Skip to main content

Rechten van betrokkenen toepassen

| IB&P | ,

Laatst was ik bij een gemeente die de inwoner een verzoek in het kader van dataportabiliteit liet indienen bij een verhuizing naar een andere gemeente, om het dossier rond de bijstandsuitkering bij de nieuwe gemeente te krijgen. Punten voor de creativiteit, maar niet helemaal waar het recht op overdraagbaarheid voor bedoeld is. In deze blog leg ik uit voor welke rechten betrokkenen een verzoek kunnen indienen, wanneer ze van toepassing zijn en hoe je daar praktisch invulling aan kunt geven.

Als er persoonsgegevens over iemand verwerkt worden dan heeft diegene door de Algemene Verordening Gegevensbescherming (AVG) meer middelen in handen gekregen om daar zelf controle over uit te voeren. De betrokkene kan voor de volgende rechten een verzoek indienen:

  1. Recht van inzage
  2. Recht op rectificatie
  3. Recht op vergetelheid (gegevenswissing)
  4. Recht op beperking van de verwerking
  5. Recht op dataportabiliteit (overdraagbaarheid gegevens)
  6. Recht van bezwaar tegen verwerking

In de praktijk hebben gemeenten het meeste te maken met inzageverzoeken, daar zal ik dan ook het langste bij stil staan. Als je de borging van de AVG goed op orde hebt, is het relatief eenvoudig om aan de rechten van betrokkenen te voldoen. Ook heeft de IBD een twee-delige handreiking die je kan helpen (deel 1 & deel 2).

Het recht van inzage (art. 15 AVG)

Elke mogelijke betrokkene mag om inzage in zijn persoonsgegevens vragen en hij hoeft dat niet te motiveren. Als diegene niet bekend is bij de organisatie heb je geluk. Dan hoef je daar alleen maar uitsluitsel over te geven en ben je snel klaar. Als de betrokkene wél bekend is kan het best een behoorlijke klus zijn om alle gegevens te verzamelen die je gratis (dus niet zoals het BKR) zal moeten terugkoppelen aan de betrokkene.

Uitzonderingen

Je hoeft niet altijd volledig mee te werken aan een inzageverzoek. Informatie in het dossier van de betrokkene kan ook gevolgen hebben voor de rechten en vrijheden van anderen en daar moet je rekening mee houden. Denk bijvoorbeeld aan ouders in een vechtscheiding met een kind in de jeugdzorg. Als ouder 1 een inzageverzoek indient voor het kind, dan kan een volledige inzage ook behoorlijke implicaties hebben voor ouder 2. Het afschermen van de gegevens over ouder 2 is dan de oplossing. In art. 23 AVG en art. 41 UAVG vind je meer uitzonderingen en beperkingen.

Wat moet je doen?

Als de betrokkene wel bekend is bij de gemeente, dan dient je reactie de volgende elementen te bevatten:

  1. Een overzicht van de persoonsgegevens die je van de betrokkene hebt;
  2. De categorieën waarin de persoonsgegevens vallen;
  3. De doelen waarvoor je de gegevens gebruikt;
  4. Aan wie je de gegevens doorgeeft. Je hoeft de ontvangers niet bij naam te noemen (mag wel), de categorieën ontvangers benoemen is ook voldoende;
  5. De te hanteren bewaartermijnen;
  6. Waar je de persoonsgegevens van hebt gekregen, als dat niet van de betrokkene zelf is;
  7. Informatie over geautomatiseerde besluitvorming, als je daar gebruik van maakt;
  8. Informatie over de overige rechten van betrokkenen;
  9. Dat de betrokkene een klacht kan indienen bij de Autoriteit Persoonsgegevens.

Tips

Je maakt het jezelf een stuk makkelijker als je systemen goed zijn ingericht op inzageverzoeken. Als je met een paar klikken een geautomatiseerd overzicht met persoonsgegevens uit het systeem kan trekken, is de doorlooptijd van een inzageverzoek een stuk sneller. Punt 2 tot en met 7 van je reactie kan je uit het verwerkingsregister halen.

Recht op rectificatie (art. 16 AVG)

De betrokkene mag fouten in zijn gebruikte persoonsgegevens laten herstellen, of (laten) aanvullen als de gegevens niet compleet zijn. Als objectief is vast te stellen dat de gegevens feitelijk onjuist zijn, is het vrij vanzelfsprekend dat je de gegevens aanpast. Denk hierbij aan spelfouten in een naam of een verkeerd geregistreerde geboortedatum.

