Nederlandse Autoriteit Persoonsgegevens wil niet zeggen hoeveel onderzoeken er lopen. Pas in januari eerste evaluatie AVG

Een half jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG) heeft de Autoriteit Persoonsgegevens (AP) ruim 7.000 klachten en ongeveer 10.000 telefonische vragen behandeld. Er lopen onderzoeken naar mogelijke overtredingen, maar hoeveel dat zijn wil de toezichthouder nog niet zeggen.

Online burgerrechtenorganisatie Bits of Freedom zegt in dagblad Trouw dat bedrijven nog niet altijd goed omgaan met verzoeken van mensen om inzage in de gegevens die er over hen worden bewaard.

“Een bedrijf als KPN wil bijvoorbeeld dat zo’n verzoek per post wordt gedaan, terwijl ze wel online diensten aanbieden en ook online data verzamelen. Volgens de AVG mogen er geen onnodige drempels worden opgeworpen”, zegt David Korteweg van Bits of Freedom.

Interpretatie AVG

Toch vindt Korteweg het te vroeg om dus maar te concluderen dat de privacy niet is verbeterd het afgelopen half jaar. “Veel gaat afhangen van hoe de toezichthouders handhaven en hoe de wet geïnterpreteerd gaat worden.”

In Portugal, Duitsland en Groot-Brittannie zijn ondertussen de eerste boetes opgelegd. De toezichthouders van deze landen geven aan tempo te willen maken. Ze hebben aangekondigd voor het einde van dit jaar meerdere boetes te zullen opleggen.

In verschillende landen zijn inmiddels klachten ingediend tegen grote bedrijven. Eentje die volgens Korteweg gevolgen kan hebben voor een hele branche, is die van de organisatie Privacy International tegen een aantal grote online datahandelaren.

De Nederlandse AP zegt momenteel druk bezig te zijn met het analyseren van alle klachten en tips die in Nederland binnenkwamen. Ze kijkt of bepaalde knelpunten naar voren komen, die als eerste aandacht verdienen.

De Tweede Kamer heeft ondertussen in een motie om een eerste officiële evaluatie van de privacywet gevraagd. Volgens het ministerie van justitie en veiligheid komt die Nederlandse evaluatie pas in januari 2019.

De Nederlandse AP laat in Trouw wel al doorschemeren dat de torenhoge boetes die op basis van de AVG kunnen worden opgelegd voorlopig nog niet aan de orde zijn. “
Volgens de nieuwe wet kunnen er boetes worden uitgedeeld, maar zover hoeft het niet altijd te komen, stelt een woordvoerder van de AP in de krant.

Meer actueel awareness nieuws

De hele wereld kopieert de strenge Europese privacywetgeving. Diverse internationale voorbeelden op een rij

Nederlanders hebben bij onpopulaire Europese maatregelen al snel het idee dat Nederland het braafste jongetje van de klas wil zijn. Typisch Nederland, wordt er dan meteen geroepen. Maar is dat terecht?

Er wordt in heel Europa geklaagd over de nieuwe Europese privacyregels. Niet alleen in Nederland. Europese ondernemers en deskundigen vrezen dat Europa zichzelf met deze wet buitenspel zet in de concurrentie met de rest van de wereld.

Europese bedrijven zouden het nu moeilijk hebben om op te schalen. De GDPR zou de meest domme en bureaucratische regelgeving zijn die ooit is ontwikkeld.

De GDPR zou een van de redenen zijn waarom Europa zijn voorsprong op de Amerikaanse en Aziatische bedrijven verliest. Proliferatie van persoonlijke gegevens in de cloud is onvermijdelijk, zeggen Europese tegenstanders. Het zou niet goed zijn voor Europa om dit te belemmeren.

Is alle Europese kritiek terecht? Hoe staat Nederland er voor in vergelijking met de rest van Europa? Hoe staat de EU er voor in vergelijking met de rest van de wereld?

 

De meest recente cijfers over klachten die worden ingediend bij de diverse toezichthouders die in Europa de naleving van de Europese privacywet GDPR controleren wijzen uit dat er in heel Europa een forse groei is. In de meeste landen is sprake van minimaal een verdubbeling van het aantal klachten.

Helaas heeft de Nederlandse Autoriteit Persoonsgegevens nog geen actuele cijfers gepresenteerd.

Wel is duidelijk dat met name in Duitsland, Ierland, Groot-Brittannie en Frankrijk veel kordater wordt opgetreden door de toezichthouders. Wie het internationale nieuws volgt merkt al snel dat er in die landen veel opener over diverse acties en onderzoeken wordt gecommuniceerd dan in Nederland.

Europese privacyregels worden wereldwijd gekopieerd

Ondertussen wordt wel steeds meer duidelijk dat Europa een trend heeft gezet in de hele wereld. Wereldwijd zijn landen bezig om de Europese regels te kopieren. Het onderzoeksbureau Gartner concludeert dat de impact nu al globaal zichtbaar is.

GDPR VS: Consumer Privacy Act

De Verenigde Staten creëren momenteel geïnspireerd door de GDPR nieuwe privacywetten.

De California Consumer Privacy Act van 2018 geeft Californiërs dezelfde rechten als EU-burgers – in het bijzonder het Data Subject Access Request (DSAR).

In 2020 zijn organisaties die persoonsgegevens van Amerikaanse burgers beheren of verwerken, verplicht om op verzoek informatie over een klant of werknemer te verstrekken.

Net als de GDPR, vereist de aanstaande wetgeving van Californië niet dat de betrokkenen fysiek aanwezig moeten zijn in de staat.

