InfoNu.nl > Mens en Samenleving > Regelingen > AVG: Welke privacyrechten heeft een persoon per 25 mei 2018?

AVG: Welke privacyrechten heeft een persoon per 25 mei 2018?

AVG: Welke privacyrechten heeft een persoon per 25 mei 2018? De AVG regelt sinds 25 mei 2018 de privacywetgeving in Nederland en alle andere landen van de EU. In 2018 zijn er een aantal privacyrechten bijgekomen, waardoor het recht op privacy voor personen in de EU is uitgebreid. Zo beschikt iemand sinds 2018 over het recht om bij een organisatie informatie op te vragen over zijn of haar verwerkte persoonsgegevens, waarbij een organisatie verplicht is om aan dit verzoek gehoor te geven: het 'recht op dataportabiliteit'. Bovendien kan een persoon een organisatie in een aantal gevallen vragen om verwijdering van zijn of haar verwerkte persoonsgegevens: het 'recht op vergetelheid'. Dit kan bijvoorbeeld wanneer een organisatie deze informatie niet meer nodig heeft voor het doel waarvoor de organisatie de persoonsgegevens van iemand heeft verwerkt. In totaal beschikken Europese burgers over acht privacyrechten, die tezamen het 'recht op privacy' vormen en vanaf 25 mei 2018 gelden in zowel Nederland als in alle andere lidstaten van de EU.

Privacyrechten van personen volgens de AVG


Uitbreiding van het recht op privacy voor personen

Een persoon heeft met de invoering van de AVG op 25 mei 2018 meer mogelijkheden om controle uit te oefenen over zijn of haar persoonsgegevens die worden verwerkt en gebruikt door organisaties en bedrijven. Het 'recht op privacy' van iemand bestaat uit alle acht privacyrechten waarover personen in de EU beschikken.

De AVG breidt het recht op privacy van personen uit door het invoeren van de volgende twee rechten:

Wat bedoelt de AVG met de privacyrechten van personen?

De AVG (in het Engels: GDPR) beoogt onder andere vanaf 25 mei 2018 het recht op privacy van personen beter te beschermen. Het 'recht op privacy' van een betrokkene omvat de privacyrechten van iemand om zelf te mogen beslissen over de verwerking van zijn of haar persoonsgegevens. Organisaties verwerken soms zeer persoonsgevoelige informatie over personen en hierom is het voor een persoon van belang dat dit gebeurt met het juiste doel. Hierom dient een organisatie een persoon voor elk doel waarvoor deze organisatie de persoonsgegevens wilt verwerken specifiek om toestemming te vragen. Dit verbetert het recht op privacy van een betrokkene, omdat een betrokkene in de meeste gevallen zelf kan bepalen voor welk doel wel, en voor welk doel niet, een organisatie zijn of haar persoonsgegevens mag verwerken.

Wettelijke plicht organisatie om persoonsgegevens te verwerken

Er zijn echter gevallen waarin een organisatie wettelijk verplicht is om de persoonsgegevens van iemand te verwerken, en in dat geval hoeft een organisatie iemand niet om toestemming te vragen. De gronden op basis waarvan een organisatie persoonsgegevens mag verwerken zijn limitatief: alleen de wijze waarop de AVG de grondslagen voor het verwerken van persoonsgegevens beschrijft, mag een organisatie persoonsgegevens van iemand verwerken. In een aantal gevallen dienen deze grondslagen tevens gebaseerd te zijn op een grondslag in het lidstatelijk recht of het Unierecht.

Welke gegevens zijn persoonsgegevens?

De AVG heeft alleen betrekking op de persoonsgegevens van personen uit de EU. Er bestaan volgens de AVG in totaal drie categorieën van persoonsgegevens en de enige persoonsgegevens die een organisatie op grond van de AVG mag verwerken zijn de 'gewone persoonsgegevens'. De persoon over wie een organisatie persoonsgegevens verwerkt wordt de 'betrokkene' genoemd.

De persoonsgegevens van een betrokkene zijn alle gegevens die:
  • betrekking hebben op iemand waarvan de identiteit reeds bekend is, of:
  • betrekking hebben op iemand waarvan diens identiteit met deze gegevens afleidbaar is.

Ieder persoon uit de EU beschikt vanaf 25 mei 2018 over 8 privacyrechten

De AVG beschrijft in totaal acht privacyrechten waar burgers uit de EU aanspraak op kunnen maken om de privacy van hun persoonsgevoelige informatie, dus over hem of haar verwerkte persoonsgegevens, te waarborgen.

Recht op dataportabiliteit

Het recht op dataportabiliteit betreft iemands recht op overdraagbaarheid van persoonsgegevens. Het recht op dataportabiliteit houdt in dat iemand de persoonsgegevens kan opvragen die een organisatie over hem of haar heeft verwerkt. Iemand kan deze gegevens opslaan voor eigen gebruik of doorsturen naar een andere organisatie. Indien een betrokkene (degene over wie een organisatie persoonsgegevens heeft verwerkt) de betreffende organisatie verzoekt om de persoonsgegevens door te sturen naar een andere organisatie, dan dient deze organisatie hier gehoor aan te geven indien dit redelijkerwijze mogelijk is.