Het kan ook zijn dat de ‘fout’ subjectief van aard is en je te maken hebt met een meningsverschil. Tussen een leidinggevende en een medewerker met betrekking tot zijn beoordeling bijvoorbeeld. Gegevens over gedrag en functioneren zijn meestal niet volledig gebaseerd op feiten, maar ook op de mening en ervaring van de leidinggevende. De betrokken medewerker kan er middels het recht op rectificatie niet voor zorgen dat de beoordeling wordt aangepast, maar mag wel de beoordeling aanvullen met zijn eigen zienswijze.

Recht op vergetelheid (gegevenswissing) (art. 17 AVG)

Dit recht is vooral bedoeld voor de Facebooks en de Googles van deze wereld. Als gemeente kan je hier ook mee te maken krijgen, maar er zijn wat randvoorwaarden waardoor de impact enigszins beperkt is. Het recht van vergetelheid is van toepassing als:

  1. Er geen doel meer is;
  2. De gegevens in strijd met de wet zijn verzameld;
  3. Als de bewaartermijn is verstreken;
  4. Bij intrekking van de toestemming als de verwerking op toestemming is gebaseerd.

Toestemming als grondslag komt bij de gemeente niet vaak voor en in de andere gevallen had je de gegevens sowieso al niet (meer) mogen hebben. In sommige gevallen is het recht van vergetelheid ook van toepassing als de betrokkene bezwaar maakt tegen de verwerking van zijn persoonsgegevens.

Uitzonderingen

Als de gegevens openbaar zijn geworden door een WOB-verzoek, dan hoef je wat dat betreft niet mee te werken aan de verwijdering. Meer uitzonderingen vind je in lid 3 van art. 17 AVG.

Wat moet je doen?

Als de betrokkene daadwerkelijk recht heeft op verwijdering van zijn gegevens, dan is dit je takenlijst:

  1. Stop met het verwerken van de betreffende gegevens;
  2. Verwijder de betreffende gegevens;
  3. Zorg ervoor dat de partijen aan wie je de gegevens hebt doorgegeven, ook de gegevens verwijderen.

Recht op beperking van de verwerking (art. 18 AVG)

Dit recht is bedoeld als tijdelijke oplossing voor de periode waarin een betrokkene wel al een verzoek tot verwijdering of correctie van persoonsgegevens heeft ingediend, maar dat verzoek nog niet is afgehandeld. Hier zal je als gemeente niet vaak mee te maken hebben.

Recht op dataportabiliteit (overdraagbaarheid gegevens) (art. 20 AVG)

In de praktijk wordt met name het recht op overdraagbaarheid nog weleens verkeerd begrepen, met de werkwijze uit de inleiding als mooi voorbeeld. Betrokkenen kunnen gebruik maken van dit recht als:

  1. De verwerking geautomatiseerd en digitaal is; én
  2. De verwerking van persoonsgegevens is gebaseerd op:
    • Toestemming; of
    • Een overeenkomst.

Het recht op dataportabiliteit geldt dus niet voor de publieke taken die je als gemeente uitvoert. Wat de gemeente wel doet op basis van toestemming of overeenkomst zal doorgaans niet volledig via digitale processen verlopen. Dit recht is bedoeld als consumentenbescherming, zodat consumenten bijvoorbeeld makkelijker van digitale aanbieders van vergelijkbare (cloud)diensten kunnen wisselen.

Recht van bezwaar tegen verwerking (art. 21 AVG)

Bij de grondslag gerechtvaardigd belang en de grondslag taak van algemeen belang of openbaar gezag zal je als verwerkingsverantwoordelijke een belangenafweging moeten maken. Die belangenafweging is niet altijd even objectief en kan voor individuele betrokkenen best vervelend uitpakken. Daarom hebben betrokkenen bij verwerkingen op basis van deze twee grondslagen de mogelijkheid om bezwaar te maken. Met name de grondslag taak van algemeen belang of openbaar gezag wordt veel door gemeenten gebruikt.

Wat moet je doen?

Normaal gesproken geldt in de juridische wereld de vuistregel: “wie stelt, moet bewijzen”. Als de betrokkene gebruik maakt van zijn recht op bezwaar, wordt die bewijslast omgekeerd. De gemeente zal als verwerkingsverantwoordelijke moeten aantonen dat het belang van deze betrokkene ondergeschikt is aan het publieke belang of het gerechtvaardigd belang van de gemeente. Lukt dat niet? Dan mag je de persoonsgegevens van die betrokkene niet meer voor dat doel gebruiken.

Contact

Als je meer wilt weten over de rechten van betrokkenen of hulp wilt bij het inrichten van een goed proces, neem dan geheel vrijblijvend contact met ons op.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…