InfoNu.nl > Mens en Samenleving > Regelingen > AVG: Wat zijn mijn privacyrechten per 25 mei 2018?

AVG: Wat zijn mijn privacyrechten per 25 mei 2018?

AVG: Wat zijn mijn privacyrechten per 25 mei 2018? De Algemene verordening gegevensbescherming (AVG) regelt sinds 25 mei 2018 de privacywetgeving in de landen van de EU waaronder Nederland. Met de invoering in de lidstaten is het recht op privacy voor personen in de EU uitgebreid. Een betrokkene kan nu bij een organisatie informatie opvragen over diens verwerkte persoonsgegevens waarbij de organisatie verplicht is om aan dit verzoek gehoor te geven: het recht op dataportabiliteit'. Bovendien kan een betrokkene in een aantal gevallen een organisatie verzoeken om zijn/haar verwerkte persoonsgegevens te verwijderen: het recht op vergetelheid. De AVG bevat 8 privacyrechten EU-burgers kunnen inroepen om (deels) mee te bepalen hoe een organisatie omgaat met de verwerking van zijn/haar persoonsgegevens.

AVG-Privacyrechten per 25 mei 2018


Wat is het recht op privacy?

De AVG (in het Engels: GDPR) beoogt onder andere vanaf 25 mei 2018 het recht op privacy van personen beter te beschermen. Het 'recht op privacy' van een betrokkene bestaat uit de privacyrechten om zelf te beslissen over de verwerking van zijn of haar 'persoonsgegevens' door organisaties. De persoon over wie een organisatie persoonsgegevens verwerkt wordt een 'betrokkene' genoemd.

AVG: een verbetering van het recht op privacy

Inwoners van de EU krijgen met de komst van de Algemene verordening gegevensbescherming (AVG) vanaf 25 mei 2018 een betere controle over de verwerking van zijn/haar persoonsgegevens door organisaties.

De AVG introduceert 2 'nieuwe' privacyrechten:

Toestemming van betrokkene voor persoonsgegevensverwerking

Organisaties verwerken soms zeer persoonsgevoelige informatie over personen en hierom is het voor betrokkenen van belang dat dit gebeurt met een correct doel. Hierom dient een organisatie een betrokkene voor elk doel waarvoor deze organisatie de persoonsgegevens wilt verwerken specifiek om toestemming te vragen. Dit verbetert het recht op privacy van betrokkenen, omdat zij in de meeste gevallen zelf mogen bepalen voor welk(e) doel(en) organisaties persoonsgegevens mag verwerken.

Wettelijke plicht van organisaties voor persoonsgegevensverwerking

Er bestaan gevallen waarin een organisatie wettelijk verplicht is om persoonsgegevens te verwerken. In dat geval hoeft een organisatie een betrokkene niet eerst om toestemming te vragen. De gronden op basis waarvan een organisatie persoonsgegevens mag verwerken zijn limitatief: alleen op basis van een van de AVG-grondslagen die de AVG beschrijft, mag een organisatie persoonsgegevens over betrokkenen verwerken. In een aantal gevallen gelden er aanvullende voorwaarden zoals de plicht van de aanwezigheid van een aanvullende grondslag uit het Lidstatelijk recht of het Unierecht.

Autoriteit Persoonsgegevens

Indien een betrokkene van mening is dat zijn of haar gegevens op een incorrecte wijze door een organisatie zijn verwerkt, dan kan diegene een klacht indienen bij de Autoriteit Persoonsgegevens (AP).

Welke gegevens zijn persoonsgegevens?

De AVG heeft alleen betrekking op de persoonsgegevens van personen uit de EU. De AVG onderscheidt 3 categorieën van persoonsgegevens. De enige categorie van persoonsgegevens die een organisatie op grond van de AVG mag verwerken zijn de persoonsgegevens die behoren tot de categorie van gewone persoonsgegevens.

Tot de persoonsgegevens van betrokkenen, behoren alle gegevens die betrekking hebben op iemand waarvan:
  • de identiteit reeds bekend is, of:
  • diens identiteit middels de persoonsgegevens afleidbaar is.

AVG-privacyrechten per 25 mei 2018

De AVG omschrijft 8 privacyrechten waar alle EU-burgers vanaf 25 mei 2018 beschikking over hebben en kunnen gebruiken voor een waarborging van de privacy omtrent de persoonsgevoelige informatie die organisaties over hen verwerken.

EU-burgers beschikken volgens de AVG over 8 privacyrechten:

Recht op dataportabiliteit

Het recht op dataportabiliteit betreft iemands recht op overdraagbaarheid van persoonsgegevens. Het recht op dataportabiliteit betekent in de praktijk dat iemand bij een organisatie de persoonsgegevens kan opvragen die de organisatie over hem/haar heeft verwerkt. Een betrokkene kan deze gegevens opslaan voor eigen gebruik en/of doorsturen naar een andere organisatie. Indien iemand een organisatie verzoekt om het doorsturen van persoonsgegevens naar een andere organisatie, dan dient deze organisatie hier gehoor aan te geven als dit redelijkerwijze mogelijk is.

