Rechten van betrokkenen in de AVG

Rechten van betrokkenen in de AVG 1841 1216 Ina Brouwer

Inmiddels is dit al de vierde aflevering van onze bloggenreeks: AVG-compliance. Deze week gaan we het hebben over de rechten van betrokkenen in de AVG. Een belangrijk uitgangspunt van de nieuwe Algemene Verordening Gegevensbescherming (AVG) is om betrokkenen meer regie te geven over hun data. Dit blijkt uit de uitbreiding van de rechten van betrokkenen in de AVG ten opzichte van de oude regelgeving. Wie daarnaast kijkt naar de ruimere sanctiemogelijkheden in de AVG voor de toezichthouder, ziet dat de Europese regelgever heeft beoogd om privacy-rechten ook daadwerkelijk te waarborgen. Een persoon wiens “privacy-recht” is geschonden heeft verschillende mogelijkheden om dit recht te effectueren.

Hieronder gaan wij kort in op de verschillende stappen die zij binnen de AVG kunnen ondernemen en hoe organisaties hierop kunnen anticiperen.

Privacyrechten in de AVG

De AVG biedt burgers een heel scala aan rechten. Zo hebben burgers o.a. het recht op informatie over dataverwerkingen, recht op inzage in hun gegevens, recht op correctie van gegevens wanneer deze niet kloppen, het recht ‘om te worden vergeten’ en het recht op overdracht van persoonsgegevens (dataportabiliteit). De AVG verplicht organisaties om gehoor te geven aan dit type verzoeken van betrokkenen.

Het indienen van deze verzoeken mag niet onnodig worden bemoeilijkt en moet zoveel mogelijk worden gefaciliteerd. Het bieden van de mogelijkheid om dit soort verzoeken digitaal in te dienen kan hierbij als voorbeeld worden genoemd. Er mogen geen kosten in rekening worden gebracht voor de behandeling van deze verzoeken. Ook de termijn waarop er gereageerd moet worden, is geregeld in de AVG.

Binnen een maand na ontvangst van het verzoek moeten betrokkenen worden geïnformeerd over de uitvoering hiervan. Een weigering moet worden gemotiveerd en de betrokkene moet worden gewezen op zijn klachtrecht bij de Autoriteit Persoonsgegevens (AP).

Gevolgen niet-naleving

rechten van betrokkenen AVG

Wanneer een betrokkene het niet eens is met de beslissing op zijn verzoek kan hij zich wenden tot de rechter. De rechter kan dan het bedrijf bevelen het verzoek alsnog te honoreren. Hiernaast kan de betrokkene zich wenden tot de AP en een klacht indienen. Een individuele klacht hoeft niet per se te leiden tot handhaving door de AP of boeteoplegging.

Wel is het zo dat elke klacht moet worden behandeld, dus het risico van handhaving is wel degelijk aanwezig!

Verwerkingsverantwoordelijke veroordelen

Een betrokkene kan de rechter ook verzoeken om de verwerkingsverantwoordelijke te veroordelen in de vergoeding van schade. De schade die de betrokkene zegt geleden te hebben door een privacy-schending moet dan wel worden bewezen. Dat is voor de eiser geen sinecure, omdat schade door schending van privacyrechten meestal moeilijk is aan te duiden.

Wel erkent de AVG uitdrukkelijk dat bepaalde schendingen van privacyrechten ook kunnen leiden tot immateriële schade bij betrokkenen. Dit geeft eisers extra armslag in schadevergoedingszaken.

Voorkomen beter dan genezen

De AVG legt voor de naleving van privacyregels een groot deel van de verantwoordelijkheid bij de verwerkingsverantwoordelijke (het bedrijf of de organisatie) zelf. Het is daarom aan te raden om in één overzichtelijk document het gehanteerde privacybeleid uiteen te zetten, met o.a. hoe wordt omgegaan met de rechten van betrokkenen. Dit verschaft duidelijkheid voor iedereen, zowel voor de AP als betrokkenen.

Verder kunnen standaard sjablonen beschikbaar worden gesteld op de website voor verzoeken die door betrokkenen kunnen worden ingediend. Mocht er onverhoopt toch een procedure tegen het bedrijf worden gevoerd, dan dient dit als bewijsmateriaal van naleving van de AVG.

Ook dan is het raadzaam om een advocaat privacyrecht in de arm te nemen.