Recht op vergetelheid

Het recht op vergetelheid houdt het recht van een persoon in om een organisatie te vragen om verwijdering van zijn of haar persoonsgegevens. Iemand heeft hierbij de mogelijkheid om een eerder gegeven toestemming aan een organisatie, om zijn of haar persoonsgegevens te verwerken, op een later moment weer in te trekken. Artikel 17 van de AVG beschrijft dat iemand zijn of haar toestemming om verwerking van persoonsgegevens mag intrekken, bijvoorbeeld wanneer een organisatie geen belang (meer) heeft om over deze persoonsgevoelige informatie van iemand te beschikken. Een organisatie is verplicht om gehoor te geven aan het verzoek van de betrokkene om verwijdering van de persoonsgegevens, tenzij de organisatie aanspraak kan maken op een van de 6 AVG-grondslagen op basis waarvan een organisatie persoonsgegevens mag verwerken. Zo kan een organisatie een verzoek om verwijdering van persoonsgegevens weigeren indien er sprake is van een wettelijke bewaartermijn. Een voorbeeld wanneer een organisatie geen belang meer heeft om over de persoonsgevoelige informatie van een betrokkene te beschikken is wanneer iemand besluit om over te stappen naar een andere apotheek; de vorige apotheek waar deze persoon heeft er dan geen belang meer bij om over de medische gegevens van deze persoon te beschikken. Het specifieke doel waarvoor een betrokkene de vorige apotheek toestemming heeft gegeven hoeft dan niet meer van toepassing te zijn nu een andere apotheek deze taak of werkzaamheid voor betrokkene uitvoert.

Recht op inzage

Iemand heeft het recht om de persoonsgegevens in te zien die een organisatie over hem of haar heeft verwerkt. Een betrokkene kan dan een verzoek tot inzage doen bij een organisatie en vragen welke gegevens deze organisatie van hem of haar heeft. Ook kan iemand de organisatie vragen wie in de organisatie de verwerkte persoonsgegevens kan inzien, en voor welk doel de organisatie informatie de persoonsgegevens verwerkt. Wanneer een betrokkene een organisatie verzoekt om inzage van zijn of haar persoonsgegevens, is de organisatie verplicht om de betrokkene deze informatie te geven.

Recht op beperking van de gegevensverwerking

Het recht op beperking van de gegevensverwerking houdt iemands recht in om in bepaalde gevallen van een organisatie te kunnen eisen dat deze zijn of haar verwerkte persoonsgegevens niet meer gebruikt. Artikel 18 van de AVG beschrijft dit 'recht op beperking van de verwerking' en stelt dat een persoon in een aantal gevallen kan vragen om een beperking van de verwerking van diens persoonsgegevens:
  • Een persoon twijfelt aan de juistheid van diens verwerkte persoonsgegevens.
  • Er is sprake van een onrechtmatige verwerking van persoonsgegevens en een persoon geeft de voorkeur aan het beperken van de verwerking van diens persoonsgegevens in plaats van het verwijderen van deze gegevens.
  • Een persoon heeft de verwerkte persoonsgegevens nodig voor de instelling, uitvoering of onderbouwing van een rechtsvordering terwijl de organisatie de persoonsgegevens niet meer nodig heeft voor het doel waarvoor deze de gegevens verwerkt heeft.
  • Een persoon maakt bezwaar tegen de verwerking van diens persoonsgegevens wegens het oneens zijn met de stelling dat de gerechtvaardigde gronden van de organisatie voor de verwerking zwaarder zouden wegen dan de eigen gronden.

Recht op rectificatie en aanvulling

Het recht op rectificatie en aanvulling van een persoon is het recht van een persoon om een organisatie te verzoeken om een wijziging van de persoonsgegevens die deze organisatie over diegene verwerkt heeft. Een persoon kan een organisatie verzoeken om rectificatie van diens persoonsgegevens als er sprake is van een feitelijke onjuistheid of onvolledigheid, de persoonsgegevens zijn irrelevant voor het doel van de verwerking, of de gegevens zijn in strijd met een wettelijke bepaling.

