Laatst geüpdatet op juni 26, 2023

In onze vorige blogs hebben we het onder andere gehad over de vraag of je gegevens mag verwerken en of je een DPO aan dient te stellen. We hebben het toen al zijdelings gehad over de rechten van de personen van wie je gegevens verwerkt, ook wel ‘betrokkenen’ genoemd.

De AVG gaat over privacyrechten, dus alle rechten uit deze Europese wet hebben met het recht op privacy te maken. Als je dit recht op privacy schendt, kun je hoge boetes krijgen die een gevaar kunnen vormen voor het voortbestaan van jouw onderneming!

Maar wat zijn deze rechten van betrokkenen nu eigenlijk precies? En hoe zorg je ervoor dat je het recht op privacy van deze betrokkenen niet schendt en je gewoon door kan gaan met ondernemen?

Ook interessant:

  1. Bijzondere persoonsgegevens: let op voor de extra eisen!
  2. De DPO: wat is het en wanneer moet je er één hebben?
  3. AVG Checklist: 5 To Do’s onder de nieuwe EU privacywet

Het recht op privacy: nu en straks

Onder de AVG hebben betrokkenen verschillende rechten, die uiteindelijk allemaal bedoeld zijn om het recht op privacy van deze personen te garanderen. Deze rechten gaan soms best ver. Hierdoor kan het recht op privacy soms heel diep ingrijpen in jouw onderneming.

Onder de AVG zijn er ook nieuwe privacyrechten bijgekomen, die nog verder kunnen ingrijpen in jouw onderneming dan de privacyrechten die golden onder de Wbp.

Vanwege deze nieuwe rechten en de hoge boetes die op overtreding van de AVG staan, is het van belang om goed na te denken over hoe je het recht op privacy van de betrokkenen niet schendt. Daarvoor moet je echter wel eerst weten wat deze rechten zijn. In de rest van dit blogartikelen zullen we deze privacyrechten voor je uitleggen.

Het recht op privacy (1): het recht op informatie

Onder de AVG hebben betrokkenen veel verschillende rechten die te maken hebben met hun recht op privacy. Maar hoe weet een betrokkene eigenlijk bij welke onderneming hij deze rechten kan uitoefenen? Dit regelt de nieuwe Europese wet door te bepalen dat betrokkenen een recht op informatie hebben van jou als jij hun persoonlijke gegevens verwerkt.

Als jij de persoonsgegevens van iemand krijgt, dien je de betrokkene onder andere te kunnen vertellen welke informatie jij over hem of haar hebt gekregen. Hiernaast moet je de betrokkene vertellen wat de wettelijke reden is waarom je deze informatie hebt.

Wat de wettelijke redenen voor het verwerken van gegevens ook alweer zijn, kan je in deze blog terugvinden. Verder moet je de betrokkenen kunnen vertellen met welk doel je de gegevens hebt verkregen (bijvoorbeeld voor het bezorgen van een bestelling of voor het goed bewaren van je salarisadministratie) en hoe lang je van plan bent de verzamelde persoonlijke gegevens van de betrokkene te bewaren.

Belangrijk bij dit recht op informatie is dat je een betrokkene zelf dient te informeren op het moment dat je zijn persoonsgegevens binnen krijgt.

Dit kan je, als jij persoonsgegevens verzamelt op je website, bijvoorbeeld doen via een privacy policy. Heb je die nog niet? Of is je privacy policy niet recent geüpdatete? Download dan bij ons een geheel aan de AVG aangepaste privacy policy

Het recht op privacy (2): het recht op inzage

Nadat je een betrokkene hebt geïnformeerd over welke gegevens je van hem of haar hebt, is het mogelijk dat een betrokkene wil bekijken wat deze gegevens dan precies zijn. De AVG regelt dit met het volgende recht op privacy: het recht op inzage. Dit privacyrecht geeft de betrokkene om de persoonsgegevens die jij van hem hebt in te mogen zien.

Betekent dit dan dat je iemand altijd inzage moet verlenen? Dat is niet het geval. Als iemand bijvoorbeeld een bestand wil zien waarin persoonsgegevens van zowel hem als van anderen staan, hoef je het bestand niet te delen met deze persoon als je daarmee het recht op privacy van de andere betrokkenen zou schenden.

