Burgers worden zich steeds meer bewust van hun rechten als betrokkenen voortvloeiend uit de Algemene Verordening Gegevensbescherming (AVG). Het klachtenrecht is één van de nieuwe rechten die betrokkenen dankzij de AVG hebben gekregen. In het eerste halfjaar na ingang van de AVG (25 mei 2018 – 25 november 2018) dienden dan ook bijna 10.000 mensen een privacyklacht in bij de Autoriteit Persoonsgegevens (AP). Was één van deze klachten misschien over uw organisatie?
De meeste klachten die de AP ontving hadden betrekking op zakelijke dienstverleners en de overheid. Maar, ook veel zorginstellingen voldeden niet aan hun privacyplichten. De meeste klachten gingen over de schending van privacyrechten, met name het recht op inzage en het recht op gegevenswissing. Een veelvoorkomend voorbeeld is wanneer een betrokkene zich bij een organisatie beroept op het recht op gegevenswissing, maar de organisatie eerst vraagt om een kopie van een identiteitsbewijs. Dit is namelijk niet altijd nodig. In veel gevallen de identiteit van de betrokkene ook op een minder vergaande manier kan worden vastgesteld. In dat geval heeft een betrokkene een gegronde reden om een klacht in te dienen bij de AP. Hoe stelt u de identiteit vast van personen waar u gegevens mee uitwisselt? Heeft u hier een protocol voor opgesteld?
Reactie van de AP
De AP reageerde met name met voorlichting aan organisaties en het sturen op herstelmaatregelen om zo verdere schending te voorkomen. Ook werden betrokkenen handreikingen aangeboden om zelfstandig de klacht op te lossen. Inmiddels zijn we bijna één jaar verder en heeft de AP aangegeven dat klachten in de toekomst mogelijk vaker zullen leiden tot onderzoek en sancties. Het risico dat een organisatie loopt, wanneer een klacht wordt ingediend, is dan ook sterk toegenomen.
De klacht verwerken
Wanneer de AP een klacht ontvangt heeft een groot deel van de betrokkenen nog geen contact opgenomen met de desbetreffende organisatie. De AP adviseert betrokkenen daarom eerst contact op te nemen met de organisatie die de privacyrechten schendt, voordat ze een klacht indienen bij de AP. Organisaties doen er daarom ook goed aan om de klachtenprocedure via de eigen privacy officer of FG duidelijk op de website te vermelden. Zo kunnen betrokkenen het probleem zonder tussenkomst van de AP of zonder juridische stappen proberen op te lossen. Door middel van aanvullende informatievoorziening op de website van de AP zijn betrokkenen ook beter in staat aanspraak te maken op hun rechten bij een organisatie en is het voor organisaties duidelijker waar zij aan moeten voldoen. Weet u welke rechten betrokkenen zich op kunnen beroepen? En heeft u ook een klachtenafhandelingsprocedure opgesteld?
Klachtenrisicomanagement
Hoe gaat uw organisatie om met klachten over uw verwerkingsactiviteiten? Eind 2018 heeft de AP 11 onderzoeken gestart naar schendingen van privacyrechten aan de hand van ontvangen klachten. De druk op organisaties om compliant te zijn aan de AVG en dus betrokkenen in hun recht te voorzien neemt gestaag toe. Audittrail helpt u graag met het in kaart brengen van de risico’s voor uw bedrijf. Samen stellen we een gedegen plan op om nu en in de toekomst te voldoen aan de wetgeving van de AVG.
Onze Business Developers hebben goed zicht op wat er speelt rondom privacywetgeving en komen graag bij u langs om uw vraagstukken te bespreken en een vrijblijvende oplossing voor te stellen. Nodig ze snel uit voor een kopje koffie door een mailtje te sturen naar koffie@audittrail.nl.
Bron: Audittrail