Klachten
In 2018 hebben ruim 11.000 mensen een privacyklacht ingediend bij de Autoriteit Persoonsgegevens (AP). De klachten gingen vooral over schending van privacyrechten, het uitvragen van meer gegevens dan nodig en over het ongewenst doorgeven van persoonsgegevens aan derden. Door de invoering van de AVG per mei 2018 zijn de privacyrechten van betrokkenen versterkt.
Welke privacyrechten?
Iedereen heeft bepaalde privacyrechten, zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Dit recht op inzage houdt in dat er altijd een verzoek mag worden gedaan bij een organisatie (dit kan ook de werkgever zijn) om na te gaan of en welke persoonsgegevens worden verwerkt. Zodra dit het geval is, bestaat het recht hier (kosteloos) een afschrift van te krijgen. Als de gegevens onjuist of onvolledig zijn, bestaat het recht op rectificatie. De privacyrechten zijn in de AVG onder andere uitgebreid met het recht op dataportabiliteit (het recht om gegevens op eenvoudige wijze mee te kunnen nemen) en het recht op gegevenswissing (de plicht dat organisaties, indien juridisch mogelijk, persoonsgegevens moeten wissen als er een dergelijk verzoek wordt gedaan).
Procedure verplicht
Voorgaande betekent dat u als ondernemer blijvend aandacht moet hebben voor deze privacyrechten van medewerkers, klanten en mogelijk andere betrokkenen. U dient transparant te zijn over welke persoonsgegevens u verwerkt, met welk doel, op basis van welke wettelijke grondslag en op welke wijze u omgaat met de privacyrechten.
Het is verplicht een procedure te hebben voor de privacyrechten. Deze moet voor eenieder eenvoudig (terug) te vinden moet zijn. In de procedure staan alle privacyrechten uit de AVG omschreven en is beschreven wat er precies moet gebeuren bij privacyverzoeken en binnen welke termijn. Hieronder staan enkele aandachtspunten.
Identificatie persoon
Het eerste aandachtspunt betreft de identificatie van de persoon die een privacyverzoek doet. Indien u niet in staat bent om de betrokkene te identificeren (bijvoorbeeld via telefoon), mag u weigeren gevolg te geven aan het privacyverzoek van de betrokkene of kunt u om aanvullende informatie vragen.
U mag alleen om een kopie van een identiteitsbewijs vragen, wanneer identificatie niet op een andere wijze kan plaatsvinden, bijvoorbeeld door het stellen van enkele specifieke persoonsgebonden vragen.
Binnen één maand reageren
Tweede aandachtspunt is dat u verplicht bent om binnen één maand na ontvangst van het privacyverzoek de betrokkene te informeren over hoe u het verzoek gaat uitvoeren. Bij een inzageverzoek van een werknemer kan dit bijvoorbeeld een afschrift van het personeelsdossier zijn. Bij een inzageverzoek van een klant kan dit een afschrift van het klantaccount betreffen.
Wie is verantwoordelijk?
Ten slotte moet binnen uw organisatie worden vastgesteld wie verantwoordelijk is voor de uitvoering van de procedure. Dit kan bijvoorbeeld een privacyfunctionaris zijn of een medewerker die verantwoordelijk is voor informatiebeveiliging. Bent u zzp’er of heeft u binnen uw bedrijf geen specifieke medewerker hiervoor, dan zult u als ondernemer deze rol zelf op u moeten nemen.
Veelvoorkomende klachten
De AP ontving de meeste klachten over zakelijke dienstverleners, de IT-sector en de overheid, op de voet gevolgd door financiële en zorginstellingen. Bij de zakelijke dienstverleners, nutsbedrijven en de IT-sector gaan de klachten vooral over de privacyrechten, zoals het recht op inzage en het recht op verwijdering van eigen persoonsgegevens. Er wordt bijvoorbeeld geen (tijdige) inzage gegeven in gegevens als daarom gevraagd wordt of er worden drempels opgeworpen als persoonsgegevens verwijderd dienen te worden.
Fitnessabonnement
Een andere veelvoorkomende klacht is dat er door organisaties meer gegevens worden uitgevraagd dan noodzakelijk, bijvoorbeeld het Burgerservicenummer bij het afsluiten van een fitnessabonnement of bij aanmelding bij een rijschool. Daarnaast gaan veel klachten over organisaties die persoonsgegevens doorgeven aan derden, zonder medeweten van betrokkenen.