Recht op vergetelheid

Het recht op vergetelheid betreft van betrokkenen om een organisatie te vragen om verwijdering van zijn of haar persoonsgegevens. Iemand heeft hierbij de mogelijkheid om een eerder gegeven toestemming aan een organisatie, om zijn of haar persoonsgegevens te verwerken, op een later moment weer in te trekken. In artikel 17 van de AVG staat een beschrijving van de gevallen wanneer iemand zijn of haar toestemming om verwerking van persoonsgegevens mag intrekken. Een voorbeeld is wanneer een organisatie geen belang (meer) heeft om over de persoonsgevoelige informatie te beschikken. Een organisatie is verplicht om gehoor te geven aan een verzoek om verwijdering van persoonsgegevens, tenzij een organisatie aanspraak kan maken op een van de 6 AVG-grondslagen voor persoonsgegevensverwerking. Zo kan een organisatie een verzoek om verwijdering van persoonsgegevens weigeren indien sprake is van een wettelijke bewaartermijn.

Ontbrekend belang voor persoonsgegevensverwerking

Een voorbeeld: als iemand besluit om over te stappen naar een andere apotheek, dan heeft de vorige apotheek geen belang meer bij het verwerken of in bezit hebben van persoonsgevoelige informatie over de betrokkene. Het specifieke doel waarvoor de betrokkene deze apotheek eerder toestemming heeft verleend, hoeft niet meer van toepassing te zijn als een andere apotheek begint met het uitvoeren van deze specifieke taak of werkzaamheid.

Recht op inzage

Iemand heeft het recht om de persoonsgegevens in te zien die een organisatie over hem of haar heeft verwerkt. Een betrokkene kan dan een verzoek tot inzage doen bij een organisatie en vragen welke gegevens deze organisatie van hem of haar heeft. Ook kan iemand de organisatie vragen wie in de organisatie de verwerkte persoonsgegevens kan inzien, en voor welk doel de organisatie informatie de persoonsgegevens verwerkt. Wanneer een betrokkene een organisatie verzoekt om inzage van zijn of haar persoonsgegevens, dan is de organisatie verplicht om de betrokkene deze informatie te geven.

Recht op beperking van de gegevensverwerking

Het recht op beperking van de gegevensverwerking betreft het recht om in bepaalde gevallen van een organisatie te eisen dat deze zijn of haar verwerkte persoonsgegevens niet meer gebruikt.

Artikel 18 AVG beschrijft dit recht op beperking van de verwerking en stelt dat een betrokkene kan eisen om een beperking van de verwerking, indien:
  • twijfel bestaat of de verwerkte persoonsgegevens wel juist zijn.
  • Bij een onrechtmatige verwerking van persoonsgegevens kan een betrokkene de voorkeur geven om deze laten te beperken in plaats van verwijderen.
  • een betrokkene heeft zijn/haar persoonsgegevens nodig voor de instelling, uitvoering of onderbouwing van een rechtsvordering, terwijl een organisatie de persoonsgegevens niet meer nodig heeft voor het doel van de persoonsgegevensverwerking.
  • een betrokkene maakt bezwaar tegen verwerking, omdat een organisatie onterecht stelt dat er sprake is van gerechtvaardigde gronden die voor de verwerking zwaarder wegen dan de eigen gronden.

Recht op rectificatie en aanvulling

Het recht op rectificatie & aanvulling is het recht van een betrokkene om een organisatie te verzoeken om een wijziging van de persoonsgegevens een organisatie heeft verwerkt.

In de volgende gevallen kan een betrokken een verzoek doen aan een organisatie om rectificatie en/of aanvulling van zijn/haar verwerkte persoonsgegevens:
  • de persoonsgegevens zijn geheel of gedeeltelijk feitelijk onjuist.
  • de persoonsgegevens zijn geheel of gedeeltelijk onvolledig.
  • de persoonsgegevens zijn geheel of gedeeltelijk irrelevant voor het doel van de verwerking.
  • de persoonsgegevens zijn geheel of gedeeltelijk in strijd met een wettelijke bepaling.

Recht op duidelijke informatie

Het recht op duidelijke informatie betreft het recht van personen op duidelijke (en schriftelijke) informatie over het doel en de reden waarvoor een organisatie persoonsgegevens verwerkt. Organisaties moeten zich houden aan de informatieplicht: organisaties moeten alle betrokkenen, over wie zij gegevens opslaan en/of van wie zij gegevens doorsturen naar een andere organisatie, informeren door hen mede te delen welke gegevens zij opslaan en/of doorsturen en voor welk specifiek doel (grondslag) dit gebeurt.

Artikelen 13 en 14 AVG beschrijven welke informatie een organisatie aan een betrokkene moet verschaffen in het geval deze gebruik maakt van het recht op duidelijke informatie:
  • Naam en adres van de organisatie.
  • Contactgegevens van de functionaris voor gegevensbescherming.
  • Verwerkingsdoeleinden en rechtsgronden van de verwerking.
  • Informatie over de gerechtvaardigde belangen indien de verwerking noodzakelijk is voor de gerechtvaardigde belangen van de Verwerkingsverantwoordelijke of een derde.
  • Ontvangers of categorieën van ontvangers van de persoonsgegevens.
  • Periode gedurende de organisatie de persoonsgegevens verwerkt.
  • Recht van de betrokkene een klacht in te dienen bij een toezichthouder.
  • Grond van de verwerking van de persoonsgegevens.

