GDPR (19) Rechten van de betrokkene – Recht op informatie

12 januari 2018

In deze blog hebben we tot hiertoe voornamelijk gesproken over de verplichtingen die de GDPR met zich meebrengt voor bedrijven of organisaties die persoonsgegevens verwerken. We hebben de wet vooral bekeken vanuit het standpunt van de verantwoordelijke voor gegevensverwerking en de verwerker. Het wordt tijd dat we de focus ook even verleggen naar de betrokkene zelf.

Een hoofdbedoeling van de GDPR is immers de rechten vast te leggen die je als individuele persoon hebt in verband met de vele gegevens die over je circuleren en die door anderen gebruikt worden. Je kunt als betrokkene wel degelijk greep houden op deze informatie, ook al zijn je rechten, zoals we zullen zien, niet absoluut.

Eén van de belangrijkste woorden in de GDPR is transparantie. Een dataverwerker moet tegenover de betrokkenen van wie hij de data verwerkt, openheid nastreven. Het moet gemakkelijk zijn om te weten te komen welke gegevens een verwerker over je bewaart en verwerkt, wat hij met deze gegevens doet en waarom deze verwerkingen nodig zijn. Hij moet je dat in eenvoudige, duidelijke taal kunnen uitleggen. In aflevering 11 en aflevering 12 hebben we reeds uitvoerig behandeld hoe een firma of organisatie bijvoorbeeld op hun website deze informatie kan aanleveren in de vorm van een privacy verklaring.

Vooral wanneer een verwerker gegevens van je vraagt met de bedoeling deze op te slaan en te gaan gebruiken, moet hij ervoor zorgen je vooraf goed in te lichten over de bedoeling die hij hiermee heeft, de mogelijke gevolgen en de risico’s die je loopt. Hij moet je duidelijk maken dat ook voor jou de voordelen opwegen tegen de nadelen.

Daarenboven moet de verantwoordelijke voor de verwerking aangeven wat je kunt doen in geval van vragen of bij klachten. Je moet een direct aanspreekpunt krijgen in de organisatie. En de verwerker moet je erop wijzen dat je tegen de verwerking een klacht kunt indienen bij de gegevensbeschermingsautoriteit, in België de Privacy Commissie. Daar heb je uiteraard een gegronde reden voor nodig.

Naast het recht op algemene informatie heb je als individuele betrokkene ook specifieke rechten wat betreft je eigen persoonlijke gegevens. Iedereen kan zich tot een verantwoordelijke voor verwerking richten om inzage te krijgen in de gegevens die deze firma of organisatie over hem of haar bewaart en in de verwerkingen die daarmee gebeuren. Dit lijkt misschien een eenvoudig in te lossen verzoek, maar het kan een organisatie heel wat werk bezorgen. Correct op dergelijke vragen kunnen reageren, vergt een goede voorbereiding en een duidelijke procedure, temeer omdat de betrokkenen volgens de GDPR recht op een antwoord hebben binnen de maand. Ofwel moet de verantwoordelijke tegen dan de gevraagde informatie bezorgen ofwel moet hij op zijn minst een plausibele verklaring geven waarom hij meer tijd nodig heeft.

Er zijn een aantal belangrijke struikelblokken voor het vervullen van deze verplichting. In de eerste plaats moet de verantwoordelijke goed weten waar welke informatie te vinden is. Voor bestanden met contactgegevens in een CRM toepassing of voor personeelsgegevens in een administratief systeem is dat niet zo moeilijk. Maar veel informatie zit verspreid over zogenaamde niet-gestructureerde informatie, in papieren dossiers of in bestanden die niet via document management beheerd worden of ergens lokaal bij individuele werknemers. Die gegevens zijn veel minder gemakkelijk bij elkaar te krijgen. De GDPR zegt bovendien expliciet dat deze dienstverlening gratis moet zijn, behalve als de verzoeken manifest ongefundeerd of overdreven zijn.

Anderzijds komt dit recht op inzage ook in conflict met andere rechten en belangen. De verantwoordelijke moet er bijvoorbeeld voor opletten dat hij door informatie aan één betrokkene door te geven niet tegelijk de rechten van een andere betrokkene schendt. Dit zal duidelijk worden uit een voorbeeld. Op het verzoek van een individu om inzage te krijgen in alle documenten of mails waarin hij of zij vernoemd wordt, zal een organisatie eigenlijk zelden of nooit zonder meer kunnen ingaan. Deze documenten bevatten immers tegelijk informatie van andere betrokkenen en ook hun privacy moet beschermd worden. Sommige informatiebronnen bevatten overigens ook andere vertrouwelijke gegevens, waarvan het ontsluiten de belangen van de firma kunnen schaden. In al deze gevallen is het nodig verschillende rechten tegen elkaar af te wegen en tot een evenwichtig standpunt te komen. Op die manier kan het zijn dat een verzoek van een betrokkene niet kan ingewilligd worden. Als aanvrager moet je dan wel een toelichting krijgen waarom de verwerker niet op je vraag kan ingaan.

Behalve het recht op informatie geeft de GDPR de betrokkene nog heel wat meer rechten. Die bespreken we binnenkort in de volgende aflevering van de blog.

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

LOADING