Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens; ook wel ‘rechten van betrokkenen’ genoemd. Doordat gemeente een diversiteit aan applicaties gebruiken, kan het een hele uitdaging zijn om hieraan te voldoen. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?
Begrippenlijst
Allereerst leg ik graag een aantal (wettelijke) definities uit die in deze blog voorkomen:
- De verwerkingsverantwoordelijke – bepaalt het doel en de middelen van de verwerking. De verwerkingsverantwoordelijke is vaak het bedrijf of de organisatie die in eerste instantie de persoonsgegevens verzamelt.
- Een verwerker – heeft als primair doel het verwerken van persoonsgegevens. De verwerker krijgt van de verwerkingsverantwoordelijke de opdracht om de persoonsgegevens, die de verwerkingsverantwoordelijke heeft verzameld, te verwerken. Bijvoorbeeld een salarisadministratiekantoor dat in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
- Verwerken – alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, zoals verzamelen, opslaan, gebruiken, verspreiden et cetera.
- Persoonsgegevens – alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Ofwel alle informatie die of direct over een persoon gaat (NAW-gegevens) of informatie die naar een persoon te herleiden is (kenteken of IP-adres).
- Grondslag – Onder de Algemene Verordening Gegevensbescherming (AVG) mogen organisaties alléén persoonsgegevens verwerken als ze daar een wettelijke grondslag voor hebben. De AVG kent zes grondslagen.
De rechten van betrokkenen
Als er persoonsgegevens van je worden verzameld, ben je volgens de AVG een ‘betrokkene’. Je hebt een aantal rechten die je kan uitoefenen om grip te hebben en houden op de informatie die anderen van je verzamelen, namelijk:
- Recht van inzage (art. 15 AVG): dit is het recht om o.a. een kopie te ontvangen van de persoonsgegevens die andere van jou verwerken.
- Recht op rectificatie (art. 16 AVG): het recht om de persoonsgegevens die worden verwerkt te laten wijzigen.
- Recht op vergetelheid (gegevenswissing) (art. 17 AVG): het recht om ‘vergeten’ te worden.
- Recht op beperking van de verwerking (art. 18 AVG): het recht om minder gegevens te laten verwerken.
- Recht op dataportabiliteit (overdraagbaarheid gegevens) (art. 20 AVG): het recht om persoonsgegevens over te laten dragen aan een andere partij.
- Recht van bezwaar tegen verwerking (art. 21 AVG): het recht om bezwaar te maken tegen de verwerking van persoonsgegevens.
Iemand heeft dus het recht om na te gaan wat er met zijn persoonsgegevens gebeurt (1) en, als het nodig is, hier invloed op uit te oefenen (2 t/m 7). Als gemeente verzamel je voor verschillende redenen persoonsgegevens. Hierbij heb je je dus te houden aan deze rechten. Hoe zorg je dat je hieraan voldoet? In deze blog zet ik de rechten onder elkaar.
Het recht van inzage
Dit recht geeft iemand de mogelijkheid om informatie te krijgen over de verwerking van zijn persoonsgegevens. Zo kan iemand een gemeente vragen welke persoonsgegevens van hem worden verwerkt. Het kan een behoorlijke klus zijn om hier een overzicht van uit te draaien. Een goed register van verwerkingen helpt hierbij. Hoe je dit register invult en bijhoudt lees je in mijn eerdere blogs ‘Een verwerkingsregister invullen, hoe pak je dat aan?’ en ‘Het bijhouden van een verwerkingsregister, hoe doe je dat?’. Als iemand een inzageverzoek doet bij de gemeente, dan kan hij inzage vragen in de volgende zaken:
- Een overzicht van de persoonsgegevens die worden verwerkt;
- De categorieën waarin de persoonsgegevens vallen;
- De doelen waarvoor de gegevens gebruikt worden;
- Aan wie de gegevens worden doorgegeven;
- De te hanteren bewaartermijnen;
- Waar de persoonsgegevens verkregen zijn, als dat niet van de betrokkene zelf is;
- Informatie over geautomatiseerde besluitvorming (als daar gebruik van wordt gemaakt);
- Informatie over de overige rechten van betrokkenen;
- Dat de betrokkene een klacht kan indienen bij de Autoriteit Persoonsgegevens.
Zie voor meer informatie over het recht van inzage ook de Handreiking Rechten van Betrokkenen – Deel 1 Transparantie en het recht van inzage van de Informatiebeveiligingsdienst voor gemeenten (IBD). In deze handreiking worden praktische handvatten gegeven over de wijze waarop gemeenten kunnen omgaan met transparantieverplichtingen, het recht van betrokkenen om geïnformeerd te worden en het recht van inzage.
Recht op rectificatie
Iemand kan de gemeente ook verzoeken om gegevens te verbeteren of aan te laten vullen wanneer deze niet kloppen en/of niet compleet zijn. Vaak is dit het geval als iemand er via een inzageverzoek achter komt dat de gegevens onjuist of onvolledig zijn. Persoonsgegevens moeten kloppen. Daarom kan iemand de gemeente vragen om zijn gegevens aan te passen of aan te vullen. De betrokkene moet wel geïnformeerd worden nadat, op zijn verzoek, gegevens aangepast zijn. Let op, ‘gewone’ wijzigingen zoals adreswijzigingen vallen hier niet onder.
