Bent u geen ZZP’er en heeft uw organisatie medewerkers? Dan bent u een verwerkingsverantwoordelijke. Uw organisatie verwerkt persoonsgegevens. De personen over wie deze persoonsgegevens gaan worden betrokkenen genoemd. De Algemene Verordening Gegevensbescherming (AVG) geeft betrokkenen bepaalde rechten, die voor u evenredige verplichtingen met zich meebrengen. Betrokkenen kunnen u op diverse momenten verplichten hen in het recht te voorzien. Weet u welke verplichtingen u hebt tegenover betrokkenen?
Eerder dit jaar verscheen er een serie artikelen van Audittrail over de negen rechten van betrokkenen. Volg de tag Betrokkenen Rechten om alle artikelen te lezen
Het recht op informatie draait om het volledig op de hoogte stellen van betrokkenen over uw beleid op het gebied van privacy en de verwerking van persoonsgegevens. Welke gegevens verwerkt u? En met wie deelt u deze gegevens en waarom? Deze informatie bent u onder de AVG verplicht in duidelijke taal aan betrokkenen te verstrekken. Verzaakt u in uw informatieplicht? Of is de informatie niet makkelijk terug te vinden? Dan riskeert u, net als Google, een boete.
De AVG verplicht u om de verwerking en opslag van persoonsgegevens in kaart te brengen door middel van een verwerkingsregister. Hiermee kunt u analyseren waar gegevens worden verwerkt, binnen welke processen dit gebeurt en hoe relevant de informatie is. Wanneer u een inzageverzoek ontvangt bent u verplicht de betrokkene inzicht te geven in welke persoonsgegevens u verwerkt. Zonder een actueel verwerkingsregister is het lastig deze informatie boven water te krijgen.
Voortvloeiend uit een inzageverzoek kan het voorkomen dat een betrokkene zich beroept op het recht op rectificatie. Hierdoor bent u verplicht persoonsgegevens te corrigeren of aan te vullen wanneer deze onjuist blijken. Organisaties hebben de zelfstandige plicht om zorg te dragen voor de juistheid en actualiteit van persoonsgegevens. Afhankelijk van hoe persoonsgegevens worden opgeslagen is het in meer of mindere mate eenvoudig om informatie juist te houden en rectificatieverzoeken door te voeren. Hetzelfde geld voor een beroep op het recht om vergeten te worden, waarbij een betrokkene u verzoekt alle persoonsgegevens over die persoon te verwijderen. Wanneer uw informatiehuishouding niet op orde is, bent u niet in staat adequaat aan uw plichten te voldoen.
Het recht op dataportabiliteit verplicht u om digitaal aangeleverde persoonsgegevens in een uitwisselbaar format aan te leveren wanneer een betrokkene daarom vraagt. Betrokkenen mogen gebruik maken van het recht op bezwaar. Zij verzoeken de organisatie een bepaalde verwerking van persoonsgegevens niet uit te voeren. In het geval van direct marketing is een organisatie dan ook verplicht direct de verwerking te staken. In andere gevallen hangt dat af van de persoonlijke omstandigheden waar de betrokkene zich op beroept en zal een organisatie moeten onderzoeken of de verwerking inderdaad gestopt moet worden. Het kan ook voorkomen dat u wordt verzocht de verwerking van iemands persoonsgegevens te beperken. Er zijn vier situaties waarin betrokkenen u kunnen vragen de verwerking te beperken: allereerst, wanneer u mogelijk onjuiste gegevens verwerkt en dit nog onderzocht wordt. Wanneer u de gegevens onrechtmatig gebruikt maar de betrokkene wil dat dat gegevens nog bewaard blijven zal u de verwerking ook moeten beperken. Wanneer u de gegevens niet meer nodig heeft, maar betrokkene de gegevens wel nodig heeft voor een rechtsvordering of bij bezwaar op de verwerking, zolang daar nog niet over beslist is, zult u de verwerking ook moeten beperken.
Doet uw organisatie aan profiling? En worden er automatische beslissingen genomen op basis van profielen of Big Data analyses? Betrokkenen mogen zich onder de AVG beroepen op een menselijke blik bij automatische besluiten. Hoe zijn uw processen rondom automatische besluitvorming en bijvoorbeeld targeting van marketingactiviteiten ingericht?
Het laatste, en misschien wel een van de meest relevante, recht dat betrokkenen krijgen vanuit de AVG is het klachtenrecht. Wanneer een organisatie niet voldoet aan haar plichten of een betrokkene is het niet eens met de manier waarop er wordt omgegaan met persoonsgegevens loopt een organisatie het risico dat er een klacht wordt ingediend bij de Autoriteit Persoonsgegevens. Deze hebben al aangegeven dat er vanaf 2019 sneller zwaardere maatregelen zullen volgen naar aanleiding van een klacht. Denk hierbij aan een onderzoek of een geldboete.
Deze plichten brengen risico’s mee voor alle organisaties die persoonsgegevens verwerken (en dat zijn eigenlijk alle organisaties met werknemers). Audittrail heeft veel ervaring met het inregelen van nieuwe processen, systemen (tooling), en bewustwordingscampagnes in diverse (inter)nationale organisaties. Weten wat we voor u kunnen betekenen? Stuur een mail naar koffie@audittrail.nl of bel direct naar 071-7471717.