Dagelijks laten we bewust of onbewust onze sporen achter op het internet. Ook jij. Denk maar eens aan alle persoonsgegevens die je online deelt met bijvoorbeeld verschillende sociale media bedrijven of webshops. En hoewel jouw persoonsgegevens van jou zijn worden ze met regelmaat wél opgeslagen, gedeeld of verkocht. Hoe hou je controle over wat een bedrijf van jou weet? En wat doet een bedrijf eigenlijk met deze gegevens? Om daar achter te komen kun je gebruik maken van jouw privacyrechten volgens de AVG. Maar wat zijn die rechten precies?
Om jouw digitale voetafdruk beter te beschermen introduceerde de Europese Unie in 2018 een nieuwe privacywet rondom persoonsgegevens. Deze verordening noemen we de Algemene Verordening Gegevensbescherming (AVG), ook wel bekend onder de naam GDPR (General Data Protection Regulation). In een notendop geeft de AVG je meer bescherming en zeggenschap over informatie en gegevens die jij deelt met een bedrijf. Op deze manier kun je jouw privacy beschermen en sta je een stuk sterker in je schoenen. Dit zijn de privacyrechten die jij volgens de AVG hebt:
Recht op informatie
Het delen van persoonsgegevens met een bedrijf heb je gelukkig vaak zelf in de hand. Denk aan het wel of niet installeren van een bepaalde app op je telefoon. Of het wel of niet doen van een aankoop in een bepaalde webshop. Hoe dan ook, wanneer er verwerking van persoonsgegevens plaatsvindt moet het voor jou als betrokkene duidelijk zijn wat een bedrijf met jouw gegevens gaat doen en waarom. Je e-mailadres gebruiken om een freebie te downloaden om vervolgens een ongevraagde nieuwsbrief te ontvangen, mag bijvoorbeeld dus niet. Bedrijven moeten jou vooraf de volgende informatie geven:
- Welke persoonsgegevens zij van jou verwerken;
- Waarom en met welk doel zij dit doen en hoelang ze jouw gegevens bewaren;
- Of ze jouw gegevens delen met of doorverkopen aan een ander bedrijf en zo ja, aan welke;
- En welke rechten jij als betrokkene hebt, zoals het recht op inzage of vergetelheid.
Deze informatie vind je vaak in de online privacyverklaring van een bedrijf. Zo’n privacystatement mag niet te moeilijk of te lang zijn. Jij als betrokkene moet makkelijk kunnen begrijpen wat er met jouw gegevens gebeurt. Is de verklaring moeilijk vindbaar of niet transparant genoeg? Denk dan vooraf goed na of jij jouw gegevens wel wilt delen met dit bedrijf.
Twijfel je over de privacyverklaring van jouw bedrijf? Laat dan jouw privacyverklaring en/of andere juridische documenten opstellen door een jurist.
Recht op inzage
Heb jij jouw persoonsgegevens met een bedrijf gedeeld en krijg je het gevoel dat deze gegevens niet (meer) kloppen of misschien zelfs verkeerd worden gebruikt? Of wil je gewoon weten welke gegevens een bedrijf überhaupt allemaal van jou heeft? Dan heb je het recht om deze gegevens in te zien. Dit staat beschreven in artikel 15 van de AVG als het recht op inzage. Met het recht op inzage kun je aan ieder bedrijf vragen of er persoonsgegevens van jou worden verwerkt, om welke gegevens het gaat en op welke manier deze gegevens worden verwerkt. Je kunt zo’n inzageverzoek aanvragen via een telefoontje, brief of per e-mail zonder opgaaf van reden.
In principe heb je altijd recht op inzage van ál jouw persoonsgegevens, denk aan e-mails, opgenomen telefoongesprekken of het contact dat het bedrijf over jou heeft gehad met derde partijen. Maar omdat het soms over onwijs veel gegevens gaat is het wél aan te raden vooraf te bedenken welke gegevens je precies wilt inzien. Heb je inzage verkregen? Dan kun je controleren of jouw gegevens kloppen en of het bedrijf deze gegevens juist gebruikt. Ben je het niet eens met de gegevens? Dan kun je een beroep doen op andere privacyrechten, zoals bijvoorbeeld het recht op rectificatie.