De Amerikaanse staat Colorado overweegt ook een eigen privacywet. Het wetsvoorstel beoogt de definitie van “persoonlijke informatie” uit te breiden en stelt wijzigingen voor met betrekking tot de timing van de melding van inbreuken.

De US Consumer Privacy Act geeft bedrijven 30 dagen de tijd om een overtreding te melden nadat deze zich heeft voorgedaan. De Europese wet geeft echter slechts een tijdspanne van 72 uur.

GDPR Verenigd Koninkrijk: Data Protection Bill

Groot Brittannie valt tot de Brexit definitief is nog onder de Europese privacywet. Maar na de afsplitsing van de EU willen de Britten de Europese privacyregels wel graag houden. Er wordt gewerkt aan een eigen wet die op sommige punten nog wel eens strenger zou kunnen zijn dan de GDPR.

De Britse Information Commissioner’s Office (ICO) heeft opgemerkt dat gegevensbescherming en privacy in het Verenigd Koninkrijk nu tot de top van het publieke bewustzijn behoren.

GDPR Argentinië: toezichthouder Dirección Nacional de Protección de Datos Personales komt met nieuwe wet

Argentinië heeft sinds 2000 de wet nr. 25.326 inzake de bescherming van persoonsgegevens. Het geboorteland van koningin Máximà wordt sinds 2003 in overeenstemming met EU-richtlijn 95/46/EG door de Europese Unie beschouwd als een veilige haven voor de uitwisseling van persoonsgegevens.

Argentinië is van plan om deze wet op de bescherming van persoonsgegevens in de loop van 2018 te vervangen door een nieuwe wet die veel overeenkomsten heeft met de GDPR.
De Argentijnse toezichthouder Dirección Nacional de Protección de Datos Personales heeft een wetsontwerp opgesteld en deze in 2017 bij het Nationaal Congres ingediend.
Argentinië wil zo zijn status als veilige haven voor Europese ondernemers en consumenten behouden.

GDPR Brazilië: net als in Europa hoge boetes

Brazilië heeft privacywetgeving die lijkt op de Europese GDPR. Buitenlandse bedrijven die data verwerken van Brazilianen moeten zich houden zijn aan de Braziliaanse wet. Bovendien bevat de wet een aantal specifieke verplichtingen of beperkingen voor buitenlandse bedrijven.

Personen behouden het eigendom en de controle over hun persoonsgegevens en zij moeten, net als in de EU, in principe voorafgaand toestemming geven voordat hun gegevens kunnen worden verwerkt of gedeeld.

Ook de “doelgebondenheid” uit de GDPR heeft zijn weg gevonden in de Braziliaanse wet: elke verwerking van gegevens moet beperkt zijn tot het specifieke doel dat aan de gebruiker wordt medegedeeld op het ogenblik dat hij of zij toestemming geeft.

De wet geeft, net als de GDPR, bijzondere bescherming aan bepaalde gegevens die als “gevoelig” zijn gedefinieerd en ook hier is de opsomming dezelfde als onder GDPR: raciale en etnische achtergrond, religie, politieke meningen en voorkeuren, gegevens over gezondheid en seksuele geaardheid en genetische of biometrische gegevens.

Aangezien de Braziliaanse wet, net als de GDPR, in bijzonder hoge boetes voorziet (in het geval van Brazilië tot 2% van de groepsomzet in het afgelopen fiscale jaar met een maximum van omgerekend 10 miljoen euro) doen buitenlandse bedrijven die in Brazilië actief (willen) zijn er verstandig aan zich tijdig te informeren en waar nodig, net als onder GDPR in Europa, de nodige voorbereidende maatregelen te nemen.

GDPR Australië: Privacy Act

De Australische Privacy Act is, net als de GDPR, gericht op consistente privacyregelgeving in het hele land en dwingt een robuust nalevingsmechanisme af. Het heeft tot doel het vrije verkeer van informatie buiten de Australische grenzen te vergemakkelijken en de eerbiediging van de persoonlijke levenssfeer te waarborgen.

De doelstellingen vloeien voort uit de Australische privacybeginselen die verwerkingsverantwoordelijken verplicht om persoonlijke informatie op een “open en transparante manier” te beheren en om aan te tonen dat alle beginselen van de wet worden nageleefd.

Ondanks belangrijke verschillen in aspecten als meldingen van inbreuken, rapportageverplichtingen of de definitie van “ernstige schade” zijn de GDPR en de Australische regelgeving inzake gegevensbescherming een stap in dezelfde richting.

GDPR Japan: oprichting Personal Information Protection Commission

Japan ken sins 30 mei 2017 een hervormde privacywet die overeenkomsten heeft met de GDPR.

Met name de oprichting van de Personal Information Protection Commission in Japan, die zich bezighoudt met de vaststelling en handhaving van privacyregelgeving, is een aanzienlijke verbetering van het Japanse systeem van privacywetgeving.

GDPR Mexico: Federal Data Protection Law

Mexico’s “federale wet op de bescherming van persoonsgegevens die door particuliere partijen wordt toegepast” is bijna niet te onderscheiden van zijn Europese tegenhanger.

Mexico eist nu van de verwerkingsverantwoordelijken dat zij proactief aantonen dat zij de wetgeving inzake gegevensbescherming naleven. Mexico beschikt over procedures voor het meten van en reageren op nieuwe technologieën die de gebruikers aan risico’s blootstellen. Net als de EU eist Mexico ook dat de voor de verwerking verantwoordelijken technische en organisatorische maatregelen nemen en implementeren om persoonsgegevens te beschermen.