Recht op duidelijke informatie

Het recht op duidelijke informatie betreft het recht van personen op duidelijke (en schriftelijke) informatie over het doel en de reden waarvoor een organisatie zijn of haar persoonsgegevens verwerkt. Organisaties kennen een informatieplicht: organisaties dienen iedere betrokkene, waarover zij gegevens opslaan en/of doorsturen naar een andere organisatie, te informeren over welke gegevens zij opslaan en/of doorsturen en het specifieke doel (grondslag) waarvoorzij dit doen. Artikelen 13 en 14 van de AVG beschrijven dit recht en geven een uiteenzetting van de informatie die een organisatie verplicht kan zijn te geven aan de persoon waarover een organisatie persoonsgegevens verwerkt:
  • de naam en het adres van de organisatie
  • de contactgegevens van de functionaris voor gegevensbescherming
  • de verwerkingsdoeleinden en rechtsgronden van de verwerking
  • informatie over de gerechtvaardigde belangen indien de verwerking noodzakelijk is voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde
  • de ontvangers of categorieën van ontvangers van de persoonsgegevens
  • de periode gedurende de organisatie de persoonsgegevens verwerkt
  • het recht van de betrokkene een klacht in te dienen bij een toezichthouder
  • de grond van de verwerking van de persoonsgegevens

Recht met betrekking tot geautomatiseerde besluitvorming en profilering

Iemand heeft het recht om een organisatie te vragen een besluit te maken op basis van een menselijke blik: een besluit dat is gemaakt door een mens en er is dus geen sprake van een geautomatiseerd besluit. Er is sprake van geautomatiseerde besluitvorming en profilering indien een organisatie een besluit maakt op basis van gegevens die de organisatie automatisch heeft verwerkt. De AVG/GDPR verstaat onder profilering de automatische verwerking van persoonsgegevens met het doel om de persoonlijke aspecten van een persoon te evalueren. Voorbeelden van persoonlijke aspecten die een organisatie evalueert aan de hand van iemands automatisch verwerkte persoonsgegevens zijn: de gezondheid, economische situatie, persoonlijke voorkeuren, belangen, betrouwbaarheid, carrière of gedrag.

Recht op bezwaar

Iedereen (elke burger uit de EU) heeft het recht om een organisatie te vragen diens persoonsgegevens in zijn geheel niet meer te gebruiken of om diens persoonsgegevens niet meer te gebruiken voor marketingdoeleinden.
Iemand kan zijn of haar recht van bezwaar toepassen indien een van deze twee gevallen zich voortdoet:

Marketingdoeleinden

In het geval een persoon vraagt aan een organisatie om zijn of haar persoonsgegevens in zijn geheel niet meer te gebruiken voor marketingdoeleinden, dient een organisatie hier gehoor aan te geven.

Bijzondere persoonlijke omstandigheden

Indien een persoon zijn recht van bezwaar toepast in verband met bijzondere persoonlijke omstandigheden, dan dient deze persoon aan te tonen dat er een tekortkoming is aan de 'rechtmatigheid van de verwerking'; een organisatie kan zich in dat geval niet beroepen op een van de 6 AVG-grondslagen voor persoonsgegevensverwerking. Een organisatie dient te stoppen met de verwerking van persoonsgegevens van een persoon die op basis van bijzondere persoonlijke omstandigheden bezwaar maakt, tenzij er dwingende gerechtvaardigde gronden aanwezig zijn die zwaarder wegen dan de rechten, vrijheden en belangen van de betrokken persoon.

Lees verder

© 2018 - 2019 Aucourant, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Persoonsgegevens: Je rechten bij veranderen en afschermenPersoonsgegevens: Je rechten bij veranderen en afschermenDe Wet bescherming persoonsgegevens is ingevoerd om de privacy van mensen te beschermen. In mei 2018 werden die wetten e…
Privacy: bescherming persoonsgegevens in Nederland en BelgiëPrivacy: bescherming persoonsgegevens in Nederland en BelgiëEen omschrijving van de term privacy is: de mogelijkheid om in eigen omgeving helemaal zichzelf te zijn. Mensen moeten z…
Persoonsgegevens en internet, privacybescherming op het webPersoonsgegevens en internet, privacybescherming op het webPersoonlijke gegevens en persoonsgegevens op het internet kunnen mensen jarenlang achtervolgen. Sterker nog, die gegeven…
De Grondwet, hoe en wat?De Grondwet is de hoogste Nederlandse wet. Het is een zeer belangrijke wet die in 1814 tot stand kwam. De huidige Nederl…
Datalek; wat is het en wanneer moet je het melden?Datalek; wat is het en wanneer moet je het melden?Sinds 1 januari 2016 bestaat de verplichting om een datalek te melden. De melding moet onverwijld worden gedaan zodra ee…
Bronnen en referenties
  • Inleidingsfoto: JanBaby, Pixabay
  • Article 29 Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, van https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49826.
  • Autoriteit Persoonsgegevens, AVG Europese Privacywetgeving: Rechten van betrokkenen, van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/rechten-van-betrokkenen.
  • Europees Parlement en de Raad, Verordeningen: Verordening (EU) 2016/679 van het Europees Parlement en de Raad, 27 april 2016, Publicatieblad van de Europese Unie, van https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf.
  • Ministerie van Justitie & Veiligheid, Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming, januari 2018, van https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_avg.pdf.

Reageer op het artikel "AVG: Welke privacyrechten heeft een persoon per 25 mei 2018?"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Aucourant
Laatste update: 15-05-2019
Rubriek: Mens en Samenleving
Subrubriek: Regelingen
Special: AVG
Bronnen en referenties: 5
Schrijf mee!