Artikel 13 – informatieplicht
Op de organisatie rust een actieve informatieplicht. Dit houdt in dat de betrokkene geïnformeerd dient te worden over algemene en specifieke informatie, maar ook over de doeleinden van de gegevensverwerking. Ook als het doel van gegevensverwerking wijzigt, dan moet dit op een duidelijke manier gecommuniceerd worden. Een privacyverklaring of privacy statement is een goed instrument voor behoorlijke en transparantie informatieverstrekking. Alle informatie kan dan op één plek teruggevonden worden door alle belanghebbenden. Zorg ervoor dat betrokkenen worden geïnformeerd over de bewaartermijnen die gelden binnen de organisatie en wijs de betrokkenen op de rechten die hen toekomen. Maar ook dat de mogelijkheid bestaat een klacht bij de Autoriteit Persoonsgegevens in te dienen. Wees ook duidelijk wanneer het gaat om informatiedoorgifte naar landen buiten de Europa. Al met al dient de communicatie richting de betrokkene op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige bewoordingen plaats te vinden.
Artikel 15 – rechte van inzage
De betrokkene heeft het recht om te informeren naar de doeleinden waarvoor zijn of haar persoonsgegevens worden verwerkt en beschikt over het recht om deze in te zien en te ontvangen in een leesbare vorm. De verantwoordelijke dient daarbij uitleg te geven over de betreffende gegevensverwerking en inzage te verschaffen. Mogelijke kosten voor inzage mogen in rekening worden gebracht, indien meer dan één exemplaar wordt opgevraagd.
Artikel 16 en 17 – rectificatie, wissing en recht op vergetelheid
Betrokkenen kunnen het recht om onjuiste of achterhaalde gegevens te laten rectificeren (art. 16) en het recht om deze gegevens te laten wissen (art. 17 – het recht om vergeten te worden) uitoefenen. Zo’n verzoek om rectificatie moet meteen plaatsvinden (onverwijld) en het wissen dient zonder onredelijke vertraging plaats te vinden. Het recht om vergeten te worden is van toepassing wanneer het bewaren van de persoonsgegevens niet langer nodig is voor de doeleinden van de gegevensverwerking, de betrokkene zijn/haar toestemming intrekt en er geen andere rechtsgrond voor de gegevensverwerking is, de betrokkene bezwaar maakt tegen de betreffende gegevensverwerking en indien de persoonsgegevens van betrokkene onrechtmatig zijn verwerkt.
De verantwoordelijke is volgens art. 19 verplicht om elke ontvanger van de persoonsgegevens te informeren in geval van rectificatie, wissen of beperken van gegevensverwerking. De betrokkene kan hierbij vragen welke ontvangers van persoonsgegevens geregistreerd staan.
Artikel 20 – het recht op overdraagbaarheid (dataportabiliteit)
De betrokkene heeft het recht om zijn of haar persoonsgegevens te ontvangen van de verantwoordelijke en deze daarmee aan een andere verantwoordelijke over te dragen. De betrokkene heeft het recht om de verstrekte persoonsgegevens in een gestructureerde, gangbare en een door machine leesbare vorm te ontvangen. Eerder schreven wij op Riskworld over dit recht. Lees het artikel hier.
Hoe groot is de kans dat deze rechten worden uitgeoefend?
Het is nog maar de vraag of betrokkenen zich daadwerkelijk zullen beroepen op de rechten die hen zijn toegekend. Organisaties doen er goed aan op tijd te beginnen, want het ad-hoc behandelen van zulke verzoeken kan tijdrovend zijn en voor extra hoge kosten zorgen. Daarnaast moet niet vergeten worden dat de boetes voor overtredingen niet de minste zijn. Organisaties die in mei 2018 niet aan de eisen voldoen, riskeren een boete en onnodige frustraties.
Waar dient u nu rekening mee te houden?
Zorg er in ieder geval voor dat binnen de organisatie een duidelijk beschreven procedure geldt, inclusief toelichting of nadere instructies, zodat binnen een redelijke termijn aan de verzoeken van betrokkenen gehoor gegeven kan worden.