GDPR Canada: Personal Information Protection and Electronic Documents Act

Niet iedereen haast zich om een GDPR-lookalike te creëren. Canada houdt zich aan de normen van de Canadese Personal Information Protection and Electronic Documents Act.

Toch moeten Canadese bedrijven die gegevens van EU-burgers verwerken, zich aan de GDPR houden. De reden hiervoor is dat de Europese wetgeving, in tegenstelling tot de Canadese lokale wetgeving, de persoonsgegevens van EU-burgers zowel binnen als buiten de grenzen van de Unie beschermt.

Verantwoordingsplicht, toestemming, rapportage

De GDPR verandert de manier waarop wereldwijd zaken worden gedaan.

In landen die nog geen GDPR replica’s hebben ontwikkeld hebben bedrijven die gegevens van EU-burgers verwerken geen andere keuze dan toch te voldoen aan de EU-normen voor toestemming, gegevensportabiliteit, recht op uitwissing van gegevens en datalekprocedures.

Meer actueel awareness nieuws

AVG Recht op inzage persoonsgegevens. Handleiding waarmee u een hoge boete zoals Theodoor Gilissen kunt voorkomen

Vermogensbeheerder Theodoor Gilissen moest de Autoriteit Persoonsgegevens (AP) 48.000 Euro boete betalen omdat het bedrijf weigerde slechts een van zijn klanten inzicht te geven in zijn persoonsgegevens. Deze klant diende een klacht in. Door de informatie niet te delen overtrad de private bank privacyregelgeving.

De hoge boete is een wake-up call voor alle organisaties die nog geen privacybeleid voor de Algemene Verordening Gegevensbescherming (AVG) hebben ontwikkeld. Iedereen die dacht dat in het gedoogland Nederland het wel mee zou vallen met de boetes is nu gewaarschuwd.

De Autoriteit Persoonsgegevens heeft gedetailleerd onderbouwd waarom Theodoor Gilissen de hoge boete kreeg.

 

Privacyverklaring en cookiebanner

Veel bedrijven denken dat ze aan de AVG voldoen als zij hun website maar op orde hebben. Ze hebben snel een privacyverklaring gekopieerd van een ander bedrijf en soms een cookiebanner geplaatst. En dat was het dan.

De boete die vermogensbeheerder Theodoor Gilissen kreeg maakt duidelijk dat er toch wel iets meer moet gebeuren. En dat laconieke reacties duur kunnen uitpakken.

Hoe zit het eigenlijk met het recht op inzage binnen de AVG?

 

Wat moeten organisaties doen om te voorkomen dat zij net zo’n hoge boete als Theodoor Gilissen krijgen?

Dat leggen we in dit artikel uit.

De Algemene verordening gegevensbescherming geeft mensen meer zeggenschap over hun persoonsgegevens. Ze hebben het recht om te vragen welke gegevens een organisatie van hen heeft. Ze mogen ook vragen deze gegevens in te zien. In de AVG (artikel 15) staat dit recht beschreven als ‘recht op inzage’.

  • Personen hebben recht op toegang tot hun persoonsgegevens.
  • Particulieren kunnen een verzoek om toegang tot een onderwerp mondeling of schriftelijk indienen.
  • Een organisatie heeft een maand de tijd om op een verzoek te reageren.
  • Er mogen in de meeste omstandigheden geen kosten in rekening worden gebracht voor het afhandelen van een verzoek.

Laten we eerst eens kijken hoe ver uw organisatie is. Hoe staat het met de voorbereiding van uw organisatie op verzoeken die mensen in kunnen dienen op basis van het recht op inzage?

Een checklist: hoeveel vinkjes kunt u zetten?

☐ Wij weten hoe we een verzoek om inzage in persoonsgegevens kunnen herkennen en begrijpen wanneer het toegangsrecht van toepassing is.

☐ Wij hebben een beleid voor het registreren van mondelinge verzoeken om inzage die wij ontvangen.

☐ Wij begrijpen wanneer wij een verzoek om inzage kunnen weigeren en zijn ons bewust van de informatie die wij aan individuen moeten verstrekken wanneer wij dit doen.

☐ Wij begrijpen de aard van de aanvullende informatie die wij moeten verstrekken naar aanleiding van een verzoek om inzage van persoonsgegevens.

☐ We beschikken over processen om ervoor te zorgen dat we zonder onnodige vertraging en binnen een maand na ontvangst reageren op een verzoek om toegang tot een verzoek om inzage van persoonsgegevens.

☐ Wij zijn ons bewust van de omstandigheden waarin wij de termijn voor het beantwoorden van een verzoek om inzage van persoonsgegevens kunnen verlengen.

☐ We begrijpen dat er bijzondere nadruk wordt gelegd op het gebruik van duidelijke en duidelijke taal als we informatie bekendmaken aan een kind.

☐ We begrijpen wat we in overweging moeten nemen als een verzoek informatie over anderen bevat.

Wat is het recht op inzage?

Bovenstaande checklist roept bij organisaties die zich nog niet in de AVG verdiept hebben ongetwijfeld vragen op. Vele vragen waar we in dit artikel op in zullen gaan.

