Uitvoeren rechten van betrokkenen – 5 essentiële stappen

May 29, 2019

In deze blog leggen we enkele basisstappen uit die nodig zijn om uitvoeren rechten van betrokkenen te herkennen en te behandelen, en geven we aan voor welke problemen u moet oppassen, vooral aan het begin van het proces.

De 5 stappen in de verwerking van een uitvoeren rechten van betrokkenen

Uit onze ervaring blijkt dat de verwerking van uitvoeren rechten van betrokkenen kan worden onderverdeeld in het volgende proces van 5 stappen:

  1. Het verzoek om toegang tot de gegevens (uitvoeren rechten van betrokkenen) herkennen en registreren in uw uitvoeren rechten van betrokkenen-logboek
  2. Ontvangst bevestigen en uitleggen hoe u het verzoek zult beoordelen en erop zult reageren
    • De identiteit van de verzoeker verifiëren
    • Nagaan of de verzoeker recht heeft op de informatie
    • Eventuele vrijstellingen vaststellen
  1. Verzamelen en herzien van gegevens
    • Papier, elektronisch, externe verwerkers
  1. Controleer het antwoord, redigeer de inhoud om specifiek de persoonlijke identificeerbare informatie van andere personen te verwijderen
  2. Antwoord delen met de verzoeker
    • Registreren en loggen

1. Herkennen en ontvangen van Uitvoeren rechten van betrokkenen

Uitvoeren rechten van betrokkenen zijn verzoeken van personen (bekend als een betrokkene) die vragen welke PII u over hen bewaart.

Er is geen specifiek formaat vereist om een verzoek om een uitvoeren rechten van betrokkenen in te dienen – we hebben verzoeken gezien die mondeling, per brief, per e-mail, online chatfaciliteit en zelfs per post op sociale media zijn gedaan – ze zijn allemaal even geldig. De uitvoeren rechten van betrokkenen hoeft ook niet specifiek te verwijzen naar de AVG en u kunt en mag iemand niet vragen waarom hij het verzoek indient: u hebt geen wettige reden om deze vraag te stellen.

Het belangrijkste is ervoor te zorgen dat uw personeel een verzoek om toegang tot gegevens herkent wanneer dit wordt ingediend. Wij adviseren een toegewezen persoon of afdeling aan te wijzen die uitvoeren rechten van betrokkenen ontvangt en voorkomt dat ze verloren gaan. Als zij het niet zeker weten, kunnen zij altijd advies inwinnen bij uw functionaris voor gegevensbescherming of bij het Autoriteit Persoonsgegevens (AP).

Alle Uitvoeren rechten van betrokkenen moeten worden geregistreerd in een uitvoeren rechten van betrokkenen-logboek, zodat u de details van het verzoek, de ondernomen actie en de duur van het antwoord kunt bijhouden.

2. Ontvangst bevestigen en uitleggen hoe u het verzoek zult beoordelen en erop zult reageren

Veel Uitvoeren rechten van betrokkenen zijn eenvoudig te verwerken, maar we zien dat Uitvoeren rechten van betrokkenen worden gebruikt als middel om lastige verzoeken te doen of als poging om organisaties gegevens te ontfutselen waar de verzoeker geen recht op heeft. Voordat u veel tijd en moeite steekt in het verzamelen van gegevens, moet u dus altijd

    • De identiteit van de verzoeker verifiëren

Zorg ervoor dat de verzoeker is wie hij zegt dat hij is, vooral als het verzoek niet persoonlijk wordt gedaan. Het geven van persoonlijke informatie aan iemand anders is een inbreuk op de gegevens en zal de problemen alleen maar verergeren. Controleer in geval van twijfel de identiteit van de aanvrager, bijvoorbeeld door een identiteitsbewijs met foto te vragen, zoals een paspoort of rijbewijs en een rekening van een nutsbedrijf, of vraag in sommige gevallen om een persoonlijk gesprek.

