Betrokkenen hebben onder de AVG meer mogelijkheden gekregen om controle uit te kunnen oefenen over de omgang met hun persoonsgegevens. Hiermee is het procesmatig inrichten van een juiste omgang met verzoeken van betrokkenen in toenemende mate van belang geworden. Tel daarbij op dat betrokkenen gerechtigd zijn een klacht in te dienen bij hun privacy toezichthouder (in Nederland de Autoriteit Persoonsgegevens) voor bijvoorbeeld het niet ontvangen van een reactie op hun verzoek als betrokkene, en het belang van een adequate reactie is helder. Maar, hoe richt je dit nou praktisch en procesmatig in?
Inventariseer de rechten van betrokkenen
Allereerst is van belang om als organisatie te inventariseren welke rechten van betrokkenen daadwerkelijk ingeroepen kunnen worden bij de organisatie. Hoewel een verzoek tot inzage voor elke organisatie die persoonsgegevens verwerkt voor kan komen, is dit niet ten aanzien van alle rechten het geval. Zo is het praktisch gezien goed mogelijk dat bepaalde rechten zelden, of helemaal nooit ingeroepen kunnen of zullen worden.
Een goed voorbeeld is ‘het recht op dataportabiliteit’. Het recht op dataportabiliteit is een recht dat het als betrokkene mogelijk maakt om de van jou verwerkte gegevens te ontvangen en over te dragen aan een andere organisatie. Wanneer je dit doet? Denk bijvoorbeeld aan het verwerken van jouw persoonsgegevens in het kader van de welbekende klantenkaart. Ga je verhuizen en kun je gebruik gaan maken van een alternatieve klantenkaart van een winkel dichter bij jou in de buurt, dan kan het overdragen van informatie over jouw aankopen aan die winkel interessant zijn. Immers, wie ontvangt nou niet graag interessante gepersonaliseerde aanbiedingen.
Dit recht kan echter alleen ingeroepen worden ten aanzien van gegevens die verwerkt worden op basis van de grondslagen ‘toestemming’ en ‘uitvoering van de overeenkomst’. Verwerk je als organisatie geen gegevens op basis van een van deze grondslagen, dan is het dus ook niet nodig om je processen in te richten op een dergelijk verzoek.
Controleer dus goed welke rechten van betrokkenen daadwerkelijk ingeroepen kunnen worden door de betrokkenen.
Zorg voor inzicht in de gegevens
Gelet op de strakke termijn die geldt voor het in behandeling nemen en afhandelen van een verzoek van een betrokkene is het belangrijk om je zaken op een rijtje te hebben. Zo is het bij een verzoek tot inzage essentieel dat snel terug te herleiden is waar je bepaalde gegevens hebt opgeslagen en je ook het bijbehorende doeleinde voor de verwerking kunt beargumenteren.
‘Gelukkig’ word je via de AVG al verplicht tot het op orde hebben van die informatie. Immers, via het AVG-huishoudboekje (het verwerkingsregister) dien je zaken als deze netjes te noteren, inclusief andere informatie als getroffen beveiligingsmaatregelen en het overzicht van derden die de gegevens ontvangen. En laat deze laatste categorie nou weer enorm interessant zijn als er een verwijderingsverzoek gedaan wordt. Aan jou als verwerkingsverantwoordelijke namelijk de taak om te borgen dat ook verwerkers de gegevens van de desbetreffende betrokkene verwijderen.
Kortom, zorg dat je je zaken als verwerkingsverantwoordelijke (en verwerker) op orde hebt en geef jezelf de kans om snel te kunnen schakelen en adequaat te kunnen reageren op de rechten van betrokkenen.
Maak onderscheid naar rol
In het verlengde van het bovenstaande is het belangrijk om goed inzichtelijk te hebben welke rol je hebt ten aanzien van de persoonsgegevens van betrokkenen. Immers, waar je als verwerkingsverantwoordelijke de eindverantwoordelijke bent ten aanzien van de persoonsgegevens, is het goed mogelijk dat je als verwerker ook mee moet werken met verzoeken van betrokkenen.
Afspraken over de omgang met verzoeken vanuit de rol van verwerker zijn vaak gemaakt in de welkbekende verwerkersovereenkomsten. Zo is het mogelijk dat je als verwerker met je opdrachtgevers hebt afgesproken dat ingediende verzoeken linearecta aan hen worden doorgezet. Echter, het staat verwerkingsverantwoordelijken en verwerkers vrij om hiervan contractueel af te wijken. Gemaakte afspraken kunnen verwerkers dus ook verplichten tot het direct afhandelen van dergelijke verzoeken, of het verplicht geven van assistentie aan verwerkingsverantwoordelijken.
Belangrijk is om goed in de gaten te houden vanuit welke rol je persoonsgegevens verwerkt. Inventariseer daarnaast goed welke afspraken je als verwerker en/of met verwerkers maakt over de omgang met dergelijke rechten en zorg dat je helder hebt richting welke betrokkenen je welke verplichtingen hebt.
Controleer
Nadat duidelijk is waar alle gegevens te vinden zijn, met welke rechten je wat zult moeten als organisatie, en het duidelijk is hoe de verzoeken jouw organisatie binnenkomen en door wie ze worden opgepakt, is het belangrijk om de processen eens in de zoveel tijd te controleren. Je kunt nog zó goed op papier hebben staan hoe je wil dat de zaken verlopen, in de praktijk loopt het vaak net wat anders.
Een controle geeft je daarnaast goed inzicht in de vertragende factoren binnen de organisatie. Zo kan het zijn dat je maar met moeite reactie krijgt van je verwerkers aangaande een verzoek tot verwijdering, of lukt het je maar niet om gegevens in een machinaal leesbaar bestand te plaatsen naar aanleiding van een verzoek tot dataportabiliteit. De praktijk leert je waar de pijnpunten liggen en laten zien waar jouw aandacht naar uit dient te gaan om van de omgang met de rechten van betrokkenen een succes te maken.
