Onder de AVG hebben betrokkenen meer en verbeterde privacyrechten. U moet er dus voor zorgen dat zij deze goed kunnen uitoefenen. Houd met name rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Betrokkenen moeten hun gegevens makkelijk van u kunnen krijgen zodat zij deze gegevens kunnen doorgeven aan een andere organisatie als zij dat wensen. Wist u dat mensen bij de toezichthouder een klacht kunnen indienen over de manier waarop u met hun gegevens omgaat? De toezichthouder is verplicht deze klachten te behandelen, maar zoals ze recent zelf zeiden: ‘er zijn meer dan 10.000 wachtenden voor u’.
Betrokkene staat centraal
In de AVG staat de betrokkene centraal: meer mogelijkheden om voor zichzelf op te komen en versterking en uitbreiding van zijn of haar rechten vergeleken met oudere wetgeving. Als organisatie is het belangrijk om ervoor te zorgen dat betrokkenen hun rechten goed kunnen uitoefenen.
Welke rechten zijn geregeld?
Ga allereerst binnen uw organisatie na of de huidige procedures voorzien in alle rechten voor betrokkenen uit de AVG. Deze rechten zijn onder meer: recht op informatie, recht van inzage, recht op rectificatie, recht op beperking van de verwerking, recht op overdraagbaarheid (dataportabiliteit), recht van bezwaar en het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming (profiling). Sommige van deze rechten stonden ook al in de Wet bescherming persoonsgegevens, anderen zijn nieuw. Hoe moet u deze rechten nu inrichten van in uw organisatie?
Zorg er eerst voor dat u weet op welke processen de verschillende rechten van invloed zijn. Het recht op inzage heeft bijvoorbeeld invloed op het primaire proces. Immers, de kandidaat kan vragen om inzage in het dossier. U hoeft overigens niet alles te laten zien: de duidelijk interne notities vallen niet onder het recht op inzage. Als de kandidaat vraagt om verwijdering van het dossier heeft dit ook invloed op het primaire proces.
Zorg er vervolgens voor dat betrokkenen hun rechten kunnen uitoefenen. Zorg ervoor dat de betrokkenen op een juiste manier worden geïnformeerd over hun rechten. Het meest gebruikte middel om betrokkenen te informeren is via het ‘privacystatement’ c.q. ‘privacyverklaring’ op uw website. De informatie moet beknopt worden gegeven, dus geen lang, wollig taalgebruik maar concrete en duidelijk zinnen. Geen juridisch of technisch jargon, maar begrijpelijke taal.
Geen absoluut recht
De rechten van betrokkenen zijn niet absoluut. Het feit dat de cliënt zich beroept op het recht op verwijdering betekent niet dat u dat ook altijd moet doen. Zo moet u een loonheffingsverklaring van de Belastingdienst vijf jaar bewaren en dat gaat vóór het recht op verwijdering. Hetzelfde geldt voor bijv. het ID-bewijs. Bericht de kandidaat in zo’n geval dat u het verzoek niet kan en mag inwilligen en geef de reden ervan.
De manier waarop de procedures voor de rechten van betrokkenen worden ingericht, is sterk afhankelijk van het type organisatie. Voor zowel grote als kleinere organisaties kan één loket (bijvoorbeeld via een e-mailadres) worden ingericht waar de betrokkenen terecht kunnen.
Wij helpen u
FlexKnowledge en VKA hebben samen een toolbox ontwikkeld, waarin alle noodzakelijke documenten zijn opgenomen. Dus ook de basis voor het register van verwerkingsactiviteiten. U kunt die zelf controleren, aanvullen en updaten, maar u kunt dat ook aan ons uitbesteden.
In het volgende artikel wordt ingegaan op de privacy-cultuur. Hoe borgt u privacy in de cultuur van de organisatie? Welke middelen kunt u inzetten om deze gewenste cultuur positief te beïnvloeden?