Recht op rectificatie
Heb je jouw gegevens met behulp van het recht op inzage gecontroleerd en kloppen deze niet? Dan kun je volgens artikel 16 van de AVG beroep doen op het recht op rectificatie. Met het recht op rectificatie kun jij als betrokkene het bedrijf vragen jouw persoonsgegevens te wijzigen of aan te vullen. Je kunt zo’n verzoek om rectificatie indienen als je persoonsgegevens:
- …niet (meer) kloppen
- …niet (meer) volledig zijn
- …niet (meer) relevant zijn
- …in strijd zijn met de wet
Wil je jouw gegevens laten wijzigingen of aanvullen? Dan kun je het beste jouw wijzigingen of aanvullingen schriftelijk, via brief of email, doorgeven. Je kunt voor een rectificatieverzoek de voorbeeld brief van Autoriteit Persoonsgegevens gebruiken. Het aangeschreven bedrijf is verplicht om binnen 30 kalenderdagen te reageren en mag geen kosten in rekening brengen voor een wijziging of aanvulling. Wel mogen ze voor het in behandeling nemen van je verzoek je identiteit controleren.
Recht op vergetelheid
Verwerkt een bedrijf jouw gegevens maar is hier geen geldige of goede reden meer voor? Dan is het bedrijf verplicht jouw gegevens te wissen. Je hebt namelijk recht op vergetelheid. Of in makkelijkere taal: het recht om vergeten te worden. Je mag daarom het bedrijf vragen om jouw persoonsgegevens te verwijderen. Maar let op: niet alle gegevens kunnen zomaar worden verwijderd.
Het recht om vergeten te worden geldt wel wanneer:
- Jouw persoonsgegevens niet meer nodig zijn voor het doel waarvoor ze zijn verzameld;
- Je toestemming voor het gebruik van jouw gegevens hebt ingetrokken;
- Je bezwaar hebt gemaakt tegen het gebruik van jouw gegevens en jouw belangen wegen zwaarder dan die van een bedrijf;
- Het bedrijf zich niet houdt aan de privacyregels bij het gebruik van jouw persoonsgegevens;
- Het wettelijk bepaalde bewaartermijn is verlopen;
- Als jouw kind jonger dan 16 jaar is en zijn of haar gegevens verzameld zijn via een app of website.
Het recht om vergeten te worden geldt niet wanneer:
- De verwerking noodzakelijk is om vrijheid van meningsuiting en informatie uit te oefenen;
- Het bedrijf wettelijk verplicht is om bepaalde gegevens te verwerken, bijvoorbeeld de wettelijke bewaarplicht van 7 jaar op facturen;
- De verwerking van de gegevens plaatsvindt voor een taak van algemeen belang op het gebied van de volksgezondheid;
- Gegevens worden verwerkt om openbaar gezag uit te oefenen;
- De verwekte gegevens noodzakelijk zijn voor een rechtsvordering;
- Wanneer het bedrijf de gegevens in het algemeen belang moet archiveren.
Recht op dataportabiliteit
Het recht op dataportabiliteit wordt ook wel gegevensoverdraagbaarheid genoemd. Dit betekent dat jij het recht hebt om persoonsgegevens te ontvangen die een bedrijf van jou verwerkt. Het bedrijf is verplicht om mee te werken en mag jouw gegevens dus niet vasthouden. Het recht om gegevens over te dragen kan handig zijn, bijvoorbeeld wanneer je wilt overstappen naar een nieuwe leverancier van een dienst of product. Denk aan een telefoonprovider die moet bepalen welk type abonnement het beste bij jouw telefoongebruik past. Je kunt zo makkelijk jouw gegevens doorgeven of nog beter: het ‘oude’ bedrijf vragen om jouw gegevens over te dragen aan het nieuwe bedrijf.
Let wel op: niet alle gegevens mogen overgedragen worden. Papieren documenten vallen niet onder het recht op gegevensoverdraagbaarheid. Het moeten digitale dossiers zijn. Daarnaast mogen alleen persoonsgegevens overgedragen worden die een bedrijf met jouw toestemming verwerkt of die verwerkt worden om een overeenkomst uit te voeren. Denk bijvoorbeeld aan aangeschafte e-books of muziek beluisterd via een streamingdienst.
Recht van bezwaar
Brieven met kortingsbonnen, e-mails met aanbiedingen ‘speciaal voor jou’ of telefoontjes van vervelende telemarketingbedrijven. Bedrijven mogen jou, onder bepaalde voorwaarden, reclamepost sturen. Maar niet iedereen zit hierop te wachten. Gelukkig heb jij onder artikel 21 van de AVG het recht om bezwaar te maken tegen de verwerking van jouw persoonsgegevens. Bedrijven zijn verplicht om jou al bij het eerste contact te informeren over dit recht van bezwaar.
