De AVG kent betrokkenen zeven concrete rechten toe die hen controle geven over hun persoonsgegevens. Dit zijn het recht op inzage, rectificatie, vergetelheid, beperking van verwerking, dataportabiliteit, bezwaar en het recht om niet onderworpen te worden aan geautomatiseerde besluitvorming. Deze rechten gelden voor iedereen van wie een organisatie persoonsgegevens verwerkt, ongeacht of het gaat om klanten, medewerkers of bezoekers. In dit artikel beantwoorden we de meest gestelde vragen over deze privacyrechten, van hoe je een verzoek indient tot wat de gevolgen zijn als een organisatie deze rechten negeert.
Welke rechten geeft de AVG aan betrokkenen?
De AVG geeft betrokkenen zeven rechten: het recht op inzage, rectificatie, vergetelheid (wissing), beperking van verwerking, dataportabiliteit, bezwaar en het recht om niet uitsluitend te worden beoordeeld op basis van geautomatiseerde verwerking. Samen vormen deze rechten een fundament voor transparantie en zeggenschap over persoonsgegevens.
Elk recht heeft een eigen toepassingsgebied en voorwaarden. Het recht op inzage stelt iemand in staat te weten welke gegevens een organisatie over hem of haar bewaart en waarvoor die worden gebruikt. Het recht op rectificatie zorgt ervoor dat onjuiste of onvolledige gegevens gecorrigeerd kunnen worden. Het recht op vergetelheid biedt de mogelijkheid om verwijdering van gegevens te verzoeken onder specifieke omstandigheden.
Daarnaast geeft de AVG betrokkenen het recht om de verwerking van hun gegevens te laten beperken, zodat gegevens tijdelijk niet worden gebruikt terwijl een geschil wordt opgelost. Het recht op dataportabiliteit maakt het mogelijk gegevens in een gestructureerd, machineleesbaar formaat op te vragen en door te sturen naar een andere partij. Tot slot kunnen betrokkenen bezwaar maken tegen verwerking op basis van gerechtvaardigde belangen of voor direct marketingdoeleinden.
Voor organisaties die vallen onder relevante privacywetgeving is het essentieel dat er processen bestaan om al deze rechten tijdig en correct af te handelen.
Hoe kan een betrokkene een inzageverzoek indienen?
Een betrokkene kan een inzageverzoek indienen door contact op te nemen met de verwerkingsverantwoordelijke organisatie, via welk communicatiekanaal dan ook. Er is geen verplicht formulier of vaste procedure; een e-mail, brief of mondeling verzoek volstaat. De organisatie moet het verzoek binnen één maand beantwoorden.
Bij een inzageverzoek heeft de betrokkene recht op een kopie van de verwerkte persoonsgegevens, maar ook op informatie over de verwerkingsdoeleinden, de categorieën gegevens, de ontvangers aan wie de gegevens zijn verstrekt, de bewaartermijnen en of er geautomatiseerde besluitvorming plaatsvindt. De organisatie mag vragen om de identiteit van de verzoeker te bevestigen, maar mag dit niet als obstakel gebruiken om een verzoek te vertragen of te weigeren.
In de meeste gevallen is een inzageverzoek kosteloos. Alleen bij kennelijk ongegronde of buitensporige verzoeken, bijvoorbeeld als iemand herhaaldelijk identieke verzoeken indient, mag een organisatie een redelijke vergoeding vragen of het verzoek weigeren. De bewijslast voor dat oordeel ligt bij de organisatie, niet bij de betrokkene.
Wat houdt het recht op vergetelheid precies in?
Het recht op vergetelheid, ook wel het recht op wissing genoemd, houdt in dat een betrokkene een organisatie kan verzoeken zijn of haar persoonsgegevens te verwijderen. Dit recht is echter niet absoluut: het geldt alleen onder specifieke omstandigheden die in de AVG zijn vastgelegd.
Een verzoek tot vergetelheid is gegrond wanneer:
- de gegevens niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld;
- de betrokkene zijn toestemming intrekt en er geen andere rechtsgrond voor verwerking is;
- de betrokkene bezwaar maakt tegen de verwerking en er geen dwingende gerechtvaardigde gronden zijn;
- de gegevens onrechtmatig zijn verwerkt;
- wissing verplicht is op grond van een wettelijke verplichting.
Organisaties hoeven niet altijd gehoor te geven aan een wisverzoek. Wanneer de verwerking noodzakelijk is voor de uitoefening van vrijheid van meningsuiting, voor naleving van een wettelijke verplichting, voor archiveringsdoeleinden in het algemeen belang, of voor de instelling of verdediging van rechtsvorderingen, mag de organisatie de gegevens bewaren. Het recht op vergetelheid vraagt dus altijd om een zorgvuldige afweging van belangen.
Wanneer mag een organisatie een AVG-verzoek weigeren?
Een organisatie mag een verzoek van een betrokkene weigeren wanneer het verzoek kennelijk ongegrond of buitensporig is, of wanneer een wettelijke uitzondering van toepassing is. De organisatie moet de weigering altijd schriftelijk motiveren en de betrokkene informeren over de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Concrete situaties waarin een weigering gerechtvaardigd kan zijn:
- Wettelijke bewaarplicht: als de organisatie verplicht is gegevens te bewaren, bijvoorbeeld op grond van belasting- of boekhoudwetgeving, kan een wisverzoek niet worden ingewilligd voor die specifieke gegevens.
