Dossier GDPR/AVG
Deel 2: Welke 5 rechten hebben betrokkenen onder de nieuwe wetgeving?
Dossier GDPR/AVG

GDPR/AVG deel 2: rechten van de betrokkene

Wanneer in mei 2018 de nieuwe Europese privacywet GDPR/AVG ingaat, worden de rechten van betrokkenen rondom bescherming van persoonsgegevens flink uitgebreid. Iedere organisatie zal met de nieuwe regels te maken krijgen. Omdat uw en onze dagelijkse werkzaamheden voor een groot deel bestaan uit het verwerken van persoonsgegevens, bereiden we ons goed voor op de invoering. Het is complexe materie, zelfs voor mensen die bekend zijn met het onderwerp. In dit blog beschrijven we de 5 rechten van betrokkenen zoals ze geformuleerd zijn in de AVG.

De informatie in deze blogserie is geschreven om onze klanten te informeren over de aanstaande wijzigingen. Heeft u specifieke vragen, maar bent u geen klant van Logic4, dan adviseren wij u om de officiële website van de Autoriteit Persoonsgegevens te bezoeken en contact op te nemen met uw eigen softwareleverancier.

Wat is een betrokkene?
Onder betrokkene wordt de eindgebruiker verstaan. In dit geval is dat uw webshopklant of contactpersoon bij een zakelijke klant.

GDPR/AVG 5 rechten van de betrokkene

Recht op informatie

Als een organisatie persoonsgegevens gebruikt, heeft de betrokkene het recht om de naam en het adres van de organisatie te weten, en waarvoor de gegevens worden gebruikt. Als de betrokkene een bestelling plaatst via een webshop, of op een andere manier een formulier invult, moet deze informatie verstrekt worden vóórdat de gegevens daadwerkelijk worden verstuurd of opgeslagen. Bijvoorbeeld via een duidelijke verwijzing naar het privacystatement.

Recht op inzage

Als een betrokkene inzage in zijn persoonsgegevens vraagt, dan moet u hem laten weten of u persoonsgegevens van hem gebruikt, om welke gegevens het gaat, wat het doel is, wat de herkomst van de gegevens is en eventueel aan wie de gegevens zijn verstrekt. Als u als organisatie veel informatie van een betrokkene heeft, mag u hem vragen aan te geven welke gegevens hij precies wil inzien. Ook kunt u zelf beslissen hoe u de betrokkene inzage geeft. Dit kan een volledig overzicht zijn, of een kopie/afdruk, maar u kunt de betrokkene ook uitnodigen om ter plekke zijn gegevens te komen inzien. Betrokkenen hebben geen recht op inzage in de persoonsgegevens van iemand anders.

Recht op correctie

Betrokkenen mogen een organisatie (verwerkingsverantwoordelijke) vragen om bepaalde persoonsgegevens te verbeteren, aan te vullen of af te schermen. Bijvoorbeeld als de gegevens feitelijk onjuist zijn of niet ter zake doen voor het doel waarvoor ze zijn verzameld. Dit onder de voorwaarde dat het technisch mogelijk is en het niet gaat om gegevens die in een openbaar register, zoals het Handelsregister van de KvK, te vinden zijn.

Recht op vergetelheid

In het algemeen geldt dat een betrokkene op ieder moment beroep kan doen op zijn recht om vergeten te worden. Bijvoorbeeld als hij niet wil dat zijn persoonsgegevens worden gebruikt voor digitale direct marketing. Post sturen of bellen mag u echter altijd doen zonder dat de betrokkene daarvoor toestemming heeft gegeven. En ook voor bestaande klanten geldt een uitzondering. In sommige gevallen is het recht om vergeten te worden gebonden aan beperkingen, bijvoorbeeld als het verwerken nodig is om te kunnen voldoen aan wettelijke verplichtingen. Ook betekent het recht om vergeten te worden niet per se dat de verantwoordelijke alles compleet moet verwijderen. Om de boekhouding netjes te doen, moeten orders namelijk wel beschikbaar blijven. In dit geval zouden de persoonsgegevens die bij de order horen geanonimiseerd kunnen worden.

Recht op dataportabiliteit

Ten opzichte van de Wet bescherming persoonsgegevens (Wbp) is het recht op dataportabiliteit nieuw in de AVG. Betrokkenen hebben het recht om de persoonsgegevens die een organisatie van hen heeft te ontvangen en op te slaan voor persoonlijk gebruik of door te geven aan een andere organisatie. Het gaat hier alleen om digitale gegevens waar de betrokkene toestemming voor heeft gegeven of die zijn verwerkt in het kader van een overeenkomst. U bent als organisatie niet verantwoordelijk voor wat de betrokkene vervolgens met de persoonsgegevens doet. Ook hoeft u de persoonsgegevens niet te verwijderen, tenzij de betrokkene daarvoor een verzoek indient.

Lees in deel 3 wat de verplichtingen zijn van organisaties (verantwoordelijken) wanneer de AVG in werking treedt >

N.B.: Wij hebben ons best gedaan om ons zo goed mogelijk te verdiepen in de nieuwe wetgeving en de regels zo helder mogelijk aan u uit te leggen. Desondanks kan het zijn dat er onverhoopt toch onjuiste of onvolledige informatie in dit artikel is geslopen. Ziet u iets dat niet klopt of niet duidelijk is? Laat het ons weten!

Gerelateerde blogs
9
jan
GDPR/AVG deel 4: Logic4 als verwerker
14
dec
GDPR/AVG deel 3: plichten van de verantwoordelijke
30
nov
GDPR/AVG deel 1: over persoonsgegevens
17
aug
SSL certificaat onmisbaar voor webshops
25
okt
Wasstraat voor DDoS-aanvallen op webshops
Nieuwsbrief

Blijf altijd op de hoogte van ons laatste nieuws!

Alle blogs over de GDPR/AVG
Zoek door onze site