Bezwaar maken tegen de verwerking van persoonsgegevens kan ook noodzakelijk zijn in specifieke situaties. Situaties waarbij er bijzondere persoonlijke omstandigheden in het spel zijn. Stel dat jij een spannende hobby hebt en hiervoor het een en ander besteld op een webshop, maar een bekende van je werkzaam is bij dit bedrijf. Je zou dan bezwaar kunnen maken tegen het gebruik van jouw persoonsgegevens.
Recht op beperking van de verwerking
Dat je bedrijven kunt verplichten om persoonsgegevens niet (meer) te verwerken valt onder het recht van bezwaar. Maar in bepaalde gevallen kan een bedrijf jouw gegevens niet wissen. Voor deze situatie is er het recht op beperking van de verwerking, vastgelegd in artikel 18 van de AVG. Dit betekent dat bedrijven tijdelijk moeten stoppen met het gebruiken van jouw persoonsgegevens.
Om gebruik te maken van het recht op beperking van de verwerking moet er één van de vier onderstaande situaties van toepassing zijn:
- De verwerking is onrechtmatig. Een bedrijf is niet gerechtigd om jouw gegevens te verwerken volgens de privacyregels en zij moeten de gegevens eigenlijk wissen. Als jij aangeeft dat de gegevens niet gewist mogen worden, moet het bedrijf het verwerken ervan beperken.
- De persoonsgegevens zijn mogelijk onjuist. Je hebt aangegeven dat jouw gegevens onjuist zijn. Totdat het bedrijf heeft gecontroleerd of ze inderdaad niet kloppen, mogen zij jouw gegevens niet verwerken.
- De persoonsgegevens zijn niet meer nodig. Jouw gegevens zijn niet meer nodig voor het doel waarvoor de gegevens zijn verzameld. Maar je wil de gegevens nog niet laten wissen, omdat ze bijvoorbeeld noodzakelijk zijn voor een juridische procedure.
- Er is bezwaar gemaakt tegen de verwerking. In afwachting van het antwoord of jouw belangen zwaarder wegen dan die van een bedrijf, moet de verwerkingsverantwoordelijke tijdelijk stoppen met het verwerken van de persoonsgegevens.
Recht op menselijke blik bij besluiten
Tegenwoordig maken veel bedrijven en instanties gebruik van automatisering. Beslissingen in bedrijven die genomen worden op basis van automatisch verwerkte gegevens. Oftewel: een computer die een besluit neemt, sollicitatie beoordeelt of aanvraag behandelt, zónder tussenkomst van een mens.
Als een automatisch besluit gevolgen voor jou heeft, geeft de privacywet jou het recht om een menselijk blik te laten werpen over het besluit. Denk aan het niet uitgenodigd worden voor een sollicitatiegesprek of een online ingediende kredietaanvraag. Het bedrijf moet dan een nieuw besluit nemen waarbij een persoon de ingediende gegevens beoordeelt. Het is belangrijk voor bedrijven, die automatische besluiten nemen, om hun systemen met regelmaat te controleren en testen. Om zo de kans op foute uitkomsten door het toedoen van automatische procedures zo klein mogelijk te maken.
Jouw privacyrechten volgens de AVG
Om grip te houden op jouw persoonsgegevens is het aan te raden om vooraf goed onderzoek te doen naar jouw privacyrechten. En dat begint bij het doorlezen van de privacyverklaring van een bedrijf die jouw persoonsgegevens verwerkt. Staat hier iets in waar jij het niet mee eens bent? Vraag jezelf dan af of en welke persoonsgegevens je met ze wilt delen. Heb jij een bedrijf en kom je er, na het lezen van dit artikel, achter dat jouw privacystatement niet op orde is of zelfs ontbreekt? Laat dan je privacyverklaring opstellen door Lady Lawyer via onderstaande knop.
Let op: afhankelijk van wanneer je dit artikel leest kan deze informatie verouderd zijn. De artikelen op deze website bevatten algemene juridische informatie, maar uitdrukkelijk geen één-op-één advies. Hulp nodig bij jouw specifieke situatie? Neem dan contact met ons op.