Ook hoef je een betrokkene geen inzage te geven in zijn persoonsgegevens als je daarmee bedrijfsgeheimen over jouw onderneming prijs zou geven. Als je alle gegevens uiteindelijk hebt verzameld, dien je deze persoonsgegevens naar de betrokkene toe te sturen.

Om er zeker van te zijn dat je alle persoonsgegeven niet voor niks naar iemand toestuurt, is het belangrijk dat de betrokkene het bestand dat je naar hem toestuurt, kan openen. Je kan dit bijvoorbeeld doen door een PDF-bestand met zijn persoonsgegevens naar hem te sturen.

Download de gratis DGA gids en zie essentiële punten niet over het hoofd.

Het recht op privacy (3): het recht op rectificatie

Uit het recht op inzage volgt dat Iemand in mag zien welke gegevens je van hem of haar hebt. Maar wat geldt op het moment dat een betrokkene vindt dat er fouten zitten in de gegevens die je van hem of haar hebt?

In dat geval bepaalt de nieuwe Europese privacywet dat betrokkenen het recht hebben om aan jou te vragen de gegevens aan te passen. Dit wordt het recht op rectificatie genoemd.

Betekent dit dan dat je altijd de gegevens aan moet passen? Nee, dat is niet het geval. Nadat je een verzoek tot rectificatie hebt ontvangen, mag je controleren of de betrokkene gelijk heeft. Als je vindt dat dat niet zo is, hoef je de persoonsgegevens van de betrokkene niet aan te passen aan zijn wensen.

Je kunt de persoonsgegevens dan ongewijzigd bewaren, zonder dat je het recht op privacy van de betrokken persoon schendt. Wel dien je bij de betreffende persoon aan te geven dat je het niet eens bent met zijn verzoek en dat je zijn gegevens niet aanpast.

Ten slotte dien je ook aan te geven waarom je het niet met de betrokkene eens bent.

Het recht op privacy (4): Het recht om persoonsgegevens te laten wissen

Een betrokkene van wie jij informatie bewaart, kan vinden dat jij zijn recht op privacy schendt door zijn gegevens te verwerken. Betrokkenen hebben dan ook het recht om bezwaar te maken tegen het feit dat jij hun gegevens verwerkt.

Ze mogen dit echter alleen doen op het moment dat jij hun gegevens verwerkt om de reden dat jij hier een gerechtvaardigd belang bij hebt (zie over wanneer je een gerechtvaardigd belang hebt de uitleg hierover in deze blog).

Als jij gegevens verwerkt om een andere reden, kan een betrokkene dus geen bezwaar maken. Dat is ook logisch. Als jij bijvoorbeeld persoonsgegevens verzamelt omdat de wet je verplicht om dat te doen, zou het raar zijn als een betrokkene een bezwaar daartegen kon indienen.

Als een betrokkene geldig bezwaar maakt, dien je zijn of haar persoonlijke gegevens te wissen. Dit hoeft echter niet als jij kan laten zien dat je een heel groot belang hebt bij het verwerken van de gegevens. Het kan lastig zijn om te bepalen of dit zo is.

De hulp van de specialisten van Ligo kun je hier dan ook goed bij gebruiken! Als Ligo member heb je gelukkig recht op een (gratis) telefonisch consult met een privacyrecht specialist, waardoor jij je als member geen zorgen hoeft te maken over of je dit goed doet.

Telefonisch overleggen over jouw situatie?

Persoonsgegevens wissen in andere situaties

Stel dat iemand zijn toestemming heeft gegeven om zijn gegevens te verwerken, maar dat deze persoon later zijn toestemming weer intrekt. Moet je de gegevens die je over deze persoon hebt verzameld dan te wissen om zijn recht op privacy niet te schenden? Het antwoord hierop is ja.

Naast het recht om bezwaar te maken, zoals dat hierboven stond, zijn er namelijk nog enkele andere situaties waarin je de persoonsgegevens van een betrokkene moet wissen om te voorkomen dat je zijn recht op privacy schendt.

