Zo, de Algemene verordening gevevensbescherming (AVG) is van kracht

De AVG spreekt vooral een bedoeling uit. De AVG kent "betrokkenen" rechten toe en zadelt organisaties op met allerlei plichten.

Betrokkene - een natuurlijke persoon over wie bij een organisatie dingen bekend zijn (mijn omschrijving, KvZ).

In deze post ga ik in op de rechten van betrokkenen en op de daarmee corresponderende plichten van organisaties. Deze worden beschreven in Hoofdstuk III Rechten van de betrokkene, artikelen 12 t/m 23 van de AVG.

Hieronder haal ik uit dit hoofdstuk de delen van artikelen aan die voor modale stichtingen en verenigingen van toepassing zijn.

De AVG-tekst staat rechtop; mijn commentaar staat cursief. Waar ik stukjes heb weggelaten ziet u (...) staan. In plaats van "verwerkingsverantwoordelijke" heb ik het over "verantwoordelijke".

HOOFDSTUK III Rechten van de betrokkene

Afdeling 1 Transparantie en regelingen

Artikel 12, Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene

1. De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt (...).

2. De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22. (...)

3. De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. (...)

De verantwoordelijke moet dus reageren op een verzoek van een betrokkene.

5. Het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 22 en artikel 34 geschieden kosteloos. (...)

Afdeling 2 Informatie en toegang tot persoonsgegevens

Artikel 13, Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld

1. Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwer­kingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie:
a) t/m e)

2. Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie (...)
a) t/m f)

Dit artikel is van toepassing wanneer iemand in een formulier persoonsgegevens verstrekt. De informatie die uw organisatie moet verstrekken kunt u vermelden op het formulier zelf of op een aparte pagina waarnaar u vanuit dit formulier linkt.

Artikel 14, Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen

1. Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:
a) t/m f)

2. Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie om ten overstaan van de betrokkene een behoorlijke en transparante verwerking te waarborgen:
a) t/m g)

3. De verwerkingsverantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie:
a)  binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;
b)  indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
c)  indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.

Dit artikel is van toepassing wanneer u persoonsgegevens heeft verzameld uit andere bronnen, bijvoorbeeld openbare bronnen als websites van organisaties.

Artikel 15, Recht van inzage van de betrokkene

1. De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:
a) t/m h)

3. De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. (...)

Afdeling 3 Rectificatie en wissing van gegevens

Artikel 16, Recht op rectificatie

De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.

Artikel 17, Recht op gegevenswissing („recht op vergetelheid”)

1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:
a) t/m f)

Dus: de betrokkene mag vragen om gegevens te wissen en de verantwoordelijke moet dat onder voorwaarden doen.

2.Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.

Een soort ketenbeding. Een verantwoordelijke kan zich niet verschuilen achter "Uw gegevens zijn openbaar - ik kan er niets meer aan doen." Hij moet proberen andere verantwoordelijken zover te krijgen dat zij deze gegevens ook wissen.

3. De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:
a) t/m e)
Uitzonderingen.

Artikel 18, Recht op beperking van de verwerking

1.De betrokkene heeft het recht van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen indien een van de volgende elementen van toepassing is:
a) t/m d)

Wanneer de betrokkene de gegevens nog ergens voor nodig heeft moet hij ze niet laten wissen. In dit geval kan hij verlangen dat ze niet meer gebruikt worden maar wel worden bewaard. Hij "parkeert" ze dan bij de verantwoordelijke.

2.Wanneer de verwerking op grond van lid 1 is beperkt, worden persoonsgegevens, met uitzondering van de opslag ervan, slechts verwerkt met toestemming van de betrokkene (...)

Artikel 19, Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking

De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking overeenkomstig artikel 16, artikel 17, lid 1, en artikel 18, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt.