  • Wat is het recht op inzage?
  • Waar heeft een persoon recht op?
  • Hoe herkennen we een verzoek om inzage?
  • Moeten we een speciaal formulier op onze site plaatsen waarmee mensen om inzage van hun persoonsgegevens kunnen vragen?
  • Hoe moeten we de persoonsgegevens verstrekken?
  • Moeten we de inhoud van de informatie die we naar het individu sturen ook uitleggen?
  • Kunnen we kosten in rekening brengen
  • Hoe lang moeten we hieraan voldoen
  • Kunnen we de antwoordtermijn op een verzoek om inzage van persoonsgegevens verlengen?
  • Mogen we een individu om ID vragen
  • Hoe zit het met verzoeken om grote hoeveelheden persoonsgegevens?
  • Hoe zit het met verzoeken die namens anderen worden gedaan?
  • Hoe zit het met verzoeken om informatie over kinderen?
  • Wat moeten we doen als de gegevens ook informatie over anderen bevatten?
  • Als we externe verwerkers gebruiken, betekent dit dan dat ze te maken zouden kunnen krijgen met alle verzoeken om inzage tot een onderwerp dat ons aangaat?
  • Kunnen we weigeren een verzoek in te willigen?
  • Wat moeten we doen als we een verzoek weigeren in te willigen?
  • Kan ik van een persoon verlangen dat hij of zij een verzoek om toegang tot een onderwerp indient?
  • Wat is het recht op toegang?

Het recht op inzage geeft personen het recht een kopie van hun persoonsgegevens en andere aanvullende informatie te verkrijgen. Het helpt mensen om te begrijpen hoe en waarom u hun gegevens gebruikt en bij controle of u het wettig doet.

Waar heeft een persoon recht op?

Personen hebben het recht om van u het volgende te verkrijgen:

  • de bevestiging dat u hun persoonsgegevens verwerkt
  • een kopie van hun persoonsgegevens
  • andere aanvullende informatie – dit komt grotendeels overeen met de informatie die u in een privacyverklaring moet verstrekken

Persoonlijke gegevens andere mensen

Iemand heeft alleen recht op zijn eigen persoonlijke gegevens, en niet op informatie met betrekking tot andere mensen (tenzij de informatie ook over hen gaat of zij namens iemand handelen).

Daarom is het belangrijk dat u vaststelt of de gevraagde informatie onder de definitie van persoonsgegevens valt. U moet rekening houden met:

  • de doeleinden van de verwerking
  • de betrokken categorieën persoonsgegevens
  • de ontvangers of categorieën ontvangers aan wie de persoonsgegevens worden verstrekt
  • de bewaartermijn voor de persoonsgegevens of, indien dit niet mogelijk is, de criteria aan de hand waarvan wordt bepaald hoe lang de gegevens bewaard worden
  • het recht om te verzoeken om rectificatie, uitwissing of beperking of om bezwaar te maken tegen een dergelijke verwerking
  • het recht om een klacht in te dienen bij het Autoriteit Persoonsgegevens of een andere toezichthoudende autoriteit
  • informatie over de bron van de gegevens, indien deze niet rechtstreeks van de betrokkene is verkregen
  • het bestaan van geautomatiseerde besluitvorming (met inbegrip van profilering)
  • de waarborgen die de organisatie biedt wanneer persoonsgegevens doorgegeven worden aan een derde land of een internationale organisatie

Het kan zijn dat veel van deze informatie al in de privacyverklaring op de website staat. Dat zou volgens de AVG ook het geval moeten zijn.

  • Hoe herkennen we een verzoek om inzage?

De AVG geeft niet aan hoe een geldig verzoek moet worden ingediend. Daarom kan een persoon een verzoek zowel mondeling of schriftelijk indienen. En een verzoek kan binnen iedere afdeling of bij iedere medewerker in de organisatie binnenkomen. Ook via social media.

Een organisatie mag indieners niet verplichten verzoeken in te dienen bij een specifieke persoon of contactpersoon. Hoe overzichtelijk en praktisch dat ook zou zijn.

Een verzoek hoeft niet de zinsnede “verzoek om toegang voor de betrokkene” of artikel 15 van de AVG te bevatten, zolang maar duidelijk is dat de betrokkene om zijn eigen persoonsgegevens vraagt.

Dit is een uitdaging bij veel organisaties, omdat elke medewerker een geldig verzoek kan ontvangen. Hoe zorgt u er dan voor dat dit verzoek ook meteen wordt doorgegeven naar de juiste medewerker en dat die dat ook binnen de wettelijke termijn van 1 maand kan afhandelen?

Zeker grotere bedrijven zullen hier beleid en afspraken met hun personeel over moeten maken.

Organisaties hebben de wettelijke verantwoordelijkheid om vast te stellen dat een persoon een verzoek heeft ingediend en dit verzoek dienovereenkomstig te behandelen.

Daarom is het voor organisaties ook belangrijk om privacybeleid te ontwikkelen en al het personeel awareness trainingen te laten geven.

Het is verstandig om een interne of externe privacy manager aan te stellen die hiervoor verantwoordelijk wordt. PrivacyZone kan daarbij helpen.

Het is van groot belang om in kaart te brengen welke medewerkers regelmatig in contact komen met personen en dus moeten weten hoe ze een verzoek om inzage kunnen herkennen en hoe ze daarmee om moeten gaan.

Daarnaast is het verstandig om beleid te hebben voor het vastleggen van de details van de verzoeken die u ontvangt, met name die welke telefonisch of persoonlijk worden gedaan.

U kunt dan bij de aanvrager nagaan of u hun verzoek hebt begrepen, omdat dit latere geschillen over hoe u het verzoek hebt geïnterpreteerd, kan helpen voorkomen.

