Print:

Rechten van betrokkenen: dit zijn de uitdagingen en best practices

De omgang met rechten van betrokkenen staat in de top zes van de grootste uitdagingen die Privacy Officers ervaren in hun dagelijkse werk. Dat blijkt uit een peiling die IIR uitvoerde tijdens de Dag van de Privacy Officer. Wat zijn de aandachtspunten en best practices?

In de maanden rond de invoering van de Algemene verordening gegevensbescherming (AVG) stroomden onze e-mailboxen vol met berichten van bedrijven die om toestemming vragen voor de verwerking van persoonsgegevens. Ook ruim een jaar later worden consumenten bij het bezoeken van websites, installeren van apps en kopen van producten nog altijd veelvuldig geconfronteerd met de vraag om toestemming te geven. Hierdoor dreigt consent fatigue op te treden, waarschuwen deskundigen.

DVPO IIR

 

Veel organisaties zijn er namelijk vanuit gegaan dat toestemming van de betrokkene de meest passende grondslag voor de verwerking van persoonsgegevens is. Dit ondanks het feit dat onder meer de Engelse Information Commissioner’s Office (ICO) heeft aangegeven dat toestemming niet altijd de meest geschikte of makkelijkste grondslag is. Het vragen van vrije, expliciete, geïnformeerde en ondubbelzinnige toestemming is verre van eenvoudig. Bovendien wordt vaak vergeten dat de betrokkene toestemming altijd weer mag intrekken (op grond van artikel 7 van de AVG). Als de verwerker zich dan niet kan beroepen op een van de andere vijf grondslagen, moet de verwerking van de persoonsgegevens van de betrokkene worden beëindigd.

Het recht om toestemming voor de verwerking van persoonsgegevens in te trekken is een van de elf rechten van betrokkenen in de AVG. Het is voor verwerkingsverantwoordelijken misschien niet eens de lastigste. Neem het recht op inzage. Heeft een betrokkene recht op inzage in logbestanden? Moet een Data Protection Officer (DPO) een overzicht bijhouden van inzageverzoeken? Hoort bij het inzagerecht ook het recht om een kopie te ontvangen van alle verwerkte persoonsgegevens? Het zijn vragen die privacyteams nogal eens hoofdbrekens opleveren.

Twee uitdagingen voor de DPO

Jean Paul van Schoonhoven IIRTijdens de Dag van de Privacy Officer vertelde Jean Paul van Schoonhoven, directeur van Legal2Practice en externe Functionaris voor de Gegevensbescherming (FG) voor diverse publieke en private organisaties, over de rol van de dpo bij de inrichting van voorzieningen en processen waarmee betrokkenen hun rechten kunnen uitoefenen.

Van Schoonhoven bespreekt twee uitdagingen bij de implementatie van de AVG-regels over de rechten van betrokkenen. Volgens de AVG (artikel 38 lid 4) kunnen betrokkenen contact opnemen met de FG over alles wat te maken heeft met de uitoefening van hun rechten. Maar dat betekent niet dat de FG de verzoeken van betrokkenen ook daadwerkelijk afhandelt, benadrukt Van Schoonhoven. Die taak ligt bij de verwerkingsverantwoordelijke en is in de praktijk vaak belegd bij een Privacy Officer of legal assistant.

Daarnaast signaleert Van Schoonhoven dat in organisaties steeds meer ongestructureerde (persoons)gegevens omgaan. Dat zijn data die niet zijn opgeslagen in reguliere databases. Denk aan e-mails, SharePoint-files, intranetberichten en gegevens uit sociale media en apps. Voor zover hierbij sprake is van gegevens die herleidbaar zijn tot een natuurlijke persoon zijn de regels uit de AVG ook van toepassing op ongestructureerde data. De rechten van betrokkenen, zoals het recht op inzage en verwijdering, strekken zich dus ook uit tot de ongestructureerde data.

