Ik heb wel wat te verbergen...en u ook!
Het zou altijd 'dag van...' moeten zijn. Vandaag, 28 januari 2020, is het Dag van de Privacy (Data Protection Day), een "feestdag" die in het leven is geroepen door de Raad van Europa, om bij zowel burgers als organisaties meer bewustzijn te creëren voor de bescherming van de persoonlijke levenssfeer. De bescherming van persoonsgegevens zou wat mij betreft altijd in de belangstelling moeten staan. De bescherming van uw privacy wordt rechtstreeks geraakt door de wijze waarop overheidsinstanties en andere organen met de verzameling en verwerking van uw persoonsgegevens omgaan.
Sommige burgers menen dat ze niets te verbergen hebben. Het mantra zou wat mij betreft moeten zijn dat u wél wat te verbergen hebt: uw recht op privacy is niet gegeven om de deur open te zetten voor een inbreuk op uw persoonlijke levenssfeer. Het kan zijn dat een overheidsorgaan of een organisatie van andere aard uw gegevens verzamelt en verwerkt, zonder dat u hiervan op de hoogte bent gesteld. Ook kan het zijn dat u niet op de hoogte bent gesteld van de aard en categorie van uw gegevens die in een dossier zijn verwerkt en wat de concrete verwerkingsdoeleinden van het overheidsorgaan of een andere organisatie inhouden. Dan is het goed om te weten dat u op grond van de AVG (voordien op grond van de Wet bescherming persoonsgegevens) recht hebt op informatie, inzage, beperking van de verwerking van uw gegevens, rectificatie en gegevenswissing.
Het vorderen van inzage in de verwerking van uw persoonsgegevens
1. Het uitoefenen van uw informatierecht
- De verwerkingsverantwoordelijke dient de identiteit en contactgegevens van zichzelf en/of de vertegenwoordiger te verstrekken op grond van art. 14 lid 1 onder a AVG. Onder meer de gemeentelijke instantie, het Inlichtingenbureau of een privaat Data lab/miningbedrijf dienen u de eigen identiteit en contactgegevens te verstrekken;
- De verwerkingsdoeleinden waarvoor uw persoonsgegevens zijn bestemd en de categorieën van persoonsgegevens moeten aan u worden verstrekt op grond van art. 14 lid 1 onder c-d AVG;
- Gegevens van de persoon of instantie die de persoonsgegevens van de verwerker ontvangt dienen aan u te worden verstrekt o.g.v. art. 14 lid 1 onder e AVG;
- De verwerkingsverantwoordelijke dient u in klare taal informatie te verschaffen over uw recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens (art. 14 lid 2 onder c AVG) en de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens art. 14 lid 2 onder e AVG).
2. Het uitoefenen van uw recht van inzage (art. 15 AVG)
- Wijs de verwerkingsverantwoordelijke erop dat u inzage dient te krijgen in de doeleinden van de verwerking, de betrokken categorieën van persoonsgegevens die worden verwerkt, de ontvangers aan wie uw persoonsgegevens zijn of zullen worden verstrekt, de periode van opslag van uw gegevens en de bronnen waaruit uw gegevens zijn betrokken (art. 15 lid 1 AVG);
- De verwerkingsverantwoordelijke dient aan u een kopie te verstrekken van de gegevens die worden verwerkt (art. 15 lid 3 AVG).
3. Uw recht van rectificatie, verwerkingsbeperking en gegevenswissing
- Zijn de verwerkte persoonsgegevens die u betreffen, onjuist of onvolledig? Verzoek dan om rectificatie (art. 15 lid 1 onder e AVG jo. art. 16 AVG);
- Verzoek om beperking van de verwerking van uw persoonsgegevens (art. 15 lid 1 jo. 18 AVG). U hebt het recht op 'vergetelheid' (art. 15 lid 1 onder e AVG jo. 17 AVG);
- De verwerkingsverantwoordelijke dient u in kennis te stellen inzake de rectificatie of wissing van uw persoonsgegevens of de verwerkingsbeperking (art. 19 AVG);
- Maakt u bezwaar tegen de verwerking van uw gegevens onder toepassing van art. 21 AVG, dan hebt u tevens recht op beperking van de verwerking van uw persoonsgegevens (art. 18 lid 1 onder d AVG).