We raden ook aan een logboek bij te houden van mondelinge verzoeken.

  • Moeten we een speciaal formulier op onze site plaatsen waarmee mensen om inzage van hun persoonsgegevens kunnen vragen?

Standaardformulieren kunnen het zowel voor de organisatie als voor de aanvrager gemakkelijker maken.

Voor een organisatie is het eenvoudiger om een verzoek om inzage herkennen. En voor de aanvrager om alle gegevens door te geven die u nodig bent om de gewenste informatie binnen de organisatie te vinden.

De AVG raadt organisaties aan “te voorzien in middelen om verzoeken elektronisch in te dienen, met name wanneer persoonsgegevens langs elektronische weg worden verwerkt”.

Met een standaardformulier waarmee het recht op inzage kan worden uitgeoefend komt u dus tegemoet aan de AVG.

Echter, zelfs als u over een formulier beschikt, dient u er rekening mee te houden dat een verzoek om toegang tot een onderwerp geldig is als het op enigerlei wijze wordt ingediend, zodat u nog steeds moet voldoen aan verzoeken die u ontvangt in een brief, een standaard e-mail of mondeling.

U kunt personen uitnodigen of stimuleren om een formulier te gebruiken, maar u moet wel duidelijk maken dat dit niet verplicht is en dat u dit niet mag gebruiken om de antwoordtermijn van een maand te verlengen.

 

  • Hoe moeten we de gegevens aan individuen verstrekken?

Als een persoon een verzoek elektronisch indient, moet u de informatie in een algemeen gebruikt elektronisch formaat verstrekken, tenzij de persoon anders verzoekt.

De AVG bevat een aanbeveling voor organisaties om, waar mogelijk, mensen zelf via elektronische systemen toegang te geven tot hun eigen persoonsgegevens. Mensen zouden bijvoorbeeld online kunnen inloggen in een persoonlijk overzicht. Dit geldt overigens niet alleen voor externe verzoeken, maar ook voor interne verzoeken van medewerkers.

Sommige bedrijven hebben bijvoorbeeld al een systeem waarmee medewerkers in hun eigen personeelsdossier kunnen kijken en zelf wijzigingen kunnen aanbrengen.

Dit zal niet voor alle organisaties geschikt zijn, maar er zijn enkele sectoren waar dit goed zou kunnen werken.

Het verlenen van toegang op afstand mag echter geen negatieve gevolgen hebben voor de rechten en vrijheden van anderen – met inbegrip van handelsgeheimen of intellectuele eigendom.

  • We hebben een verzoek om inzage ontvangen, maar moeten de gegevens aanpassen voordat we het antwoord kunnen versturen. Mogen we de “oude” versie versturen?

 

Wij zijn van mening dat een verzoek om toegang tot een onderwerp betrekking heeft op de gegevens die werden bewaard op het moment dat het verzoek werd ontvangen.

Echter, in veel gevallen kan routinematig gebruik van de gegevens leiden tot het wijzigen of zelfs verwijderen van de gegevens tijdens de behandeling van het verzoek.

Het zou dus redelijk zijn dat u informatie verstrekt waarover u beschikt wanneer u een antwoord verstuurt, zelfs als dit verschilt van de informatie waarover u beschikte toen u het verzoek ontving.

Maar het is niet acceptabel om de gegevens aan te passen of te verwijderen als u dat anders niet zou hebben gedaan.

Het is ook strafbaar om wijzigingen aan te brengen met de bedoeling openbaarmaking ervan te voorkomen.

  • Moeten we de inhoud van de informatie die we naar het individu sturen uitleggen?

De AVG vereist dat de informatie die u aan een individu verstrekt, beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk is, in duidelijke en eenvoudige bewoordingen. Dit is met name van belang wanneer de informatie tot een kind is gericht.

Op het meest basale niveau betekent dit dat de aanvullende informatie die u in antwoord op een verzoek verstrekt begrijpelijk moet zijn voor de gemiddelde persoon (of het gemiddelde kind).

Voorbeeld 1

Een persoon vraagt om zijn persoonlijke gegevens. Bij het voorbereiden van de reactie merkt u dat veel ervan gecodeerd is. Bijvoorbeeld, het bijwonen van een bepaalde trainingssessie wordt gelogd als “A”, terwijl het niet bijwonen van een gelijkaardig evenement wordt gelogd als “M”. Bovendien bestaat een deel van de informatie uit moeilijk leesbare handgeschreven notities.

Zonder toegang tot uw sleutel of index om deze informatie uit te leggen, zou het voor iedereen buiten uw organisatie onmogelijk zijn om deze te begrijpen.

In dit geval moet u de betekenis van de gecodeerde informatie uitleggen. Hoewel dit een goede gewoonte is, hoeft u de slecht geschreven aantekeningen niet te ontcijferen, aangezien de GDPR niet vereist dat u informatie leesbaar maakt.

Voorbeeld 2

U krijgt een verzoek voor toegang tot een onderwerp van iemand die vrij slecht Nederlands of Engels spreekt. U stuurt een antwoord en zij vragen u om de informatie die u hen heeft gestuurd te vertalen. U bent niet verplicht om dit te doen, zelfs niet als de persoon die het ontvangt niet alles kan begrijpen omdat het kan worden begrepen door de gemiddelde persoon. Het is echter een goede gewoonte om individuen te helpen de informatie die u over hen bewaart te begrijpen.

  • Mogen we kosten in rekening brengen?

In de meeste gevallen kunt u geen kosten in rekening brengen om te voldoen aan een verzoek om toegang tot een onderwerp.

