Rechten van betrokkenen toepassen


Laatst was ik bij een gemeente die de inwoner een verzoek in het kader van dataportabiliteit liet indienen bij een verhuizing naar een andere gemeente, om het dossier rond de bijstandsuitkering bij de nieuwe gemeente te krijgen. Punten voor de creativiteit, maar niet helemaal waar het recht op overdraagbaarheid voor bedoeld is. In deze blog leg ik uit voor welke rechten betrokkenen een verzoek kunnen indienen, wanneer ze van toepassing zijn en hoe je daar praktisch invulling aan kunt geven.

Als er persoonsgegevens over iemand verwerkt worden dan heeft diegene door de Algemene Verordening Gegevensbescherming (AVG) meer middelen in handen gekregen om daar zelf controle over uit te voeren. De betrokkene kan voor de volgende rechten een verzoek indienen:

  1. Recht van inzage
  2. Recht op rectificatie
  3. Recht op vergetelheid (gegevenswissing)
  4. Recht op beperking van de verwerking
  5. Recht op dataportabiliteit (overdraagbaarheid gegevens)
  6. Recht van bezwaar tegen verwerking

In de praktijk hebben gemeenten het meeste te maken met inzageverzoeken, daar zal ik dan ook het langste bij stil staan. Als je de borging van de AVG goed op orde hebt, is het relatief eenvoudig om aan de rechten van betrokkenen te voldoen. Ook heeft de IBD een twee-delige handreiking die je kan helpen (deel 1 & deel 2).

Het recht van inzage (art. 15 AVG)

Elke mogelijke betrokkene mag om inzage in zijn persoonsgegevens vragen en hij hoeft dat niet te motiveren. Als diegene niet bekend is bij de organisatie heb je geluk. Dan hoef je daar alleen maar uitsluitsel over te geven en ben je snel klaar. Als de betrokkene wél bekend is kan het best een behoorlijke klus zijn om alle gegevens te verzamelen die je gratis (dus niet zoals het BKR) zal moeten terugkoppelen aan de betrokkene.

Uitzonderingen

Je hoeft niet altijd volledig mee te werken aan een inzageverzoek. Informatie in het dossier van de betrokkene kan ook gevolgen hebben voor de rechten en vrijheden van anderen en daar moet je rekening mee houden. Denk bijvoorbeeld aan ouders in een vechtscheiding met een kind in de jeugdzorg. Als ouder 1 een inzageverzoek indient voor het kind, dan kan een volledige inzage ook behoorlijke implicaties hebben voor ouder 2. Het afschermen van de gegevens over ouder 2 is dan de oplossing. In art. 23 AVG en art. 41 UAVG vind je meer uitzonderingen en beperkingen.

Wat moet je doen?

Als de betrokkene wel bekend is bij de gemeente, dan dient je reactie de volgende elementen te bevatten:

  1. Een overzicht van de persoonsgegevens die je van de betrokkene hebt;
  2. De categorieën waarin de persoonsgegevens vallen;
  3. De doelen waarvoor je de gegevens gebruikt;
  4. Aan wie je de gegevens doorgeeft. Je hoeft de ontvangers niet bij naam te noemen (mag wel), de categorieën ontvangers benoemen is ook voldoende;
  5. De te hanteren bewaartermijnen;
  6. Waar je de persoonsgegevens van hebt gekregen, als dat niet van de betrokkene zelf is;
  7. Informatie over geautomatiseerde besluitvorming, als je daar gebruik van maakt;
  8. Informatie over de overige rechten van betrokkenen;
  9. Dat de betrokkene een klacht kan indienen bij de Autoriteit Persoonsgegevens.

Tips

Je maakt het jezelf een stuk makkelijker als je systemen goed zijn ingericht op inzageverzoeken. Als je met een paar klikken een geautomatiseerd overzicht met persoonsgegevens uit het systeem kan trekken, is de doorlooptijd van een inzageverzoek een stuk sneller. Punt 2 tot en met 7 van je reactie kan je uit het verwerkingsregister halen.

Recht op rectificatie (art. 16 AVG)

De betrokkene mag fouten in zijn gebruikte persoonsgegevens laten herstellen, of (laten) aanvullen als de gegevens niet compleet zijn. Als objectief is vast te stellen dat de gegevens feitelijk onjuist zijn, is het vrij vanzelfsprekend dat je de gegevens aanpast. Denk hierbij aan spelfouten in een naam of een verkeerd geregistreerde geboortedatum.

Het kan ook zijn dat de ‘fout’ subjectief van aard is en je te maken hebt met een meningsverschil. Tussen een leidinggevende en een medewerker met betrekking tot zijn beoordeling bijvoorbeeld. Gegevens over gedrag en functioneren zijn meestal niet volledig gebaseerd op feiten, maar ook op de mening en ervaring van de leidinggevende. De betrokken medewerker kan er middels het recht op rectificatie niet voor zorgen dat de beoordeling wordt aangepast, maar mag wel de beoordeling aanvullen met zijn eigen zienswijze.

