GDPR (20) Rechten van de betrokkene – Rechten op de eigen gegevens

22 januari 2018

In de vorige aflevering bespraken we het recht op informatie van de betrokkenen. Elke verantwoordelijke voor gegevensverwerking moet transparant informeren over het type van data die hij bijhoudt, de verwerkingen die ermee gebeuren en het doel daarvan. Daarnaast beschikt elke betrokkene over het recht om zijn eigen individuele gegevens op te vragen.

De rechten van de betrokkene (en dus ook de verplichtingen voor een verantwoordelijke) gaan echter nog een heel eind verder. Een betrokkene kan ook vragen om gegevens die je over hem bewaart en verwerkt te corrigeren, aan te vullen of zelfs te wissen. Ook in dit geval gaat het niet om een absoluut recht en moeten de mogelijkheden om aan het verzoek te voldoen afgewogen worden tegenover andere rechten of wettelijke verplichtingen. Gegevens die van overheidswege gedurende een bepaalde tijd gearchiveerd moeten worden, kunnen uiteraard niet op verzoek van één individu verwijderd worden. Gegevens moeten soms een tijdlang bijgehouden worden om aan alle contractuele verplichtingen te voldoen. Een verwerker moet zelfs een beperkt aantal gegevens bijhouden om te documenteren dat hij voldaan heeft aan de aanvraag van een betrokkene om zijn gegevens te wissen.

Ook het recht om te corrigeren is vanzelfsprekend relatief. Een vastgelegd verslag van een evaluatie kan uiteraard niet zonder meer door een werknemer op diens vraag gewijzigd worden. Maar hij kan zijn rechten uitoefenen door er een commentaar aan toe te voegen. Correcties of aanvullingen zijn logisch – zelfs nuttig – als de gegevens bijvoorbeeld via derden verkregen zijn. Het wordt echter juridisch een stuk moeilijker als het gaat om verrijkingen die door de verantwoordelijke zelf zijn doorgevoerd en misschien diens toegevoegde waarde zijn.

In regel geldt dat dergelijke verzoeken om aanpassingen aan data ook gelden voor alle derden aan wie deze data waren doorgegeven (bijvoorbeeld partners of onderaannemers). De verantwoordelijke moet ervoor instaan dit zo goed als mogelijk door te trekken. Rond dit fameuze ‘recht om vergeten te worden’ zijn reeds een paar geruchtmakende processen gevoerd in de sector van de sociale media. Het zal duidelijk zijn dat het absoluut niet eenvoudig is verzoeken zo ver door te voeren. Dit is een belangrijk argument voor een verantwoordelijke om in overeenkomsten met onderaannemers zeker duidelijk mee te geven dat gegevens na verwerking onmiddellijk verwijderd moeten worden.

Ook kan een betrokkene verzoeken om de verdere verwerking van zijn gegevens stop te zetten of op te schorten, terwijl de data toch bewaard blijven. Dit kan de aangewezen werkwijze zijn bij een lopende klacht waarover nog geen uitspraak is gedaan door de autoriteiten, bijvoorbeeld als de betrokkene de rechtmatigheid van de verwerking betwist. Dergelijk verzoek kan natuurlijk niet ingewilligd worden als de verwerking berust op een wettelijke verplichting of in het kader van een overheidstaak. Zoals vroeger al besproken, kan een verwerking die gebeurde op grond van de toestemming van de betrokkene, altijd worden stopgezet door deze goedkeuring in te trekken. In dat geval is de verantwoordelijke ook verplicht de data te verwijderen.

Tenslotte beschikt de betrokkene ook nog over het recht op ‘data portabiliteit’. Dit is een regeling die eerder in de ePrivacy wetgeving was opgenomen en verplichtingen oplegde aan service providers van elektronische diensten. De achterliggende bedoeling was te voorkomen dat dienstverleners hun klanten zouden ‘gijzelen’ doordat ze over al hun gegevens beschikken en deze verloren zouden gaan als de gebruiker van dienstverlener zou willen wijzigen. Niemand wil natuurlijk al zijn online bewaarde foto’s, blogs of mails kwijt raken. Dit recht van de betrokkene is nu ook in de GDPR opgenomen en toepasselijk op alle verwerkingen van persoonsgegevens. In deze veel ruimere context is die overdraagbaarheid vaak niet praktisch realiseerbaar. Bovendien zorgt het ook voor conflicten met andere rechten. Een verantwoordelijke die complexe bewerkingen met data heeft gedaan (waaraan soms logaritmen ten grondslag kunnen liggen die het intellectuele eigendom van de firma zijn), wenst die resultaten niet zo maar prijs te geven. De meest gevolgde interpretatie is dan ook dat het recht op data portabiliteit eigenlijk enkel geldt voor gegevens die de betrokkene eerst zelf ter beschikking van de verwerker heeft gesteld.

Hoe de afhandeling van al deze verzoeken moet gebeuren, zou elke organisatie best in een goede procedure vast te leggen.

  • Om te beginnen is het nodig aan de betrokkenen duidelijk te maken op welk contactpunt zij voor hun vragen moeten zijn en wie in een organisatie hiervoor verantwoordelijk is. Dat kan bijvoorbeeld opgenomen worden in een privacy verklaring.
  • Binnen de organisatie moeten verzoeken snel aan de juiste persoon doorgegeven worden voor verdere verwerking – iedereen moet op de hoogte zijn van de procedure.
  • Er moet een duidelijk omschreven methode zijn om vast te stellen of de identiteit van de aanvrager overeenkomt met die van de betrokkene wiens data worden opgevraagd. Meestal wordt gesuggereerd dat men de aanvrager om een kopie van zijn identiteitskaart vraagt.
  • Er moeten ook regels zijn die bepalen welke informatie mag gegeven worden en welke eventueel niet, omdat ze bijvoorbeeld ook vertrouwelijke gegevens kan bevatten over andere personen of bedrijfsgeheimen. De te volgen argumentatie moet gedocumenteerd zijn. Hierbij moet evenwichtig met ieders recht omgegaan worden – ook de rechten van de betrokkene zijn niet absoluut.
  • Een opvolgingssysteem moet ervoor zorgen dat alle aanvragen tijdig behandeld worden en dat documentatie over de voortgang en de genomen beslissingen wordt bijgehouden.

Het is duidelijk dat de uitoefening van deze rechten voor praktische problemen zal zorgen bij de verwerkers van data. In sommige kringen bestaat ook de vrees dat de wet zal gebruikt worden door zogenaamde data privacy activisten om bepaalde door hen geviseerde bedrijven te bestoken met massaal georganiseerde aanvragen. Maar de GDPR biedt hiertegen wel enige bescherming door aan te geven dat de aanvragen gemotiveerd moeten worden en niet excessief mogen zijn (bijvoorbeeld door ze telkens te herhalen). Op voorwaarde dat de verantwoordelijke dit kan aantonen, is hij niet verplicht op dergelijke verzoeken in te gaan.

Omgekeerd is het uiteraard toe te juichen dat wij als individu toch dank zij de GDPR in zekere mate meester blijven over de informatie die over ons bestaat en dat bedrijven en organisaties een kader hebben om respectvol en zorgvuldig met persoonsgegevens om te gaan.

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

Gerelateerd nieuws
LOADING