4. De plicht van verwerkingsverantwoordelijke om op transparante wijze begrijpelijke informatie te verschaffen (art. 12 in verband met art. 5 lid 1 sub a AVG)
De verwerkingsverantwoordelijke dient u op transparante, begrijpelijke en gemakkelijk toegankelijke wijze informatie te verschaffen (art. 12 AVG). De informatie dient voor de gemiddelde betrokkene begrijpelijk te zijn (Guideline WP260 rev.01, 11 April 2018, p. 7-8). Uit de informatie moet blijken hoe uw persoonsgegevens zijn verwerkt en voor welke doeleinden. De informatieverplichtingen op grond van art. 12 AVG dienen immers uw informatierecht (art. 13-14 AVG) te faciliteren.
5. De plicht van de verwerkingsverantwoordelijke om een Privacy Impact Assessment (PIA of DPIA) uit te voeren
De verwerkingsverantwoordelijke dient vóór de verwerking van persoonsgegevens een beoordeling uit te voeren van het effect van de beoogde verwerkingsactiviteit op de bescherming van persoonsgegevens (art. 35 lid 1 AVG). De beoordeling bevat ten minste een systematische beschrijving van de beoogde verwerkingen en verwerkingsdoeleinden, waaronder de belangen van de verwerkingsverantwoordelijke; ook dient de verwerkingsverantwoordelijke een beoordeling te geven van de noodzaak en evenredigheid van de verwerkingen met betrekking tot de doeleinden (proportionaliteit en subsidiariteit); voorts dient de beoordeling te omschrijven welke maatregelen zijn getroffen en aan te tonen hoe aan de waarborging van de bescherming van de persoonsgegevens en de rechten en gerechtvaardigde belangen van de betrokken burgers is voldaan (art. 35 lid 7 AVG).
Het zou altijd 'dag van...' moeten zijn. Vandaag, 28 januari 2020, is het Dag van de Privacy (Data Protection Day), een "feestdag" die in het leven is geroepen door de Raad van Europa, om bij zowel burgers als organisaties meer bewustzijn te creëren voor de bescherming van de persoonlijke levenssfeer. De bescherming van persoonsgegevens zou wat mij betreft altijd in de belangstelling moeten staan. De bescherming van uw privacy wordt rechtstreeks geraakt door de wijze waarop overheidsinstanties en andere organen met de verzameling en verwerking van uw persoonsgegevens omgaan.
Sommige burgers menen dat ze niets te verbergen hebben. Het mantra zou wat mij betreft moeten zijn dat u wél wat te verbergen hebt: uw recht op privacy is niet gegeven om de deur open te zetten voor een inbreuk op uw persoonlijke levenssfeer. Het kan zijn dat een overheidsorgaan of een organisatie van andere aard uw gegevens verzamelt en verwerkt, zonder dat u hiervan op de hoogte bent gesteld. Ook kan het zijn dat u niet op de hoogte bent gesteld van de aard en categorie van uw gegevens die in een dossier zijn verwerkt en wat de concrete verwerkingsdoeleinden van het overheidsorgaan of een andere organisatie inhouden. Dan is het goed om te weten dat u op grond van de AVG (voordien op grond van de Wet bescherming persoonsgegevens) recht hebt op informatie, inzage, beperking van de verwerking van uw gegevens, rectificatie en gegevenswissing.