    • Nagaan of de verzoeker recht heeft op de informatie

In de meeste gevallen worden verzoeken om toegang tot persoonsgegevens ingediend door de persoon over wie u de persoonsgegevens bewaart. Verzoeken om kopieën van de persoonsgegevens van iemand anders kunnen echter ook worden ingediend door iemand die namens die persoon optreedt. Voorbeelden hiervan zijn personen die de ouderlijke verantwoordelijkheid dragen, in het bezit zijn van toestemming van de betrokkene of een volmacht hebben, en rechtshandhavingsinstanties die naar behoren zijn gesanctioneerd.

U moet er in de eerste plaats altijd voor zorgen dat de verzoeker het wettelijke recht heeft om de persoonsgegevens van iemand anders te ontvangen.

Voorbeelden van ongepaste verzoeken die we hebben gezien zijn:

  • In scholen, vervreemde ouders of stiefouders die geen wettelijke voogd zijn en vragen om de persoonlijke gegevens van een leerling.
  • Ontevreden klanten die informatie vragen over de bijzonderheden van andere klanten of werknemers
  • Potentiële werkgevers die een vorige werkgever om een persoonlijke referentie vragen zonder de toestemming of het akkoord van de betrokkene

In dergelijke gevallen is het juiste antwoord dat er zonder de specifieke toestemming van de betrokkene geen informatie kan worden verstrekt.

Verzoeken van de politie om persoonsgegevens in het kader van haar onderzoek zijn een veel voorkomend type van uitvoeren rechten van betrokkenen dat wij hebben gezien. In deze gevallen hebben wij het verzoek aanvaard op voorwaarde dat de politie de grondslag ervan schriftelijk heeft bevestigd. Bovendien hebben wij, door de centrale van het betrokken politiebureau te bellen, bevestigd dat de politieambtenaar die het verzoek heeft ingediend, daadwerkelijk op dat bureau werkt.

    • Eventuele vrijstellingen vaststellen

Uitvoeren rechten van betrokkenen betreffen de persoonlijke informatie die u verwerkt over de persoon die om de informatie verzoekt. Ze zijn geen middel om aanvullende informatie over uw organisatie te achterhalen, om informatie over anderen te verkrijgen of om anderszins bevoorrechte informatie te ontfutselen.

Zo kan een ouder in een school legitiem een uitvoeren rechten van betrokkenen gebruiken om informatie te vragen over de prestaties van zijn of haar kind of over de redenen waarom bepaalde beslissingen zijn genomen. Een uitvoeren rechten van betrokkenen kan niet worden gebruikt om informatie op te vragen over de prestaties van andere individuele leerlingen om een vergelijking te kunnen maken, of kan niet worden gebruikt om een ander kind te identificeren dat betrokken is bij een woordenwisseling of een disciplinaire procedure. Er kunnen tegenstrijdige voorschriften zijn waardoor bepaalde PII niet mag worden vrijgegeven – bijvoorbeeld wanneer het niet in het belang van het kind is om gevoelige veiligheidsinformatie waarover een school beschikt, vrij te geven.

In de handelswereld hebben wij ervaren dat indieners denken dat zij vorderingen hebben tegen ondernemingen die Uitvoeren rechten van betrokkenen gebruiken als een middel om te proberen juridisch bevoorrechte informatie te ontfutselen.

In het geval van dergelijke tegenstrijdige eisen moet u een “afweging” maken om de hoeveelheid persoonlijke informatie vast te stellen die moet worden verzameld en gedeeld met de verzoeker.

Om uw werk bij het verzamelen en voorbereiden van de informatie te beperken, is het altijd het beste om (zoals hierboven beschreven) de identiteit van de verzoeker te verifiëren, zijn recht op de informatie te bevestigen en eventuele uitzonderingen vanaf het begin te identificeren. Vervolgens kunt u de verzoeker vooraf bevestigen en antwoorden en uitleggen welke informatie u al dan niet mag verstrekken.