Recht met betrekking tot geautomatiseerde besluitvorming en profilering

Iedere betrokkene kan zijn/haar recht inroepen dat een organisatie vraagt om een besluit te maken op basis van een menselijke blik.

Geautomatiseerde besluitvorming

Er is sprake van geautomatiseerde besluitvorming en profilering indien een organisatie een besluit maakt op basis van eerder automatisch verwerkte gegevens. Een besluit op basis van een 'menselijke blik' is een besluit dat is gemaakt door een mens. Dit betekent dat er geen sprake is van een geautomatiseerd besluit.

Profilering

De AVG/GDPR verstaat onder profilering 'de automatische verwerking van persoonsgegevens met het doel om de persoonlijke aspecten van iemand te evalueren'. Een aantal voorbeelden van persoonlijke aspecten die een organisatie zou kunnen evalueren middels automatisch verwerkte persoonsgegevens, zijn:
  • Gezondheid
  • Economische situatie
  • Persoonlijke voorkeuren
  • Belangen
  • Betrouwbaarheid
  • Carrière
  • Gedrag

Recht op bezwaar

Iedereen heeft het recht om een organisatie te vragen om geheel te stoppen met het gebruik van diens persoonsgegevens of om deels te stoppen met het gebruik van diens persoonsgegevens door deze niet meer te gebruiken voor marketingdoeleinden.

Een betrokkene kan het recht van bezwaar inroepen wanneer een van de volgende 2 situaties zich voortdoet:
  • Een organisatie gebruikt de persoonsgegevens voor marketingdoeleinden.
  • Er sprake is van bijzondere persoonlijke redenen om van het recht van bezwaar gebruik te maken.

Marketingdoeleinden

In het geval een betrokkene een organisatie vraagt om zijn/haar persoonsgegevens in zijn geheel niet meer te gebruiken voor marketingdoeleinden, dan is deze organisatie verplicht om hier gehoor aan te geven.

Bijzondere persoonlijke omstandigheden

Als een betrokkene zijn/haar recht van bezwaar toepast in verband met bijzondere persoonlijke omstandigheden, dan zal diegene eerst moeten aantonen dat er een tekortkoming is aan de rechtmatigheid van de verwerking. Van zo'n tekortkoming is sprake wanneer een organisatie zich niet op een van de 6 AVG-grondslagen kan beroepen. Een organisatie dient in dat geval per direct te stoppen met de verwerking, tenzij sprake is van dwingende gerechtvaardigde gronden die zwaarder wegen dan de rechten, vrijheden en belangen van de betrokkene.

Lees verder

© 2018 - 2019 Aucourant, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Persoonsgegevens: Je rechten bij veranderen en afschermenPersoonsgegevens: Je rechten bij veranderen en afschermenDe Wet bescherming persoonsgegevens is ingevoerd om de privacy van mensen te beschermen. In mei 2018 werden die wetten e…
Datalek; wat is het en wanneer moet je het melden?Datalek; wat is het en wanneer moet je het melden?Sinds 1 januari 2016 bestaat de verplichting om een datalek te melden. De melding moet onverwijld worden gedaan zodra ee…
Het Bel-me-niet RegisterHet Bel-me-niet RegisterHet Bel-me-niet Register is een register dat gebruikt wordt - de naam geeft het al aan - door consumenten die niet telef…
Bescherming van persoonsgegevensBescherming van persoonsgegevensWie zich inschrijft op een website, geeft al snel veel persoonlijke gegevens door. Het bedrijf of de instelling waaraan…
Persoonsgegevens en internet, privacybescherming op het webPersoonsgegevens en internet, privacybescherming op het webPersoonlijke gegevens en persoonsgegevens op het internet kunnen mensen jarenlang achtervolgen. Sterker nog, die gegeven…
Bronnen en referenties
  • Inleidingsfoto: JanBaby, Pixabay
  • Article 29 Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, van https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49826.
  • Autoriteit Persoonsgegevens, AVG Europese Privacywetgeving: Rechten van betrokkenen, van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/rechten-van-betrokkenen.
  • Europees Parlement en de Raad, Verordeningen: Verordening (EU) 2016/679 van het Europees Parlement en de Raad, 27 april 2016, Publicatieblad van de Europese Unie, van https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf.
  • Ministerie van Justitie & Veiligheid, Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming, januari 2018, van https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_avg.pdf.

Reageer op het artikel "AVG: Wat zijn mijn privacyrechten per 25 mei 2018?"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Aucourant
Laatste update: 16-07-2019
Rubriek: Mens en Samenleving
Subrubriek: Regelingen
Special: AVG
Bronnen en referenties: 5
Schrijf mee!