Zoals hierboven echter al is opgemerkt, kunt u alleen bij een kennelijk ongegrond of overdreven verzoek een “redelijke vergoeding” in rekening brengen voor de administratieve kosten om aan het verzoek te voldoen.

U kunt ook een redelijke vergoeding in rekening brengen als een individu na een verzoek meer kopieën van zijn gegevens aanvraagt.

U moet de vergoeding baseren op de administratieve kosten van het verstrekken van meer kopieën.

  • Binnen welke termijn moeten we  aan een verzoek om inzage voldoen?

U moet zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst reageren op het verzoek om toegang tot het onderwerp.

U moet de termijn berekenen vanaf de dag nadat u het verzoek hebt ontvangen (of de dag erna nu een werkdag is of niet) tot de overeenkomstige kalenderdatum in de volgende maand.

Voorbeeld 3

Een organisatie ontvangt een verzoek op 3 september. De termijn gaat in op de volgende dag (4 september). Dit geeft de organisatie tot 4 oktober de tijd om aan het verzoek te voldoen.

Als dit niet mogelijk is omdat de volgende maand korter is (en er is geen overeenkomstige kalenderdatum), is de datum voor antwoord de laatste dag van de volgende maand.

Als de overeenkomstige datum in een weekend of op een feestdag valt, hebt u tot de volgende werkdag de tijd om te reageren.

Dit betekent dat het exacte aantal dagen dat u aan een verzoek moet voldoen varieert, afhankelijk van de maand waarin het verzoek is gedaan.

Voorbeeld 4

Een organisatie ontvangt een verzoek op 30 maart. De termijn gaat in op de volgende dag (31 maart). Aangezien er geen overeenkomstige datum in april is, heeft de organisatie tot 30 april de tijd om aan de aanvraag te voldoen.

Als 30 april in een weekend valt of een feestdag is, heeft de organisatie tot het einde van de volgende werkdag de tijd om zich aan te passen.

Om praktische redenen kan het, indien een consistent aantal dagen vereist is (bv. voor operationele of systeemdoeleinden), nuttig zijn een periode van 28 dagen vast te stellen om ervoor te zorgen dat de naleving altijd binnen een kalendermaand plaatsvindt.

  • Mogen we de antwoordtermijn verlengen?

U kunt de antwoordtermijn met nog eens twee maanden verlengen als het een complex verzoek betreft of als u een aantal verzoeken van de betrokkene hebt ontvangen. U moet de betrokkene dan wel binnen een maand na ontvangst van zijn verzoek zeer goed gemotiveerd laten weten waarom de verlenging nodig is.

De Autoriteit Persoonsgegevens is van mening dat het onwaarschijnlijk is dat het redelijk is om de termijn te verlengen als:

  • de motivatie kennelijk ongegrond of buitensporig is
  • een vrijstelling van toepassing is
  • u een identiteitsbewijs verlangt voordat u het verzoek in overweging neemt
  • Mogen we om een identificatiebewijs vragen?

Als u twijfelt over de identiteit van de persoon die de aanvraag doet, kunt u om meer informatie vragen. Het is echter belangrijk dat u alleen informatie opvraagt die nodig is om te bevestigen wie ze zijn. De sleutel daartoe is evenredigheid.

U moet de persoon zo snel mogelijk laten weten dat u meer informatie van hem of haar nodig hebt om zijn of haar identiteit te bevestigen voordat u op zijn of haar verzoek reageert.

De termijn om op het verzoek te reageren begint te lopen vanaf het moment dat u de aanvullende informatie ontvangt.

  • Hoe zit het met verzoeken om grote hoeveelheden persoonsgegevens?

Als u een grote hoeveelheid informatie over een persoon verwerkt, kunt u hen om meer informatie vragen om hun verzoek te verduidelijken. U mag alleen vragen om informatie die u redelijkerwijs nodig hebt om de persoonlijke gegevens waarop het verzoek betrekking heeft te vinden.

U moet het individu zo snel mogelijk laten weten dat u meer informatie van hen nodig hebt voordat u op zijn verzoek reageert.

De termijn om op het verzoek te reageren begint te lopen vanaf het moment dat u de aanvullende informatie ontvangt.

Als iemand echter weigert om aanvullende informatie te verstrekken, moet u nog steeds proberen om aan zijn verzoek te voldoen, dat wil zeggen door het maken van redelijke zoekopdrachten naar de informatie waarop het verzoek betrekking heeft.

Hoe zit het met verzoeken die namens anderen worden gedaan?

 

De AVG belet niet dat een persoon een verzoek indient via een derde. Vaak zal dit een advocaat zijn die namens een cliënt optreedt, maar het kan ook gewoon zijn dat iemand zich prettig voelt als iemand anders voor hem of haar kan optreden.

In deze gevallen moet u ervan overtuigd zijn dat de derde die het verzoek indient gerechtigd is om namens het individu op te treden, maar het is de verantwoordelijkheid van de derde om het bewijs van deze gerechtigdheid te leveren.

Dit kan een schriftelijke volmacht zijn om het verzoek te doen of een meer algemene volmacht.

Voorbeeld 5

Een bank heeft een oudere klant die naar een bepaalde vestiging gaat om wekelijks een opname te maken van een van haar rekeningen. De laatste jaren wordt ze altijd begeleid door haar dochter die ook klant is van het filiaal.

De dochter doet namens haar moeder een verzoek om toegang voor een vertrouwenspersoon en legt uit dat haar moeder dit verzoek niet zelf kan doen omdat zij de ins en outs van gegevensbescherming niet begrijpt.

