Het Verwerkingsbeleid – AVG Stapsgewijs

Dit artikel is onderdeel van een reeks van het AVG-Stappenplan (klik hier).

Nadat alle verwerkingen van persoonsgegevens in kaart zijn gebracht (zie Stap 1), is het van belang om beleid op te stellen. Naast een beveiligingsbeleid (hetgeen in Stap 3 aan de orde komt), gaat het daarbij onder meer om het toedelen van verantwoordelijkheid voor de verwerkingen en de wijze waarop de rechten van betrokkenen worden gewaarborgd. Over dat laatste hierna meer.

Betrokkenen – dus degenen wiens persoonsgegevens het betreft – hebben de volgende rechten:

- Dataportabiliteit. Het recht om in een gangbaar bestandsformaat de verwerkte persoonsgegevens overgedragen te krijgen, zodat deze aan een partij kunnen worden toegezonden;
- Vergetelheid. Het recht om ‘vergeten’ te worden;
- Inzage in wélke persoonsgegevens, voor welke doeleinden worden verwerkt;
- Rectificatie en aanvulling van onjuiste of onvolledige persoonsgegevens;
- Beperking van de verwerking (minder gegevens verwerken);
- Beperken van automatische besluitvorming (geautomatiseerde besluitvorming en/of profilering), zodat een persoon het oordeel dient te vellen, in plaats van de “machine”;
- Het recht om bezwaar te maken tegen de gegevensverwerking (tegen een verwerking op grond van een gerechtvaardigd belang kan bijvoorbeeld doorgaans met succes bezwaar gemaakt worden);
- Transparantie, bijvoorbeeld door middel van een Privacy Verklaring (klik hier voor onze Privacy Verklaring);
- Het recht om een klacht in te dienen bij de Toezichthouder (de Autoriteit Persoonsgegevens).

Bij een betrokkene dient bekend te zijn wie het aanspreekpunt is voor een bepaald verzoek (bijv. door een vermelding in de Privacy Verklaring). Het beleid dient er voor te zorgen dat de organisatie weet hoe een bepaald verzoek dient te worden behandeld en wat er dient te gebeuren. In normale gevallen dient u binnen een maand te reageren op een dergelijk verzoek en mogen geen kosten in rekening worden gebracht. Enigszins ironisch is dat u de identiteit dient te controleren van de verzoeker om te voorkomen dat u persoonsgegevens aan de verkeerde persoon verstrekt. Nog meer opletten is het bij minderjarige personen of onder curatele gestelde personen, waarbij de wettelijke vertegenwoordigers hun belangen behartigen.

Als voorbeeld; een verzoek tot inzage. Een betrokkene hoeft geen reden te geven voor zijn verzoek tot inzage, maar hij/zij mag niet onevenredig veel verzoeken in korte tijd indienen. Er moet een volledig overzicht van de verwerkte gegevens worden verstrekt, alsmede de herkomst van de gegevens, de ontvangers van de gegevens en de doelen van de verwerking van de persoonsgegevens. En dat alles in begrijpelijke taal.

Het kan daarbij gaan om documenten waarin persoonsgegevens van derden zijn opgenomen. In dergelijke gevallen moet een afweging worden gemaakt tussen enerzijds het recht van de betrokkene om de persoonsgegevens in te zien en anderzijds de inbreuk op de privacy van de derde. Weegt het belang van de derde zwaarder, dan kan inzage in de persoonsgegevens worden geweigerd. Waar mogelijk kan doorgaans volstaan worden met het afschermen van de persoonsgegevens van de derde.

Het gaat het bestek van dit bericht te buiten om alle mogelijkheden ten aanzien van het beleid aangaande bescherming en verwerking van persoonsgegevens te behandelen. Wij helpen u uiteraard graag verder.

Heeft u vragen over het voorgaande, uw privacy statement, de cookieregelgeving en/of andere vragen over de AVG? Neem dan contact op met Hein Snijders of Simon Velthuizen.