Inzichten en handreikingen

Er zijn steeds meer inzichten en handreikingen die FG’s helpen om de processen rond rechten van betrokkenen in goede banen te leiden.

Praktijkinzichten over het inrichten van processen

Volgens Van Schoonhoven hebben de wettelijke regels om op verzoeken van betrokkenen te reageren steeds meer in de praktijk vorm gekregen. Zo weten we inmiddels dat het uitgangspunt dat een betrokkene op passende wijze wordt geïdentificeerd niet per definitie betekent dat de verzoeker een identiteitsbewijs, of een kopie daarvan, moet overhandigen. Er kan ook gebruik worden gemaakt van een online omgeving waarop de betrokkene inlogt. Daarnaast kan de verantwoordelijke telefonische vragen stellen om de identiteit te controleren.

Een ander praktisch vraagstuk heeft te maken met het verstrekken van informatie aan een betrokkene die om inzage vraagt. De informatieverstrekking kan schriftelijk of met andere middelen. Een mondelinge verstrekking is alleen toegestaan als de betrokkene hiermee instemt, benadrukt Van Schoonhoven. Een organisatie zal in veel gevallen verplicht zijn om een verzoeker niet alleen inzage maar ook een kopie te geven. Uit een uitspraak van de Rechtbank Arnhem valt af te leiden dat een grote hoeveelheden persoonsgegevens niet automatisch een goede reden is om een kopie te weigeren. De rechtbank oordeelde dat ook zeven ordners met persoonsgegevens als “makkelijk kopieerbaar” beschouwd kunnen worden.

Jurisprudentie

Er zijn inmiddels tientallen rechtelijke uitspraken die te maken hebben met rechten van betrokkenen, vertelt Van Schoonhoven. De jurisprudentie, die grotendeels is gebaseerd op de Wet bescherming persoonsgegevens (WBP) maar in veel gevallen ook relevant is voor de interpretatie van de AVG, leert onder andere dat het recht op inzage niet van toepassing is op persoonlijke aantekeningen van medewerkers die uitsluitend bedoeld zijn voor intern overleg en beraad. Het inzagerecht van betrokkenen is volgens de Hoge Raad ook niet snel misbruik van recht. Daarnaast hebben betrokkenen geen recht op inzage (meer) als het aannemelijk is dat een verantwoordelijke de persoonsgegevens van betrokkene niet (meer) heeft.

Bij het honoreren van een inzageverzoek wordt er in de praktijk vaak van uitgegaan dat er ook een kopie wordt verstrekt van het document waarin de persoonsgegevens zijn opgenomen. Maar dat is op grond van de jurisprudentie niet altijd noodzakelijk. 

Voorlichting van de AP

Dankzij de guidelines, onderzoeken, nieuwsberichten en campagnes van de Autoriteit Persoonsgegevens (AP) is er steeds meer praktische informatie voorhanden die handig is voor FG’s en hun collega’s. Zo deelt de toezichthouder als onderdeel van de campagne “Wat betekent de privacywet voor jou(w bedrijf)?” via Hulpbijprivacy.nl informatie over de rechten van betrokkenen die speciaal is toegesneden op MBK-bedrijven. De AP heeft hiervoor ook een model gemaakt waarmee het MKB’ers makkelijker wordt gemaakt om te voldoen aan het inzagerecht.

Lakmoesproef

Jean Paul van Schoonhoven is naar eigen zeggen een liefhebber van mensen die gebruik maken van hun AVG-rechten. “Verzoeken en klachten zijn een ideale lakmoesproef om na te gaan of de organisatie de processen goed heeft ingericht. Betrokkenen kunnen met hun vragen de vinger op de zere plek leggen. Dat doet misschien even pijn, maar het inzicht in de tekortkomingen is ook een kans om verbeteringen door te voeren.”

Alles weten over de rechten die de AVG  betrokkenen toekent? Volg dan de tweedaagse training Datamanagement, of kom naar een van de andere trainingen van IIR.

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten