rechten betrokkenen rights data subjectsDe nieuwe privacy wetgeving, de Algemene Verordening Gegevensbescherming(AVG) of General Data Protection Regulation (GDPR), wordt sinds 25 mei dit jaar gehandhaafd.

Een van de belangrijkste wijzigingen ten opzichte van de vorige wet, Wet Bescherming persoonsgegevens, is dat de rechten van betrokkene, natuurlijke personen, kortom iedereen die leeft, beter worden beschermd en er een laagdrempelige mogelijkheid bestaat om je rechten te doen gelden.

De rechten van natuurlijke personen of betrokkenen:

1.Recht op transparante communicatie en informatie omtrent gebruik van je persoonsgegevens
2.Recht op inzage van je persoonsgegevens
3.Recht op rectificatie van je persoonsgegevens
4.Recht om vergeten te worden, wissen van je persoonsgegevens
5.Recht op beperking van gebruik van je persoonsgegevens
6.Recht op bezwaar tegen gebruik van je persoonsgegevens
7.Recht op portabiliteit, hergebruik, van je persoonsgegevens
8.Recht dat je persoonsgegevens geen onderdeel zijn van automatische besluitvorming cq. profilering.

De AVG/GDPR verzoeken :

De nieuw AVG kent de volgende stappen om je rechten als betrokkene te kunnen doen gelden:
1.Indienen van het verzoek door Betrokkene(de natuurlijke persoon)
2.Antwoord op het verzoek door het bedrijf of de organisatie zonder vertraging doch uiterlijk binnen 30 dagen na het ontvangen verzoek.
3.Uiterlijk binnen 3 maanden na het ontvangen verzoek , het verzoek volledig te hebben afgehandeld. Dit kan inwilligen van het verzoek betekenen of afwijzing met argumenten waarom.
4.Er zijn geen kosten aan het verzoek verbonden behalve in geval van buitensporige kosten en een herhalend karakter van het verzoek.
5.Klachten bij de Autoriteit Persoonsgegevens over lopende verzoeken.

Op de InformationSecure.nl website komen voorbeeldbrieven van verzoeken te staan welke je kunt downloaden voor eigen gebruik. InformationSecure.nl kan je ook tegen een redelijke vergoeding helpen een verzoek in te dienen. Heb je vragen hierover neem gerust contact op op 0637324142.

Gedetailleerde Uitleg Verzoeken Indienen

1.Indienen van het verzoek

Ieder bedrijf of organisatie dat moet voldoen aan de AVG dient contactgegevens voor het doen van deze verzoeken te hebben vermeldt. Als je als betrokkene een verzoek indient dan zijn er verschillende punten om mee rekening te houden:

a)Stuur een mail met je verzoek aan het email adres van het bedrijf of de organisatie wat moet worden gebruikt met leesbevestiging zodat je weet dat je mail met jouw verzoek wordt gelezen.

b)Stuur zo nodig een papieren verzoek per aangetekende post zodat ook dan is bevestigd dat dit verzoek is ontvangen.

c)Verzoek om expliciete bevestiging van ontvangst is nog beter.

d)Leg de datum van bevestiging vast. Dit is de startdatum van het Verzoek.

e)Om het verzoek rechtsgeldig te maken moet je je kunnen legitimeren. Stuur daarom een kopie van jouw paspoort of jouw rijbewijs mee samen met andere gegevens zoals: welke afdeling je hebt gewerkt, gesolliciteerd, personeelsnummer. Als klant of ex klant jouw klant nummer, contractnummer en welke diensten je afnam. Let op! Deze gegevens, voor zover het ex werknemers of ex klanten betreft, moeten na het verzoek worden verwijderd en hiervan moet een bewijs worden geleverd. Van bestaande klanten, leden, werknemers moeten de paspoortgegevens, rijbewijs gegevens worden verwijderd voor zover deze niet bekend waren of al eerder gegeven in verband met de bestaande relatie.

f)Het verzoek zelf: dit mogen verschillende verzoeken in een keer zijn. Dus bijvoorbeeld inzage en rectificatie, inzage en verwijdering, of alleen verwijdering of alleen inzage of elk ander verzoek waar je recht op hebt. Omschrijf het verzoek kort en bondig.