Recht op vergetelheid (gegevenswissing)
Het recht op vergetelheid betekent dat iemand de verwerker van zijn persoonsgegevens kan vragen om informatie te wissen. Je moet hiervoor wel een goede reden hebben. Als dat zo is, dan is de verwerker verplicht om hier per direct aan te voldoen. Dit recht is vooral bedoeld voor de Facebooks en de Googles van deze wereld. Als gemeente kan je hier ook mee te maken krijgen, maar er zijn enkele randvoorwaarden waardoor de impact beperkt is. Als gemeente ben je namelijk wettelijk verplicht iemands gegevens te gebruiken of een bepaalde tijd te bewaren (bijvoorbeeld voor belastingzaken). Je mag de gegevens dan niet wissen als iemand dat vraagt. Bij gemeente is het recht van vergetelheid alleen van toepassing als:
- er geen doel meer is voor de verwerking van gegevens;
- de gegevens in strijd met de wet zijn verzameld;
- de bewaartermijn is verstreken;
- bij intrekking van de toestemming (als de verwerking op toestemming is gebaseerd).
In dat geval stop je met het verwerken van de betreffende gegevens, verwijder je de gegevens en zorg je ervoor dat de partijen aan wie je de gegevens hebt doorgegeven deze ook verwijderen.
Recht op beperking van de verwerking
Hiermee kan iemand de verwerker van zijn persoonsgegevens vragen om de hoeveelheid gegevens die worden verwerkt te verminderen. In dat geval wordt de verwerking van deze informatie tijdelijk stilgelegd totdat een bezwaar of probleem is opgelost. Dit is vaak het geval wanneer iemand al een verzoek tot verwijdering of correctie van persoonsgegevens heeft ingediend, maar dat verzoek nog niet is afgehandeld. Binnen gemeenten komt dit met name voor in het Sociaal Domein. Bijvoorbeeld omdat de toeleidende externe partij (naar bijvoorbeeld jeugdhulp) van mening is dat zij verantwoordelijk is voor de verwerking van persoonsgegevens bij de uitvoering van de toeleidingstaak. Hierdoor kunnen de gegevens uit het toeleidingsdossier en het hulpverleningsdossier in één dossier terecht komen, wat kan leiden tot problemen bij inzageverzoeken. Zorg er daarom voor dat de toeleidings-, hulpverlenings- en coördinatiedossiers gescheiden zijn.
Recht op dataportabiliteit (overdraagbaarheid gegevens)
Het recht op dataportabiliteit geeft iemand het recht om zijn persoonsgegevens op te vragen. Daarnaast heeft hij het recht om zijn persoonsgegevens aan een andere verwerker te geven. Daarbij mag de oorspronkelijke verwerker aan wie de persoonsgegevens zijn verstrekt, de betrokkene niet in de weg zitten. Iemand kan gebruik maken van dit recht als de verwerking geautomatiseerd en digitaal is; én de verwerking van persoonsgegevens is gebaseerd op toestemming of een overeenkomst.
Het recht op dataportabiliteit geldt dus niet voor de publieke taken die je als gemeente uitvoert. Wat de gemeente wel doet op basis van toestemming of overeenkomst zal vaak niet volledig via digitale processen verlopen. Dit recht is meer bedoeld als consumentenbescherming, zodat consumenten bijvoorbeeld makkelijker van digitale aanbieders van vergelijkbare (cloud)diensten kunnen wisselen.
Recht van bezwaar tegen verwerking
Bij de grondslag gerechtvaardigd belang en de grondslag taak van algemeen belang of openbaar gezag moet je als verwerkingsverantwoordelijke een belangenafweging maken. Die belangenafweging is niet altijd even objectief en kan de betrokkene best vervelend uitpakken. Daarom heeft iemand bij verwerkingen op basis van deze twee grondslagen de mogelijkheid om bezwaar te maken. De grondslag ‘taak van algemeen belang’ of ‘openbaar gezag’ wordt door gemeenten veel gebruikt. Als iemand gebruik maakt van zijn recht op bezwaar, wordt die bewijslast omgekeerd. De gemeente moet dan als verwerkingsverantwoordelijke aantonen dat het belang van deze betrokkene ondergeschikt is aan het publieke belang of het gerechtvaardigd belang van de gemeente. Lukt dat niet? Dan mag je de persoonsgegevens van deze betrokkene niet meer voor dat doel gebruiken.
Wil je meer weten over het recht op rectificatie, vergetelheid, beperking van en bezwaar tegen verwerking, dataportabiliteit en geautomatiseerde besluitvorming? Zie dan ook deel twee van de handreiking Rechten van Betrokkenen.
Conclusie
In de praktijk zien we dat gemeenten het meest te maken krijgen met inzageverzoeken. Dit komt omdat je als gemeente voornamelijk wetgeving uitvoert, waardoor het bijvoorbeeld niet mogelijk is om je gegevens te laten verwijderen als burger. Je bent als gemeente verplicht de burger goed te informeren over hoe zijn een verzoek tot inzage kunnen doen. Vaak is dit terug te vinden op de gemeentelijke website onder het privacystatement. Heb je als gemeente je verplichte register van verwerkingen goed ingericht, dan helpt dit je enorm bij het uitvoeren van deze verzoeken.
Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig bij het opstellen van procedures rondom inzageverzoeken of het opstellen en onderhouden van een register van verwerking? Laat ons dit dan weten en neem contact met ons op.
- Rapporteren zonder resultaat; de frustratie van elke FG en CISO - 7 oktober 2024
- Hoe voer je een Business Impact Analyse (BIA) uit? - 23 september 2024
- Waarom is het lastig om structureel DPIA’s uit te voeren? - 8 september 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!