Het vorderen van inzage in de verwerking van uw persoonsgegevens
1. Het uitoefenen van uw informatierecht
- De verwerkingsverantwoordelijke dient de identiteit en contactgegevens van zichzelf en/of de vertegenwoordiger te verstrekken op grond van art. 14 lid 1 onder a AVG. Onder meer de gemeentelijke instantie, het Inlichtingenbureau of een privaat Data lab/miningbedrijf dienen u de eigen identiteit en contactgegevens te verstrekken;
- De verwerkingsdoeleinden waarvoor uw persoonsgegevens zijn bestemd en de categorieën van persoonsgegevens moeten aan u worden verstrekt op grond van art. 14 lid 1 onder c-d AVG;
- Gegevens van de persoon of instantie die de persoonsgegevens van de verwerker ontvangt dienen aan u te worden verstrekt o.g.v. art. 14 lid 1 onder e AVG;
- De verwerkingsverantwoordelijke dient u in klare taal informatie te verschaffen over uw recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens (art. 14 lid 2 onder c AVG) en de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens art. 14 lid 2 onder e AVG).
2. Het uitoefenen van uw recht van inzage (art. 15 AVG)
- Wijs de verwerkingsverantwoordelijke erop dat u inzage dient te krijgen in de doeleinden van de verwerking, de betrokken categorieën van persoonsgegevens die worden verwerkt, de ontvangers aan wie uw persoonsgegevens zijn of zullen worden verstrekt, de periode van opslag van uw gegevens en de bronnen waaruit uw gegevens zijn betrokken (art. 15 lid 1 AVG);
- De verwerkingsverantwoordelijke dient aan u een kopie te verstrekken van de gegevens die worden verwerkt (art. 15 lid 3 AVG).
3. Uw recht van rectificatie, verwerkingsbeperking en gegevenswissing
- Zijn de verwerkte persoonsgegevens die u betreffen, onjuist of onvolledig? Verzoek dan om rectificatie (art. 15 lid 1 onder e AVG jo. art. 16 AVG);
- Verzoek om beperking van de verwerking van uw persoonsgegevens (art. 15 lid 1 jo. 18 AVG). U hebt het recht op 'vergetelheid' (art. 15 lid 1 onder e AVG jo. 17 AVG);
- De verwerkingsverantwoordelijke dient u in kennis te stellen inzake de rectificatie of wissing van uw persoonsgegevens of de verwerkingsbeperking (art. 19 AVG);
- Maakt u bezwaar tegen de verwerking van uw gegevens onder toepassing van art. 21 AVG, dan hebt u tevens recht op beperking van de verwerking van uw persoonsgegevens (art. 18 lid 1 onder d AVG).
4. De plicht van verwerkingsverantwoordelijke om op transparante wijze begrijpelijke informatie te verschaffen (art. 12 in verband met art. 5 lid 1 sub a AVG)
De verwerkingsverantwoordelijke dient u op transparante, begrijpelijke en gemakkelijk toegankelijke wijze informatie te verschaffen (art. 12 AVG). De informatie dient voor de gemiddelde betrokkene begrijpelijk te zijn (Guideline WP260 rev.01, 11 April 2018, p. 7-8). Uit de informatie moet blijken hoe uw persoonsgegevens zijn verwerkt en voor welke doeleinden. De informatieverplichtingen op grond van art. 12 AVG dienen immers uw informatierecht (art. 13-14 AVG) te faciliteren.
5. De plicht van de verwerkingsverantwoordelijke om een Privacy Impact Assessment (PIA of DPIA) uit te voeren
De verwerkingsverantwoordelijke dient vóór de verwerking van persoonsgegevens een beoordeling uit te voeren van het effect van de beoogde verwerkingsactiviteit op de bescherming van persoonsgegevens (art. 35 lid 1 AVG). De beoordeling bevat ten minste een systematische beschrijving van de beoogde verwerkingen en verwerkingsdoeleinden, waaronder de belangen van de verwerkingsverantwoordelijke; ook dient de verwerkingsverantwoordelijke een beoordeling te geven van de noodzaak en evenredigheid van de verwerkingen met betrekking tot de doeleinden (proportionaliteit en subsidiariteit); voorts dient de beoordeling te omschrijven welke maatregelen zijn getroffen en aan te tonen hoe aan de waarborging van de bescherming van de persoonsgegevens en de rechten en gerechtvaardigde belangen van de betrokken burgers is voldaan (art. 35 lid 7 AVG).
