Van 31 mei tot en met 12 juni publiceren we elke (werk)dag een artikel over de implementatie van de AVG. Geschreven door Marius van Rijswijk, senior consultant bij Verdonck, Klooster & Associates (VKA).
Onder de AVG krijgen betrokkenen meer en verbeterde privacyrechten. U moet er dus voor zorgen dat zij hun privacyrechten goed kunnen uitoefenen. Houd met name rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Betrokkenen moeten hun gegevens makkelijk van uw kunnen krijgen zodat zij deze gegevens kunnen doorgeven aan een andere organisatie als zij dat wensen. Wist u dat mensen bij de toezichthouder een klacht kunnen indienen over de manier waarop je met hun gegevens omgaat? De toezichthouder is verplicht deze klachten te behandelen.
In de nieuwe privacywetgeving staat de betrokkene centraal: meer mogelijkheden om voor zichzelf op te komen en versterking en uitbreiding van hun rechten. Als organisatie is het belangrijk om ervoor te zorgen dat betrokkenen hun rechten goed kunnen uitoefenen.
Ga allereerst binnen uw organisatie na of de huidige procedures voorzien in alle (nieuwe) rechten voor betrokkenen uit de AVG. Deze nieuwe rechten zijn onder meer: recht op informatie, recht van inzage, recht op rectificatie, recht op beperking van de verwerking, recht op overdraagbaarheid (dataportabiliteit), recht van bezwaar en het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming (profiling). Sommige van deze rechten stonden ook al in de Wet bescherming persoonsgegevens, anderen zijn nieuw. Hoe start u nu met de inrichting van deze rechten in uw organisatie?
Zorg er eerst voor dat u weet op welke processen de verschillende rechten van invloed zijn. Het recht op inzage heeft bijvoorbeeld invloed op het primaire proces. Immers, de cliënt kan vragen om inzage in het dossier. Als de cliënt vraagt om verwijdering van het dossier heeft dit ook invloed op het primaire proces.
Zorg er vervolgens voor dat betrokkenen hun rechten kunnen uitoefenen. Zorg er voor dat de betrokkenen op een juiste manier worden geïnformeerd over hun rechten. Het meest gebruikte middel om betrokkenen te informeren is via het ‘privacystatement’ c.q. ‘privacyverklaring’ op uw website. De informatie moet beknopt worden gegeven, dus geen lang, wollig taalgebruik maar concrete en duidelijk zinnen. Geen juridisch of technisch jargon, maar begrijpelijke taal.
De rechten van betrokkenen zijn niet absoluut. Het feit dat de cliënt zich beroept op het recht op verwijdering betekent niet dat u dat ook altijd moet doen. Volgens bepaalde wetgeving kan het zijn dat u gegevens bijvoorbeeld 5 jaar moet bewaren, u moet dat dan ook doen. Bericht de cliënt dan ook om welke reden u het verzoek niet kan inwilligen.
De manier waarop de procedures voor de rechten van betrokkenen worden ingericht is sterk afhankelijk van het type organisatie. Voor zowel grote als kleinere organisaties kan één loket (bijvoorbeeld via een e-mailadres) worden ingericht waar de betrokkenen terecht kunnen.
In het volgende artikel wordt ingegaan op de privacycultuur. Hoe borg ik privacy in de cultuur van de organisatie? Welke middelen kunt u inzetten om deze gewenste cultuur positief te beïnvloeden?
Marius van Rijswijk is ook een van de sprekers op het HCB Seminar ‘AVG-Proof na 1.5 jaar – Voor kinderopvang, basisonderwijs en kindcentra’ dat georganiseerd wordt door het Haags Congres Bureau op 22 november in Utrecht. Verder met Ina Brouwer, advocaat bij Borg Advocaten en Ard Jan Dunnik, advocaat bij Coupry. Korting voor oud deelnemers Haags Congres Bureau en voor leden van BMK.