Wederom een ketenbeding, vergelijkbaar met artikel 17 lid 2: de verantwoordelijke moet doorgeven dat gegevens zijn gecorrigeerd, gewist of geparkeerd.
Dit artikel heeft alleen zin wanneer de onvangende verantwoordelijken handelen in de geest van de oorspronkelijke actie van de betrokkene. Zij dienen dus op hun beurt de gegevens te corrigeren, te wissen of te parkeren - en dit door te geven aan degenen aan wie zij de gegevens hebben doorgegeven.
Wanneer de betrokkene opvraagt aan wie de eerste verantwoordelijke dit (correctie, wissing, parkering) heeft doorgegeven kan hij bij de volgende verantwoordelijken opvragen aan wie zij dit op hun beurt hebben doorgegeven.

Artikel 20 Recht op overdraagbaarheid van gegevens

1. De betrokkene heeft het recht de hem betreffende persoonsgegevens (...) te verkrijgen, en hij heeft het recht die gegevens (...) over te dragen (...) indien:

a) en b) voorwaarden die op het volgende neerkomen:

De betrokkene heeft zelf toestemming gegeven of verwerking was nodig in het kader van een overeenkomst en bovendien verliep de verwerking automatisch.
E-mails, foto's, spreadsheets en andere resultaten van handmatige bewerkingen vallen dus buiten dit artikel.

Afdeling 4 Recht van bezwaar en geautomatiseerde individuele besluitvorming

Artikel 21 Recht van bezwaar

1. De betrokkene heeft (...) het recht om (...) bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens (...). De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij (...).

Leden 2. en 3. gaan over direct marketing.

4. Het in de leden 1 en 2 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.

Wanneer? voor of bij het eerste contact.
Hoe? uitdrukkelijk, duidelijk en niet verweven met andere zaken.

5. In het kader van het gebruik van diensten van de informatiemaatschappij (...) mag de betrokkene zijn recht van bezwaar uitoefenen via geautomatiseerde procedés waarbij wordt gebruikgemaakt van technische specificaties.

Bijvoorbeeld door op een button "Afmelden" te klikken.


Artikel 22 Geautomatiseerde individuele besluitvorming, waaronder profilering

1. De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.

Dus een verantwoordelijke mag geen ingrijpende besluiten nemen, alleen op basis van een geautomatiseerd proces, meestal een selectie, ...

2. Lid 1 geldt niet indien het besluit:

a) noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke;
b) is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene; of
c) berust op de uitdrukkelijke toestemming van de betrokkene.

... behalve wanneer dat volgt uit een overeenkomst, wettelijk verplicht is, of gebeurt met uitdrukkelijke toestemming van de betrokkene.


3. In de in lid 2, punten a) en c), bedoelde gevallen treft de verwerkingsverantwoordelijke passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.

Na een automatisch genomen ingrijpend besluit kan de betrokkene altijd terecht bij een mens.

4. De in lid 2 bedoelde besluiten worden niet gebaseerd op de in artikel 9, lid 1, bedoelde bijzondere categorieën van persoonsgegevens, tenzij artikel 9, lid 2, punt a) of g), van toepassing is en er passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen.

De verantwoordelijke mag hiervoor geen gevoelige gegevens (ras, godsdienst enz.) gebruiken, tenzij het mag van de betrokkene of het noodzakelijk of wettelijk verplicht is, en hij heel voorzichtig is.


Afdeling 5 Beperkingen

Artikel 23 Beperkingen

Artikel 23 somt tien beperkingen van bovenstaande rechten op, verband houdende met staatsveiligheid en justitiële belangen.

U kunt al deze rechten nalezen in Hoofdstuk III Rechten van de betrokkene van de AVG.

De AVG is op Internet te vinden op de volgende URL: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf

Over dit blog

Elke maand, op de eerste of tweede dinsdag van de maand, publiceer ik een nieuw artikel, meestal naar aanleiding van een recent gesprek met een bestuurslid. Ik stuur hierover tegelijk een korte e-mail naar belangstellenden.

Geef u hier op voor deze korte e-mails.