Deze situaties zijn:

  • Je hebt de gegevens niet meer nodig voor het doel waarvoor je ze hebt verzameld. Heb je bijvoorbeeld adresgegevens van iemand verzameld zodat je wist waar je een pakketje voor die persoon moest bezorgen? Nadat het pakketje is bezorgd, hoef je deze gegevens niet meer te bewaren. Deze gegevens moet je dan ook verwijderen.
  • Je verwerkt de persoonsgegevens terwijl dit helemaal niet mag zonder het recht op privacy te schenden. Dan mag je de persoonsgegevens sowieso niet hebben. Als je deze persoonsgegevens per ongeluk toch hebt, moet je ze dan ook wissen.
  • Je hebt geen toestemming meer om de persoonsgegevens te bewaren. Dit hebben we hierboven al beschreven: de persoon die toestemming heeft gegeven, trekt die toestemming vervolgens weer in. De persoonsgegevens die je hebt verkregen voor deze toestemming, moet je in deze situatie dan ook verwijderen.
  • Je hebt de gegevens verzameld omdat de wet bepaalde dat dit moest, maar de wet wordt gewijzigd. Om die reden hoef je de gegevens niet meer te verzamelen of te bewaren. Denk aan de gegevens die je voor de belastingdienst moet bewaren om de BTW te kunnen berekenen. Als de belastingwet in de toekomst niet langer zou bepalen dat je deze gegevens dient te bewaren, dien je deze persoonsgegevens dan ook te wissen.

Hoe ga je om met het verzoek om gegevens aan te passen of te verwijderen?

Stel dat iemand een verzoek indient om de gegevens te laten rectificeren of om de gegevens te laten verwijderen. In dat geval hoef je niet gelijk na binnenkomst van dit verzoek op het verzoek te antwoorden. Je mag hier namelijk vier weken over nadenken.

Die tijd kan je bijvoorbeeld gebruiken om te bekijken of het klopt dat iemands persoonsgegevens bij jou verkeerd stana geregistreerd. Ook, en minstens net zo belangrijk, is om de persoon die het verzoek tot aanpassing of verwijdering doet goed te identificeren, zodat je zeker weet dat deze persoon degene is die hij zegt te zijn.

Maar wat doe je gedurende die vier weken? Het is niet de bedoeling van de nieuwe privacywet dat je dan gewoon doorgaat met het verwerken van persoonsgegevens. In deze periode geldt dan ook een zogenoemde ‘beperking van de gegevensverwerking’. Dit betekent dat jouw bedrijf in deze weken even geen nieuwe gegevens meer mag verzamelen.

In deze periode mag je wel nog gewoon de persoonsgegevens ongewijzigd bewaren zonder dat je het recht op privacy van de betrokkene schendt. Als je besluit de persoonsgegevens aan te passen of te verwijderen, dien je dit besluit uiteraard ook echt uit te voeren door de gegevens aan te passen of te verwijderen.

Ten slotte is het belangrijk dat je, wat je ook besluit, aan de betrokkene laat weten wat je besluit. Het is daarom ook verplicht om een brief of een mailtje sturen, waarin je aangeeft wat je beslissing is en waarom je die beslissing hebt genomen.

Het recht op privacy (5): het recht op dataportabiliteit

Stel dat jij gegevens over iemand hebt verzameld omdat jij daar van die persoon toestemming voor hebt gekregen of omdat jij de persoonsgegevens nodig hebt om een overeenkomst met de betrokkene uit te kunnen voeren. In dat geval geldt een nieuw privacyrecht, dat in de Wet bescherming persoonsgegevens (Wbp) nog niet bestond.

Dit nieuwe privacyrecht is het recht op dataportabiliteit. Dit recht geeft een betrokkene het recht om aan jou te vragen persoonsgegevens die jij van hem of haar hebt, aan de betrokkene over te dragen. Dit kun je bijvoorbeeld doen door de betrokkene zijn gegevens te laten downloaden.

