individu heeft het recht om gegevens die incorrect zijn aan te (laten) passen en gegevens die onvolledig zijn aan te (laten) vullen.


Als het inderdaad klopt dat de gegevens incorrect of onvolledig waren, dan heeft de verantwoordelijke een extra plicht. Als hij de incorrecte of onvolledige gegevens heeft doorgegeven aan andere organisaties, moet de verantwoordelijke ervoor zorgen dat die organisaties er van op de hoogte zijn dat de gegevens moeten worden gerectificeerd. Ook mag het datasubject weten aan wie de incorrecte of onvolledige gegevens zijn doorgegeven, zodat hij kan controleren of ook daar de incorrecte gegevens worden aangepast


Lees verder:


Artikel 16 AVG (rectificatie)


Artikel 19 AVG (kennisgeving)

7. Recht om vergeten te worden


Als gegevens onrechtmatig worden verwerkt, mag het datasubject vragen daarmee te stoppen. Het gaat dan specifiek om de volgende gevallen:


1. Het opslagbeperkingsprincipe is geschonden

2. Er is geen legitieme verwerkingsgrondslag, nadat het individu zijn toestemming heeft ingetrokken.

3. Er is geen legitieme verwerkingsgrondslag, nadat het individu met succes zijn recht op bezwaar heeft ingeroepen

4. Gegevens worden anderszins onrechtmatig verwerkt

5. Er is een wettelijke plicht om gegevens te wissen

6. Het gaat om toestemming van een minderjarige die wordt ingetrokken


Als dit recht met succes wordt ingeroepen, moet de verantwoordelijke zorgen dat de gegevens en de kopieën daarvan, bijvoorbeeld op het internet, worden verwijderd. Als er bijvoorbeeld een foto is gepubliceerd van een dronken jongen zonder legitieme grondslag, en die foto is door andere websites gekopieerd, dan moet de verantwoordelijke zijn best doen om ook de foto van de andere sites en het hele internet te verwijderen.


Als de verantwoordelijke de informatie expliciet heeft gedeeld met anderen, dan moet hij hen er van op de hoogte stellen dat het recht om vergeten te worden met succes is ingeroepen. Ook mag het datasubject weten wie dat zijn, zodat hij zelf kan nagaan of ook zij de gegevens verwijderen.


Op het recht om vergeten te worden gelden uitzonderingen, bijvoorbeeld als de verwerking van persoonsgegevens noodzakelijk is in het algemeen belang of met het oog op de vrijheid van meningsuiting.


Lees verder:


Artikel 17 AVG (recht om vergeten te worden)


Artikel 19 AVG (kennisgeving)

9. Recht op beperking


Het individu heeft het recht om gegevensverwerking te beperken. Dat wil zeggen dat de gegevens alleen nog mogen worden opgeslagen, maar niet verder mogen worden gebruikt. Dat recht kan worden ingeroepen in combinatie met andere rechten, zoals:


1. Het recht op rectificatie of aanvullen van gegevens.

2. Het recht om vergeten te worden

3. Het recht op bezwaar


Doordat de gegevens wel worden bewaard kunnen ze bijvoorbeeld als bewijs worden gebruikt. Stel, een organisatie heeft incorrecte gegevens over een persoon verwerkt. De persoon kan dan vragen de incorrecte gegevens te bewaren en niet langer te gebruiken, zodat hij naar de rechter kan stappen om een schadevergoeding te eisen. De verouderde data die zijn opgeslagen kunnen dan als bewijs worden gebruikt in de juridische procedure.


Als het individu een succesvol beroep heeft gedaan op zijn recht op beperking en de verantwoordelijke heeft de gegevens doorgegeven aan anderen, dan moet de verantwoordelijke hen daarvan op de hoogte stellen. Ook dient de verantwoordelijke het datasubject, als hij daarom vraagt, te vertellen aan wie de gegevens zijn doorgegeven, zodat hij kan controleren of de andere partijen ook zijn recht op beperking respecteren.


Lees verder:


Artikel 18 AVG (Recht op bezwaar)


Artikel 19 AVG (Kennisgeving)

Achtergrondinformatie: Rechten en plichten


Vrijwel alle rechten van het datasubject correleren aan plichten van de verantwoordelijke of aan één van de Fair Information Principles.


Zo is het recht op informatie van het individu de spiegelzijde van de plicht om informatie te verstrekken aan het individu. Het recht om gegevens aan te vullen en te rectificeren is de spiegelzijde van het beginsel dat gegevens correct en up to date moeten worden gehouden. Het recht om gegevens te verwijderen mag alleen worden ingeroepen als de verantwoordelijke gegevens onrechtmatig verwerkt en dus in strijd met de beginselen van de AVG handelt. En het recht om niet te worden onderworpen aan automatische besluitvorming is in wezen een plicht van de verantwoordelijke.