Aangezien de informatie waarover de bank beschikt meestal van financiële aard is, is zij terecht voorzichtig met het verstrekken van klantgegevens aan derden. Als de dochter een algemene volmacht zou hebben, zou de bank daar graag aan voldoen. Ze vragen de dochter of ze zo’n macht heeft, maar die heeft ze niet.

Aangezien het personeel van het bankfiliaal de dochter kent en enige kennis heeft van de relatie die zij met haar moeder heeft, zou het kunnen overwegen om aan het verzoek te voldoen door vrijwillige verstrekking van informatie. De bank is daartoe echter niet verplicht en het zou niet onredelijk zijn om een formele volmacht te eisen.

Als u denkt dat een persoon mogelijk niet begrijpt welke informatie zou worden onthuld aan een derde die namens hem een verzoek om toegang tot een onderwerp heeft ingediend, kunt u het antwoord rechtstreeks naar de persoon sturen in plaats van naar de derde.

De betrokkene kan er dan voor kiezen de informatie met de derde te delen nadat hij in de gelegenheid is gesteld deze te bekijken.

Er zijn gevallen waarin een individu niet de mentale capaciteit heeft om zijn eigen zaken te regelen.

Hoewel de AVG geen specifieke bepalingen bevat die een derde in staat stellen om namens een dergelijke persoon toegangsrechten uit te oefenen, is het redelijk aan te nemen dat een gevolmachtigde die bevoegd is om de eigendommen en zaken van een persoon te beheren, over het passende gezag zal beschikken.

Hetzelfde geldt voor een persoon die door een rechtbank is aangewezen om over dergelijke zaken te beslissen.

  • Hoe zit het met verzoeken om informatie over kinderen?

Zelfs als een kind te jong is om de implicaties van het omgangsrecht te begrijpen, is het nog steeds het recht van het kind en niet van iemand anders, zoals een ouder of voogd.

Het is dus het kind dat recht heeft op toegang tot de informatie die over hem of haar wordt bewaard, ook al worden deze rechten in het geval van jonge kinderen waarschijnlijk uitgeoefend door degenen die voor hen de ouderlijke verantwoordelijkheid dragen.

Voordat u reageert op een verzoek om toegang tot informatie over een kind, moet u overwegen of het kind volwassen genoeg is om hun rechten te begrijpen.

Als u er zeker van bent dat het kind zijn rechten begrijpt, moet u meestal rechtstreeks op het kind reageren.

U kunt de ouder echter toestaan om de rechten van het kind namens hen uit te oefenen als het kind dit toestaat of als duidelijk is dat dit in het belang van het kind is.

Van belang is dat het kind in staat is (in grote lijnen) te begrijpen wat het betekent om een verzoek om toegang tot een onderwerp in te dienen en hoe de informatie die het daardoor ontvangt te interpreteren.

Bij het overwegen van grensgevallen moet u onder andere rekening houden met:

  • de mate van rijpheid van het kind en zijn vermogen om dergelijke beslissingen te nemen
  • de aard van de persoonsgegevens
  • eventuele rechterlijke beslissingen in verband met de ouderlijke bevoegdheid of de ouderlijke verantwoordelijkheid
  • een eventuele geheimhoudingsplicht jegens het kind of de jongere
  • de eventuele gevolgen van het feit dat de personen die de ouderlijke verantwoordelijkheid dragen toegang hebben tot de informatie van het kind of de jongere. Dit is met name van belang als er beschuldigingen van misbruik of mishandeling zijn geuit
  • schade voor het kind of de jongere indien personen met ouderlijke verantwoordelijkheid geen toegang hebben tot deze informatie
  • de meningen van het kind of de jongere over de vraag of hun ouders toegang moeten hebben tot informatie over hen

 

  • Wat moeten we doen als de gegevens ook informatie over anderen bevatten?

Het beantwoorden van een verzoek om inzage in persoonsgegevens kan inhouden dat informatie wordt verstrekt die zowel betrekking heeft op de persoon die het verzoek indient als op een andere persoon.

U hoeft niet aan het verzoek te voldoen als het zou betekenen dat u informatie openbaar maakt over een andere persoon die aan de hand van die informatie kan worden geïdentificeerd, behalve als:

  • de andere persoon met de openbaarmaking heeft ingestemd
  • het redelijk is aan het verzoek te voldoen zonder de toestemming van de betrokkene

 

Om te bepalen of het redelijk is om de informatie bekend te maken, moet u rekening houden met alle relevante omstandigheden, met inbegrip van:

  • het type informatie dat u zou onthullen
  • elke geheimhoudingsplicht die u verschuldigd bent aan de andere persoon
  • alle stappen die u hebt ondernomen om toestemming te vragen aan de andere persoon
  • of de andere persoon in staat is toestemming te geven
  • elke uitdrukkelijke weigering van toestemming door de andere persoon.

 

Dus hoewel u soms in staat bent om informatie met betrekking tot een derde partij vrij te geven, moet u beslissen of het gepast is om dit in elk geval te doen.

Bij dit besluit zal een afweging moeten worden gemaakt tussen het recht op toegang van de betrokkene en de rechten van de andere persoon.

Als de andere persoon ermee instemt dat u de informatie over hen openbaar maakt, dan zou het onredelijk zijn om dit niet te doen.

Als er echter geen toestemming is, moet u beslissen of u de informatie toch openbaar wilt maken.