- Vrijheid van meningsuiting en informatie: journalistieke of academische verwerking kan zwaarder wegen dan het recht op vergetelheid.
- Volksgezondheid of wetenschappelijk onderzoek: gegevens die noodzakelijk zijn voor onderzoek in het algemeen belang mogen onder voorwaarden worden bewaard.
- Rechtsvorderingen: als gegevens nodig zijn voor een lopende juridische procedure, kan wissing worden geweigerd.
- Herhaalde of misbruikende verzoeken: bij aantoonbaar buitensporige verzoeken mag een organisatie een vergoeding vragen of weigeren, mits zij de buitensporigheid kan aantonen.
Wat een organisatie nooit mag, is een verzoek stilzwijgend negeren. Zelfs bij een terechte weigering geldt een informatieplicht richting de betrokkene.
Hoe verschilt het recht op dataportabiliteit van het recht op inzage?
Het recht op inzage geeft een betrokkene toegang tot zijn of haar persoonsgegevens en informatie over hoe die worden verwerkt. Het recht op dataportabiliteit gaat een stap verder: het geeft de betrokkene het recht die gegevens te ontvangen in een gestructureerd, veelgebruikt en machineleesbaar formaat, en ze rechtstreeks door te sturen naar een andere verwerkingsverantwoordelijke.
Er zijn twee belangrijke praktische verschillen:
- Toepassingsgebied: dataportabiliteit geldt alleen voor gegevens die de betrokkene zelf heeft verstrekt en die worden verwerkt op basis van toestemming of een overeenkomst. Het recht op inzage geldt voor alle persoonsgegevens die een organisatie verwerkt, ongeacht de rechtsgrond.
- Doel: inzage is bedoeld voor transparantie en controle. Dataportabiliteit is bedoeld om overstappen te vergemakkelijken, bijvoorbeeld van de ene app of dienstverlener naar de andere.
Een voorbeeld: een klant van een streamingdienst heeft recht op inzage in alle gegevens die de dienst over hem bewaart, inclusief kijkgedrag en betalingsgegevens. Het recht op dataportabiliteit stelt hem in staat zijn profiel en voorkeuren mee te nemen naar een concurrent, maar alleen als die gegevens door hemzelf zijn verstrekt en de verwerking op toestemming of contract berust.
Wat zijn de gevolgen als een organisatie AVG-rechten negeert?
Als een organisatie de rechten van betrokkenen negeert of structureel niet naleeft, riskeert zij forse boetes van de Autoriteit Persoonsgegevens, reputatieschade en civiele aansprakelijkheid. De AVG kent boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
De Autoriteit Persoonsgegevens kan optreden naar aanleiding van een klacht van een betrokkene, maar ook op eigen initiatief. Naast financiële sancties kan de toezichthouder ook een verwerkingsverbod opleggen, wat voor veel organisaties operationeel ingrijpend is. Betrokkenen hebben bovendien het recht om schadevergoeding te eisen als zij aantoonbaar schade hebben geleden door een schending van hun privacyrechten.
In de praktijk zijn de reputatiegevolgen vaak even zwaar als de financiële. Consumenten en zakelijke partners hechten steeds meer waarde aan zorgvuldige omgang met persoonsgegevens. Een organisatie die herhaaldelijk AVG-verzoeken negeert of afwijst zonder goede motivering, beschadigt het vertrouwen van klanten en partners structureel.
AVG-compliance is ook nauw verwant aan bredere beveiligingsverplichtingen. Organisaties die werken aan NIS2-naleving merken dat privacy en informatiebeveiliging steeds meer verweven zijn: wie zijn databeheer op orde heeft, staat ook sterker bij een beveiligingsaudit.
Hoe Q-Cyber helpt met AVG-compliance en privacyrechten
Wij begrijpen dat de AVG voor veel organisaties een complex geheel vormt, zeker wanneer privacyverplichtingen samenkomen met bredere cybersecurityeisen zoals NIS2. Q-Cyber helpt organisaties om hun informatiebeheer en beveiligingsbeleid zo in te richten dat zij structureel voldoen aan zowel privacywetgeving als cybersecurityregelgeving.
Wat wij concreet bieden:
- Gap-analyses die inzichtelijk maken waar uw organisatie tekortschiet in de naleving van AVG-verplichtingen en beveiligingseisen.
- Beleidsschrijving op maat, waaronder procedures voor het afhandelen van inzageverzoeken, wisverzoeken en andere rechten van betrokkenen.
- Trainingen voor bestuurders en medewerkers over privacyrechten, meldplichten en beveiligingsverantwoordelijkheden.
- Pragmatisch advies zonder binding aan softwarepartijen, zodat onze aanbevelingen altijd in uw belang zijn.
- Ondersteuning via ons Continuous-Q programma, waarbij een team van specialisten uw organisatie doorlopend begeleidt op het gebied van cybersecurity en compliance.
Wilt u weten hoe uw organisatie er nu voor staat? Neem contact met ons op voor een vrijblijvend gesprek.