g)Belangrijk bij het indienen van een verzoek is dat alles zoveel mogelijk wordt gedocumenteerd en geregistreerd. Zorg dat je geen telefonische communicatie pleegt voor zover deze niet kunnen worden opgenomen. Op deze wijze voorkom je dat de andere partij zegt van niets te weten of nooit wat te hebben gezien. Vastleggen, vastleggen en vastleggen is het devies.

h)Voor voorbeeld verzoeken zie de tools pagina op informationsecure.nl.

2.Reactie op het verzoek

a)Het bedrijf of de organisatie dient binnen 30 dagen of zo veel eerder als mogelijk te reageren op je verzoek.

b)Het kan zijn dat men meteen voldoet aan je verzoek met je persoonsgegevens doet wat je hebt aangegeven in je verzoek. Bekijk de reactie en check of dit voldoet aan je verzoek. Zo niet dan direct reageren naar bedrijf of de organisatie. Leg dit allemaal vast. Zie ook paragraaf 3.

c)Het bedrijf kan niet binnen 30 dagen voldoen aan je verzoek. Het bedrijf of de organisatie moet dan aangeven wat hiervan de reden is en dat ze wel zullen voldoen aan het verzoek. Men krijgt hiervoor van de AVG/GDPR nog 2 maanden extra om te kunnen voldoen. Leg deze communicatie vast.  Zie ook paragraaf 3.

d)Hou zelf de tijd in de gaten wanneer het bedrijf of de organisatie reageert op je verzoek. Indien het bedrijf niet binnen 30 dagen reageert dan kunt je een klacht over het bedrijf inzake je verzoek indienen bij de Autoriteit Persoonsgegevens. Zie ook paragraaf 5. Klachten bij de Autoriteit Persoonsgegevens indienen.

e)Stuur een reminder van het verzoek naar het bedrijf of de organisatie wanneer deze niet binnen 30 dagen heeft gereageerd en geef aan dat je genoodzaakt bent over het niet beantwoorden verzoek een klacht in te dienen bij de Autoriteit Persoonsgegevens. Geef het bedrijf na 30 dagen nog 1 keer een kans om te reageren binnen een week na verstrijken van de 30 dagen termijn zodat het duidelijk is dat er geen reactie komt.

f)De taal waarin een reactie op jouw verzoek moet worden gegeven moet eenvoudig taalgebruik zijn wat jij kunt begrijpen en mag in geen enkel geval juridisch of ander moeilijk taalgebruik bevatten. Is dat wel zo dan dien je zo snel mogelijk terug te koppelen dat je deze reactie niet hebt begrepen en het graag in begrijpelijk taalgebruik wil hebben. Indien het bedrijf zich niet conformeert aan jouw verzoek om eenvoudig taalgebruik dan moet je dit vastleggen. Dit kan onderdeel van een klacht worden.

3. Verzoek af te handelen binnen 3 maanden

a)Het bedrijf of de organisatie heeft aangegeven binnen 30 dagen na je verzoek dat ze deze in behandeling nemen of het verzoek niet binnen 30 dagen te kunnen afhandelen. Men heeft in dit laatste geval nog 2 maanden om wel te voldoen aan je verzoek.

b)Een verzoek dient volgens de AVG uiterlijk binnen 3 maanden(30 dagen + 2 maanden vanaf bevestiging verzoek) te zijn voldaan of zo veel eerder als mogelijk zonder vertraging.

c)Je kunt tussentijds wel communiceren en vragen hoe het met je verzoek staat. Leg deze tussentijdse communicatie vast. Gebruik bij voorkeur email hiervoor. Bel desnoods na of men nog reageert op de email. Leg dit allemaal vast.

d)Indien het bedrijf of de organisatie na 3 maanden van indienen van een legitiem verzoek nog geen reactie heeft gegeven dan mag je een klacht indienen bij de Autoriteit Persoonsgegevens. Dit staat los van het punt dat het bedrijf een eerste reactie binnen 30 dagen heeft gegeven om het verzoek in behandeling te gaan nemen.