Een betrokkene mag ook aan jou vragen zijn persoonsgegevens over te dragen aan een ander bedrijf. Denk bijvoorbeeld aan de situatie dat jij een slimme hartslagmeter hebt ontwikkeld die bijhoudt wat iemands hartslag steeds is. Na een tijdje wil de betrokkene deze gegevens overdragen aan een ander bedrijf, bijvoorbeeld een bedrijf dat de betrokkene helpt met het verbeteren van zijn gezondheid.

In principe dien jij deze gegevens dan over te dragen aan dit andere bedrijf. Als dit niet kan, bijvoorbeeld omdat dit heel veel moeite kost of omdat je dit niet kan doen zonder bedrijfsgeheimen van jouw onderneming aan jouw concurrent te geven, dien je de gegevens over te dragen aan de betrokkene zelf.

het recht op privacy - internal 2

Het recht op privacy respecteren: hou overzicht!

Zoals je wel merkt, hebben betrokkenen heel veel rechten met betrekking tot hun persoonsgegevens. Je moet om deze reden veel achtergrondinformatie bewaren over de gegevens die je verwerkt. Maar hoe ga je je aan al deze rechten houden en er dan ook voor zorgen dat je het recht op privacy niet schendt? De AVG bepaalt dat je hiervoor een register moet aanleggen.

In dit register moet je onder andere opnemen van wie je gegevens verwerkt, hoe je dit doet, om welke wettelijke reden je dit doet en met wie je de gegevens deelt. Het register is om deze reden heel erg belangrijk! Het helpt je namelijk om aan de Autoriteit Persoonsgegevens te laten zien dat jij je aan de AVG houdt.

Sinds 25 mei 2018 moet je dit register aan de Autoriteit Persoonsgegevens kunnen laten zien! Het register is ook belangrijk om ervoor te kunnen zorgen dat jij het recht op privacy niet schendt. Als iemand vraagt welke informatie jij van hem of haar hebt, moet jij immers wel ergens kunnen vinden welke gegevens jij ook alweer van die betrokkene hebt.

Het is hiervoor dan ook erg belangrijk dat je een goed register voor de verwerking van persoonsgegevens hebt. Bij Ligo kunnen onze experts, met wie jij als member gratis mag bellen, je helpen met vragen over wat je precies in dit register moet opnemen, zoals de vraag welke gegevens je precies in het register dient op te nemen. Om nu alvast te kijken of je al aan de AVG voldoet, kan je ook alvast onze AVG Privacy Scan doen.

Hoe kan ik mezelf AVG-proof maken?

De AVG is een heel ingrijpende nieuwe privacywet. Als je je er niet houdt, kan je bovendien erg hoge boetes krijgen. Het is dan ook erg belangrijk dat je de strenge regels uit de AVG niet overtreedt.

Maar hoe kan je dit het best regelen?

  1. Je kan een advocaat inschakelen: het voordeel van deze optie is dat je verzekerd bent dat je AVG-proof bent, indien je de instructies van de advocaat opvolgt. Het nadeel van deze optie is dat dit honderden dan wel duizenden euro’s kan gaan kosten.
  2. Je kan zelf je onderneming AVG-proof maken: het voordeel van deze optie is dat dit geheel kosteloos kan. Verder hoef je ook niet je huis te verlaten. Het nadeel is dat je niet verzekerd bent dat wat je doet ook juridisch correct is. Bovendien  ben je waarschijnlijk ontzettend veel tijd kwijt aan het uitvogelen en doorvoeren van alle noodzakelijke aanpassingen.
  3. Je kan je bij Ligo aansluiten: bij Ligo ben je ervan verzekerd dat alle juridische documenten in de database op tijd aan de AVG zullen worden aangepast. Zo kan je bijvoorbeeld onze geüpdatete privacy policy op onze website downloaden. Hiernaast helpen we je met een AVG Privacy Scan. Verder kan je als member onbeperkt vragen indienen over de AVG bij onze specialistische advocaten. Hierdoor weet je zeker dat jij als ondernemer goed voorbereid bent en je geen problemen ondervindt bij het je houden aan het recht op privacy uit de AVG!

Happy entrepreneuring!

Telefonisch overleggen over jouw situatie?

Sander van den Berg