Rechten van betrokkenen

Rechten van betrokkenen

Hoe neem ik privacy mee bij het ontwikkelen van een dienst of in mijn dagelijkse werkzaamheden? En welke bijpassende securitymaatregelen zijn er in een specifiek geval geschikt? Denk je nu “wat een goede vragen, maar ik heb geen idee”, geen nood! Wij, Sophia van het privacyteam en Helma van het securityteam, nemen je in deze en de komende blogposts mee en leggen uit hoe je beide aspecten volgens Privacy by Design tackelt. Privacy by Design betekent dat je privacybescherming bij het ontwerp van je systeem of dienst meeneemt. Een belangrijk onderdeel van Privacy by Design is het beveiligen van je persoonsgegevens met securitymaatregelen. In dit artikel behandelen we de rechten van de betrokkenen.

Wat bedoelen we met rechten betrokkenen?

Als laatste, maar zeker niet als minste behandelen we de rechten van betrokkenen. Wat bedoelen we daarmee? Als een bedrijf jouw persoonsgegevens verwerkt, wordt jij als degene wiens persoonsgegevens verwerkt worden “betrokkene” genoemd. Als betrokkene heb je een aantal rechten die in de wet zijn vastgelegd. Je mag altijd inzage vragen in je persoonsgegevens, je kunt verzoeken je gegevens te verwijderen of aan te passen en je kunt je gegevens laten overdragen aan een andere partij. Deze rechten zorgen ervoor dat bedrijven transparant (moeten) zijn en dat jij controle kunt houden over wat er met je gegevens gebeurt.

Het vastleggen van deze rechten op papier is natuurlijk niet voldoende om te zorgen dat je er ook echt een beroep op kunt doen. Om inzage te kunnen verschaffen in jouw gegevens moet een bedrijf bijvoorbeeld wel overzicht hebben over welke gegevens ze op welke manier verwerken, deze informatie actueel houden en een manier hebben om de gegevens tijdig en op een begrijpelijke manier aan jou te verstrekken wanneer ze je opvraagt. Dit gaat allemaal niet vanzelf. Er zijn twee manieren waarop een bedrijf dit kan aanpakken:

  1. Bij ieder verzoek dat ze ontvangen daar ad hoc aan proberen te voldoen, met alle tijdsdruk en stress die daarbij hoort.
  2. Het faciliteren van deze rechten volgens Privacy by Design inrichten. 

Hieronder gaan we in op hoe optie 2 eruit zou kunnen zien.

Proces

Om te beginnen is het belangrijk om duidelijk te maken voor betrokkenen wat je precies doet met hun gegevens en welke rechten ze hebben. Dit gebeurt vaak door middel van een privacyverklaring. Hierin staat ook hoe ze gebruik kunnen maken van die rechten, bijvoorbeeld door in te loggen op hun account of door een e-mail te sturen.

Vervolgens richt je binnen je organisatie een proces in aan de hand waarvan een verzoek kan worden behandeld. Hoe zorg je bijvoorbeeld dat het verzoek bij de juiste persoon belandt, dat het op tijd wordt beantwoord en dat de juiste informatie wordt gegeven? Bovendien hoeft een organisatie niet aan ieder verzoek te voldoen. Gegevens die je zelf hebt toegevoegd of gegevens die door de betrokkene zijn verstrekt, maar die je nog nodig hebt hoef je bijvoorbeeld niet altijd te verwijderen. Er moet dus ook een check plaatsvinden of een verzoek wel valide is. 

Privacydashboard

Om te voorkomen dat je ieder verzoek individueel moet behandelen, kun je bepaalde onderdelen automatiseren. Het is belangrijk om hier al bij stil te staan aan het begin van een project, bijvoorbeeld bij het ontwikkelen van een platform of een tool. Zorg dat je in een vroeg stadium bedenkt welke functionaliteiten je nodig hebt om aan de rechten van betrokkenen te kunnen voldoen, zodat de developers deze gemakkelijk kunnen inbouwen. 

Een veel gebruikt middel is een privacy-dashboard, waar betrokkenen via hun account toegang toe hebben. Hierin kun je automatisch bijhouden welke gegevens je hebt verwerkt, hoe je aan de gegevens bent gekomen en met welke partijen je gegevens hebt gedeeld, waardoor betrokkenen deze informatie op ieder moment kunnen raadplegen. Ook maakt zo’n dashboard het mogelijk om betrokkenen zelf gegevens aan te laten passen en te verwijderen.

Tips

  • Bedenk al bij het ontwerpen van je dienst hoe je ervoor gaat zorgen dat je gemakkelijk kunt opvragen welke persoonsgegevens van een betrokkene er verwerkt zijn.
  • Niet ieder recht geldt voor iedere verwerking. Zorg dat je weet welke rechten op jouw dienst van toepassing zijn. Bijvoorbeeld:
    • Het recht van overdraagbaarheid geldt alleen als de verwerking is gebaseerd op toestemming of een overeenkomst.
    • Het recht van bezwaar geldt alleen als de verwerking is gebaseerd op een algemeen of gerechtvaardigd belang.
    • Het recht op vergetelheid geldt alleen op gegevens die de betrokkene zelf heeft verstrekt.
    • Het recht op inzage heeft betrekking op alle gegevens van de betrokkene, behalve persoonlijke werkaantekeningen van een medewerker (denk aan aantekeningen over de voortgang van een werknemer aan wie je leiding geeft).
  • Zorg ervoor dat je verzoeken tot correctie zoveel mogelijk door de betrokkene zelf kunt laten uitvoeren. De verantwoordelijkheid ligt dan op de juiste plek en het helpt om te voorkomen dat kwaadwillenden b.v. via phishingmail onterechte correcties laten doorvoeren (denk aan een rekeningnummer voor salaris). Privacy & security; twee vliegen in één klap geregeld.