Kortom, als vuistregel kan worden genomen dat individuen niet of nauwelijks hun rechten zullen hoeven inroepen als de verantwoordelijke zich netjes aan alle vereisten uit de AVG houdt.

2. Recht op informatie


Het individu heeft het recht om te weten welke gegevens er over hem worden verwerkt, hoe, waarom en door wie. Globaal kan hij vragen om de volgende informatie:


- de verwerkingsdoeleinden;

- de categorieën van persoonsgegevens;

- de ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;

- de bewaartermijn;

- de rechten van het datasubject

- hoe de verantwoordelijke aan de gegevens is gekomen

- als er computergestuurde besluiten worden genomen, de

logica achter die besluiten

-als de gegevens worden doorgevoerd naar buiten de EU, welke waarborgen daarvoor gelden.


Lees verder:


Artikel 15 lid 1 en 2 AVG (Recht op informatie)



4. Recht op dataportabiliteit


Als de grondslag op basis waarvan gewone persoonsgegevens  of bijzondere persoonsgegevens worden verwerkt is de toestemming van het datasubject of een contractuele relatie, dan is het uitgangspunt dat het datasubject zelf de controle houdt over de data die hij heeft verstrekt. Dit recht heeft alleen betrekking op geautomatiseerde verwerking.


Als het datasubject de data zelf heeft gegeven om een bepaalde dienst te krijgen geleverd en dan mag hij ook weer de gegevens terugvragen en meenemen naar een concurrent. Als iemand bijvoorbeeld gegevens met Facebook deelt, dan mag hij Facebook vragen om alle gegevens weer terug te geven of door te sturen naar een concurrent, als het datasubject besluit om op een ander sociaal medium te gaan. In zo'n geval moet Facebook zijn best doen om de gegevens zo aan te leveren dat de concurrent er direct en eenvoudig mee aan de slag kan.




Lees verder:


Artikel 20 AVG (Data portabiliteit)



8. Recht op bezwaar


Het individu heeft het recht om bezwaar te maken als de verantwoordelijke zich beroept op één van de volgende twee legitieme verwerkingsgronden:


- De verwerking is in het algemeen belang of is noodzakelijk voor een publieke taak

- De verwerking is noodzakelijk voor een gerechtvaardigd belang van de verantwoordelijke en dat belang overstijgt het belang van het datasubject.


Het recht op bezwaar is het recht van het datasubject om in twijfel te trekken of de verwerking van de persoonsgegevens inderdaad noodzakelijk is voor een algemeen belang of in het kader van een gerechtvaardigd belang van de verantwoordelijke, waarbij dat belang boven het belang van het datasubject gaat.


Als dit recht wordt ingeroepen moet de verantwoordelijke dus nogmaals evalueren of zijn aanvankelijke aanname wel klopte. Als dat niet zo is, dan moeten de gegevens worden verwijderd. Als het datasubject en de verantwoordelijke van mening blijven verschillen, dan moet uiteindelijke de Autoriteit Persoonsgegevens of de rechter een beslissing nemen.


Belangrijk is dat als het gaat om profiling voor online advertentiedoeleinden, de verantwoordelijke altijd gehoor moet geven aan het verzoek van het datasubject.


Het recht op bezwaar gaat alleen om de verwerking van de persoonsgegevens van dat specifieke individu. Als het datasubject terecht een beroep doet op zijn recht op bezwaar hoeft de verantwoordelijke dus niet direct met het hele verwerkingsproces te stoppen, maar alleen voor wat betreft de gegevens van de persoon die het recht op bezwaar heeft ingeroepen.


Lees verder:


Artikel 21 AVG (recht op bezwaar)

6. Recht om niet onderworpen te worden aan automatische besluitvorming


Veel besluiten worden tegenwoordig genomen op basis van profielen en computergestuurde processen. Dat mag, maar de Algemene Verordening Gegevensbescherming vereist wel dat er altijd een mens moet zijn die controleert of het algemene profiel ook op het specifieke individu van toepassing is.


Het kan bijvoorbeeld best zijn dat mannen van tussen de 20 en de 30 vaker auto-ongelukken maken, maar een verzekeraar mag niet automatisch alle verzekeringsaanvragen van mannen tussen de 20 en de 30 weigeren. Er moet altijd worden gecontroleerd of de algemene aanname ook van toepassing is op de specifieke aanvrager.