Voor alle duidelijkheid, u kunt niet weigeren om toegang te verlenen tot persoonlijke gegevens over een individu simpelweg omdat u die gegevens hebt verkregen van een derde partij.

De regels met betrekking tot gegevens van derden zijn alleen van toepassing op persoonsgegevens, waaronder zowel informatie over de persoon op wie het verzoek betrekking heeft als informatie over iemand anders.

  • Als we externe verwerkers gebruiken, betekent dit dan dat ze te maken zouden kunnen krijgen met alle verzoeken om inzage tot een onderwerp dat ons aangaat?

De verantwoordelijkheid voor het voldoen aan een verzoek om toegang tot een onderwerp ligt bij u als verantwoordelijke voor de verwerking. U moet ervoor zorgen dat u contractuele regelingen met verwerkers hebt getroffen om te garanderen dat verzoeken om toegang voor subjecten correct worden behandeld, ongeacht of ze naar u of naar de verwerker worden verzonden.

U kunt de termijn van een maand niet verlengen op grond van het feit dat u moet vertrouwen op een verwerker om de informatie te verstrekken die u nodig hebt om te reageren.

Zoals hierboven al is gezegd, kunt u de termijn alleen met twee maanden verlengen als het om een complex verzoek gaat of als u een aantal verzoeken van de betrokkene hebt ontvangen.

  • Kunnen we weigeren een verzoek in te willigen?

U kunt een verzoek om toegang tot een onderwerp weigeren als het kennelijk ongegrond of buitensporig is, rekening houdend met het feit of het verzoek een repetitief karakter heeft.

Als u van mening bent dat een verzoek kennelijk ongegrond of overdreven is, kunt u:

  • een “redelijke vergoeding” vragen voor de behandeling van het verzoek
  • weigeren het verzoek in behandeling te nemen

In beide gevallen moet u uw beslissing motiveren.

U dient de redelijke vergoeding te baseren op de administratieve kosten voor het inwilligen van het verzoek.

Als u besluit kosten in rekening te brengen, dient u onmiddellijk contact op te nemen met de betrokkene en hem of haar te informeren.

U hoeft niet te voldoen aan het verzoek totdat u de vergoeding hebt ontvangen.

  • Wat moeten we doen als we een verzoek weigeren in te willigen?

U moet de betrokkene zonder onnodige vertraging en binnen een maand na ontvangst van het verzoek op de hoogte brengen.

U moet de betrokkene informeren over:

  • de redenen waarom u geen actie onderneemt
  • hun recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens of een andere toezichthoudende autoriteit
  • de mogelijkheid om dit recht te doen gelden door middel van een beroep in rechte

 

U dient deze informatie ook te verstrekken als u om een redelijke vergoeding vraagt of als u aanvullende informatie nodig hebt om de persoon te identificeren.

Als u naar aanleiding van dit artikel vragen heeft of professionele ondersteuning wilt bij het ontwikkelen van privacybeleid voor uw organisatie kunt u contact opnemen met PrivacyZone: 06-31995740 of

info@privacyzone.nl

.

Meer actueel awareness nieuws

Autoriteit Persoonsgegevens onderzoekt 600 privacyklachten. 87 procent tegen bedrijven

Sinds 25 mei zijn de privacyrechten van mensen versterkt en kan iedereen een privacyklacht indienen bij de Autoriteit Persoonsgegevens (AP). Ruim 600 mensen hebben dat inmiddels gedaan.

De AP heeft nu de eerste 400 klachten geanalyseerd. Wat opvalt is dat veel mensen problemen ondervinden met het verwijderd krijgen van hun persoonsgegevens. Bijna een derde van de klachten gaat hierover.

Daarnaast klagen mensen dat zij hun gegevens niet mogen inzien en over ongewenste verstrekking van hun gegevens aan derden.

Het grootste deel van de klachten gaat over bedrijven (87%). De AP heeft alle klachten in behandeling.

Met de nieuwe Europese privacywetgeving, de Algemene verordening gegevensbescherming (AVG) hebben mensen meer en sterkere privacyrechten gekregen. En gelden voor organisaties meer verplichtingen om zorgvuldig met persoonsgegevens om te gaan.

Wat valt op?

De AP heeft de eerste 400 klachten geanalyseerd. Wat opvalt is dat mensen problemen ondervinden met een verwijderingsverzoek.

Bijna een derde van de klachten gaat hierover. Mensen willen hun gegevens ergens online verwijderd hebben, bijvoorbeeld omdat ze geen nieuwsbrieven of reclame meer willen ontvangen en krijgen dat niet voor elkaar of lopen tegen drempels op.

18% van de klachten gaat over verstrekking van gegevens aan derden, 5% over inzageverzoeken.

Het merendeel van de klachten (87%) gaat over bedrijven, de rest over overheidsinstanties.

De AP is alle klachten aan het behandelen. De toezichthouder zal twee keer per jaar rapporteren over de maner waarop de klachten behandeld zijn.

84 van de ontvangen klachten zijn grensoverschrijdend.

Een deel van deze klachten wordt doorgeleid naar een van de andere Europese privacytoezichthouders.

Iedereen heeft privacyrechten

Niet iedereen is zich ervan bewust, maar iedereen heeft privacyrechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft.

Die rechten zijn onder de AVG uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt. Die rechten kun je zelf uitoefenen, door een organisatie op deze rechten te wijzen.

Sinds 25 mei zijn die rechten versterkt: iedereen kan nu ook een privacyklacht indienen bij de AP.

Meer actueel awareness nieuws