e)Om de 3 maanden grens duidelijk te hebben is het verstandig om nog 1 reminder na het verstrijken van de 3 maanden aan het bedrijf te sturen waarin om een reactie binnen een week wordt gevraagd waarbij je aangeeft in geval van uitblijven van een reactie een klacht in te dienen over het openstaande verzoek bij de Autoriteit Persoonsgegevens.

f)Indien het bedrijf of de organisatie binnen 3 maanden een reactie geeft dan dient ook deze reactie weer, net als onder punt 2 hiervoor, in begrijpelijk taalgebruik te worden gegeven. Indien dit niet gebeurd dan moet je dit vastleggen en om een nieuwe reactie in begrijpelijk taalgebruik vragen.

g)Bij ontvangst van de definitieve reactie op het verzoek dien je nauwkeurig te controleren of hiermee aan het verzoek wordt voldaan. Indien dit niet het geval is dan dien je hierover te communiceren met het bedrijf of de organisatie. Gaat men niet akkoord en denk je dat hier niet wordt voldaan aan jouw verzoek dan staat het je vrij om een klacht hierover bij Autoriteit Persoonsgegevens in te dienen.

h)Het bedrijf of de organisatie kan het verzoek inwilligen of afwijzen.

i)Bij het inwilligen van het verzoek dient het bedrijf of de organisatie duidelijke informatie te verschaffen welke begrijpelijk is. Zo nodig zal er uitleg moeten worden gegeven aan betrokkene.

j)Er moet een duidelijk en aantoonbaar bewijs worden geleverd voor het inwilligen van het verzoek. Dit betekent onder meer dat bij een verzoek om vernietiging van persoonsgegevens er bewijsvoering moet zijn in de vorm van screenshots, logfiles etc. Waaruit vernietigen overduidelijk te constateren is.

k)Het bedrijf of de organisatie wijst het verzoek af. Dit kan alleen om de volgende redenen:

i.Een lopend gerechtelijk onderzoek naar betrokkene: indien er een rechtszaak loopt waarin betrokkene partij is dan kan niet aan een verzoek worden voldaan.

ii.Contractuele verplichtingen:

iii.Inbreuk op andermans rechten: om aan verzoek te voldoen zullen ook andermans persoonsgegevens worden vrijgegeven. Dit is niet mogelijk.

iv.Nationale veiligheid: wanneer de nationale veiligheid in het geding is. Terrorisme.

l)Ook in het geval van afwijzing heb je het recht om een klacht heirover in te dienen bij de Autoriteit Persoonsgegevens.

4.Eventuele Kosten

a)De AVG geeft aan dat een verzoek zonder kosten moet worden ingewilligd. Artikel 12.5 geeft dit aan. Echter er zijn 2 redenen wanneer er wel kosten in rekening mogen worden gebracht:

i.Buitensporige kosten die moeten worden gemaakt om aan het verzoek te voldoen waarbij het verzoek een herhaaldelijk karakter heeft.

ii.Ongefundeerde verzoeken met eveneens een herhaaldelijk karakter.

b)In beide gevallen onder a) mag het bedrijf of de organisatie redelijke kosten in rekening brengen voor de administratieve kosten voor het voldoen aan het verzoek of

c)Men mag het verzoek weigeren.

5.Klachten indienen bij de Autoriteit Persoonsgegevens

a) De Autoriteit Persoonsgegevens heeft een klachten loket indien je denkt dat jouw persoonsgegevens niet worden verwerkt zoals bedoeld in de AVG. Zie onderstaande link en volg de vragen die worden gesteld. Zorg er wel voor dat je weet over welk bedrijf of organisatie het gaat en welke persoonsgegevens het betreft.

b)Link naar Klachten meld pagina van de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/privacyklacht-indienen

c)Hoe bij in je persoonlijke documentatie wanneer je de klacht hebt ingediend en over welk verzoek het gaat.

De Nieuwe Privacy Wet AVG/GDPR: hoe haal je je recht als Betrokkene?