Dit recht (of eigenlijk plicht van de verantwoordelijke) is alleen van toepassing als het gaat om belangrijke besluiten. Bij onbelangrijke handelingen - zoals het aanbieden van advertenties op basis van profielen - geldt deze plicht niet.


Ook mag geautomatiseerde besluitvorming bij belangrijke besluiten als dit berust op een expliciete wettelijke bepaling of als het datasubject daar zelf om heeft gevraagd of mee akkoord is gegaan.


Voor geautomatiseerde besluitvorming op basis van bijzondere persoonsgegevens gelden extra strenge voorwaarden.


Lees verder:


Artikel 22 AVG (verbod geautomatiseerde besluitvorming)



10. Klachtrecht


Het individu heeft het recht om een klacht in te dienen over een verantwoordelijke bij de Autoriteit Persoonsgegevens.


Het individu mag ook de verantwoordelijke aansprakelijk stellen voor schade bij de rechter.


Als de Autoriteit Persoonsgegevens een beslissing neemt die het datasubject onwelgevallig is - het datasubject meent bijvoorbeeld dat het gerechtvaardigd belang van de verantwoordelijke niet boven zijn eigen belang uitgaat en doet een beroep op zijn recht op bezwaar, maar de AP beslist in zijn nadeel - dan mag het datasubject ook dat besluit aanvechten bij de rechter.


Dat geldt overigens ook voor de verantwoordelijke - ook als die zich niet kan vinden in een besluit van de AP kan die naar de rechter stappen.


Het datasubject mag in bijzondere gevallen worden vertegenwoordigd in de uitoefening van zijn rechten onder artikel 77, 78 en 79. Dit wordt geregeld in de Uitvoeringswet.


Lees verder:


Artikel 77 AVG (klachtrecht datasubject bij toezichthoudende autoriteit)

Artikel 78 (mogelijkheid beslissing van de toezichthoudende autoriteit aan te vechten voor de rechter)

Artikel 79 (het datasubject mag ook een klacht indienen bij de rechter tegen een verantwoordelijke of verwerker)

Artikel 80 (vertegenwoordiging datasubject)

Artikel 81 (als er over dezelfde aangelegenheid een klacht is ingediend in een andere lidstaat kan de rechter de procedure schorsen)

Artikel 82 AVG (het datasubject heeft recht op een vergoeding van de geleden schade als gevolg van een schending van de AVG)

Achtergrondinformatie: Heldere communicatie


De communicatie met het datasubject moet goed en helder verlopen. De informatie die aan het datasubject wordt verschaft moet helder en begrijpelijk zijn - als een individu een vraag of klacht heeft mag er mag dus niet worden geantwoord in juridisch of technisch jargon.


Als een kind één van zijn rechten inroept moet daar in de communicatie en het taalgebruik rekening mee worden gehouden.


Communicatie geschiedt in principe schriftelijk en bij voorkeur digitaal. Waar mogelijk wordt de digitale infrastructuur zo ingericht dat het datasubject direct toegang heeft tot de over hem verwerkte gegevens, zodat hij kan zien waarom, door wie en hoe die gegevens worden verwerkt en zodat hij eventuele fouten zelf kan corrigeren.


Een reactie op verzoeken en klachten van een individu moet binnen een redelijke termijn plaatsvinden. Een maand is het uitgangspunt.


Verzoeken mogen worden geweigerd als:


1. Ze niet kloppen - bijvoorbeeld, iemand zegt dat gegevens moeten worden veranderd omdat ze niet up to date zijn, maar de verantwoordelijke is er van overtuigd dat ze wel kloppen. Als er geen overeenstemming kan worden bereikt is het uiteindelijk aan de Autoriteit Persoonsgegevens of de rechter om hier een oordeel over te vellen.

2. De identiteit van het datasubject kan niet worden vastgesteld. Bijvoorbeeld, er is iemand die toegang wil tot het medisch dossier van meneer De Wit, maar de zorginstelling kan niet achterhalen of degene die dat verzoek doet meneer De Wit zelf is. De verantwoordelijke mag natuurlijk geen gegevens over personen meegeven aan derden.

3. Het verzoek is duidelijk ongegrond. Dan mag de verantwoordelijke ervoor kiezen om geen gehoor te geven aan het verzoek of kosten in rekening te brengen. Bijvoorbeeld een persoon mailt de belastingdienst dat zij geen grondslag heeft om belastinggegevens over de persoon in kwestie te verwerken.

4. Het verzoek is buitensporig, met name door het repetitieve karakter. Bijvoorbeeld, iemand wil om het uur toegang tot het dossier of dient iedere dag een verzoek in dat telkens wordt afgewezen.


Verder lezen:


Artikel 12 AVG (communicatie).