Als u twijfels hebt, kan een ervaren functionaris voor gegevensbescherming met kennis van uw organisatie en van de praktische toepassing van de wetgeving, van onschatbare waarde zijn en u veel tijd en middelen besparen.

3. Verzamelen en herzien van gegevens

Zodra u de uitvoeren rechten van betrokkenen hebt bevestigd en hebt bepaald welke informatie nodig is, moet u uit alle nodige bronnen alle bestanden met persoonsgegevens verzamelen en controleren. U hebt slechts 30 dagen om de gegevens te verzamelen en met de verzoeker te delen, dus dit kan een lastige taak zijn – vooral omdat de gegevens zowel op papier als in elektronische vorm kunnen zijn, en vergeet niet de informatie van de derde partijen die gegevens verwerken en deel uitmaken van uw gegevensverwerkingsketen.

Eén van onze cliënten kreeg een bijzonder moeilijk verzoek van iemand die een legitiem uitvoeren rechten van betrokkenen-verzoek indiende om transcripties te verstrekken van de meer dan 100 telefoongesprekken en opgenomen berichten die hij had gevoerd. Dit kostte veel tijd en moeite om de gegevens te verzamelen en te controleren.

De systemen die in alle gevallen van onschatbare waarde zijn, zijn systemen waarin gegevens centraal worden opgeslagen, doorzoekbaar zijn en gemakkelijk kunnen worden ingezien en opgehaald. Het opslaan van informatie op meerdere fysieke locaties of als papieren dossiers, kan het werk om de gegevens te ordenen aanzienlijk vergroten.

AVG schrijft voor dat u binnen 30 dagen na verificatie van de identiteit van de verzoeker op uitvoeren rechten van betrokkenen moet reageren. Voor complexe verzoeken kan dit worden verlengd tot 90 dagen, op voorwaarde dat u de verzoeker vóór het verstrijken van de oorspronkelijke termijn van 30 dagen informeert over de redenen voor de verlenging van de antwoordtermijn.

4. Controleer het antwoord en verwijder alle PII van andere personen

Controleer het antwoord voordat u informatie deelt met de indiener van het verzoek. Zorg ervoor dat de informatie volledig is, maar zorg er ook voor dat verwijzingen naar andere personen zijn weggelaten (d.w.z. voor papieren dossiers, weggelaten met een zwarte weglatingsstift), aangezien dit een inbreuk zou zijn op de persoonsgegevens van andere personen. Wijs een specifieke persoon of afdeling aan die verantwoordelijk is voor het redigeren van informatie, aangezien dit een specialistische taak is.

Het is doorgaans een goed idee om de controle te laten uitvoeren door iemand anders dan degene die de informatie heeft verzameld, waarbij de verantwoordelijkheid vaak bij de functionaris voor gegevensbescherming ligt.

5. Antwoord delen met de verzoeker

Tenslotte deelt u het antwoord met de indiener van het verzoek en verwijst u in uw antwoord naar het oorspronkelijke verzoek. Zorg er altijd voor dat u een exacte kopie bewaart van alle verzonden informatie en dat u uw antwoord registreert in uw logboek voor verzoeken om toegang tot gegevens.

Samenvatting

Het aantal uitvoeren rechten van betrokkenen blijft toenemen doordat personen hun rechten onder de AVG beter begrijpen en uitvoeren.

De expertise van een ervaren FG in het verwerken van uitvoeren rechten van betrokkenen kan voor u van onschatbare waarde zijn om ervoor te zorgen dat er efficiënt, effectief en wettelijk op uitvoeren rechten van betrokkenen wordt gereageerd.

Dankzij onze samenwerking met meer dan 600 organisaties, kan het team van ervaren FG’s van The DPO Centre het nodige advies, de nodige begeleiding en de nodige modeldocumenten verschaffen om tijdig, gepast en wettelijk te reageren op uitvoeren rechten van betrokkenen. 

Scroll to Top