Recht op vergetelheid (gegevenswissing) (art. 17 AVG)

Dit recht is vooral bedoeld voor de Facebooks en de Googles van deze wereld. Als gemeente kan je hier ook mee te maken krijgen, maar er zijn wat randvoorwaarden waardoor de impact enigszins beperkt is. Het recht van vergetelheid is van toepassing als:

  1. Er geen doel meer is;
  2. De gegevens in strijd met de wet zijn verzameld;
  3. Als de bewaartermijn is verstreken;
  4. Bij intrekking van de toestemming als de verwerking op toestemming is gebaseerd.

Toestemming als grondslag komt bij de gemeente niet vaak voor en in de andere gevallen had je de gegevens sowieso al niet (meer) mogen hebben. In sommige gevallen is het recht van vergetelheid ook van toepassing als de betrokkene bezwaar maakt tegen de verwerking van zijn persoonsgegevens.

Uitzonderingen

Als de gegevens openbaar zijn geworden door een WOB-verzoek, dan hoef je wat dat betreft niet mee te werken aan de verwijdering. Meer uitzonderingen vind je in lid 3 van art. 17 AVG.

Wat moet je doen?

Als de betrokkene daadwerkelijk recht heeft op verwijdering van zijn gegevens, dan is dit je takenlijst:

  1. Stop met het verwerken van de betreffende gegevens;
  2. Verwijder de betreffende gegevens;
  3. Zorg ervoor dat de partijen aan wie je de gegevens hebt doorgegeven, ook de gegevens verwijderen.

Recht op beperking van de verwerking (art. 18 AVG)

Dit recht is bedoeld als tijdelijke oplossing voor de periode waarin een betrokkene wel al een verzoek tot verwijdering of correctie van persoonsgegevens heeft ingediend, maar dat verzoek nog niet is afgehandeld. Hier zal je als gemeente niet vaak mee te maken hebben.

Recht op dataportabiliteit (overdraagbaarheid gegevens) (art. 20 AVG)

In de praktijk wordt met name het recht op overdraagbaarheid nog weleens verkeerd begrepen, met de werkwijze uit de inleiding als mooi voorbeeld. Betrokkenen kunnen gebruik maken van dit recht als:

  1. De verwerking geautomatiseerd en digitaal is; én
  2. De verwerking van persoonsgegevens is gebaseerd op:
    • Toestemming; of
    • Een overeenkomst.

Het recht op dataportabiliteit geldt dus niet voor de publieke taken die je als gemeente uitvoert. Wat de gemeente wel doet op basis van toestemming of overeenkomst zal doorgaans niet volledig via digitale processen verlopen. Dit recht is bedoeld als consumentenbescherming, zodat consumenten bijvoorbeeld makkelijker van digitale aanbieders van vergelijkbare (cloud)diensten kunnen wisselen.

Recht van bezwaar tegen verwerking (art. 21 AVG)

Bij de grondslag gerechtvaardigd belang en de grondslag taak van algemeen belang of openbaar gezag zal je als verwerkingsverantwoordelijke een belangenafweging moeten maken. Die belangenafweging is niet altijd even objectief en kan voor individuele betrokkenen best vervelend uitpakken. Daarom hebben betrokkenen bij verwerkingen op basis van deze twee grondslagen de mogelijkheid om bezwaar te maken. Met name de grondslag taak van algemeen belang of openbaar gezag wordt veel door gemeenten gebruikt.

Wat moet je doen?

Normaal gesproken geldt in de juridische wereld de vuistregel: “wie stelt, moet bewijzen”. Als de betrokkene gebruik maakt van zijn recht op bezwaar, wordt die bewijslast omgekeerd. De gemeente zal als verwerkingsverantwoordelijke moeten aantonen dat het belang van deze betrokkene ondergeschikt is aan het publieke belang of het gerechtvaardigd belang van de gemeente. Lukt dat niet? Dan mag je de persoonsgegevens van die betrokkene niet meer voor dat doel gebruiken.

Contact

Als je meer wilt weten over de rechten van betrokkenen of hulp wilt bij het inrichten van een goed proces, neem dan geheel vrijblijvend contact met ons op.

Anouk Tijhuis
Recente berichten van Anouk Tijhuis (bekijk alles)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Een erbarmelijke evaluatie

Het rapport ‘Evaluatie en versterking ENSIA-stelsel’ is vrij geruisloos gepubliceerd op de website Digitale Overheid. Renco Schoemaker vindt de kwaliteit van het evaluatierapport onder de maat. In deze blog lees waarom!

Je medewerkers ‘beveiligen’; hoe doe je dat?

In de Baseline Informatiebeveiliging Overheid (BIO) worden eisen benoemd als het gaat om personele beveiliging (hoofdstuk 7). In deze blog lees je hoe je kunt zorgen voor een veilige instroom, doorstroom en uitstroom van medewerkers.

ENSIA: méér dan de C in PDCA?

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de BIO. ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarl…

In vijf stappen een goed informatiebeveiligingsbeleid

De allereerste maatregel uit de BIO, en ook gelijk de belangrijkste, is het hebben van een informatiebeveiligingsbeleid. In deze blog de vijf stappen naar een goed informatiebeveiligingsbeleid en dito implementatie.

Rechten van betrokkenen toepassen

Laatst was ik bij een gemeente die de inwoner een verzoek in het kader van dataportabiliteit liet indienen bij een verhuizing naar een andere gemeente, om het dossier rond de bijstandsuitkering bij de nieuwe gemeente te krijgen. Punten voor de cre…

Tips voor het beveiligen van Office 365

Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak …