GDPR: welke rechten heeft de betrokkene?

• Het recht op transparante informatie bepaalt dat de betrokkene op een beknopte, duidelijke en gemakkelijke manier info moet krijgen over de gegevens die je verwerkt en de manier waarop je dat doet.
• Het recht op inzage bepaalt dat de betrokkene op elk moment zijn gegevens mag inkijken en mag zien waarom je de gegevens bewaart.
• Het recht op verbetering zorgt dat de betrokkene op elk moment zijn gegevens mag verbeteren.
• Het recht om vergeten te worden zorgt dat de betrokkene kan eisen dat je zijn gegevens binnen een redelijke termijn wist. Bijvoorbeeld omdat ze niet langer nodig zijn, omdat hij bezwaar maakt tegen de verwerking, omdat ze onrechtmatig zijn verwerkt of in geval van gegevens van kinderen.
• Het recht op beperking van de verwerking geeft de betrokkenen in een aantal gevallen het recht om het verdere gebruik te beperken. Meestal is dat in afwachting van een beslissing van een bovenstaand recht.
• Het recht op overdraagbaarheid bepaalt ten slotte dat de betrokkene in bepaalde gevallen kan vragen om de gegevens in een ‘gestructureerde, gangbare en machineleesbare’ vorm te verkrijgen en over te dragen aan een andere partij.
• Het recht van bezwaar bepaalt dat de betrokkene op elk moment bezwaar kan maken tegen het gebruik van zijn gegevens. Dat zal bijvoorbeeld voorkomen bij direct marketing en profilering.

Komen er vragen binnen om een of meer van de bovenstaande rechten in te roepen? Houd dan de volgende tips in het achterhoofd.

• Antwoord snel. In principe moet je binnen de maand reageren op een verzoek.
• Centraliseer alle vragen. Zorg dat alle vragen over de verwerking en bescherming van persoonsgegevens bij één persoon of dienst zitten. Dat zorgt voor consistentie in de antwoorden en knowhow bij de medewerker(s). Het is zeker aangeraden een apart mailadres op te stellen, bijvoorbeeld privacy@jeorganisatie.be Die persoon heeft vaak een rechtstreekse lijn met je technologieleverancier waardoor je kan voldoen aan de bovenstaande tip.
• Controleer ten slotte steeds de identiteit van de vraagsteller. Dat is belangrijk om datalekken te voorkomen. Als hij op papier een verzoek indient, moet de betrokkene een recto verso kopie van zijn identiteitskaart bijvoegen. Wordt het verzoek elektronisch ingediend, dan schakel je het best de IT-afdeling in, om na te gaan of die persoon wel is wie hij of zij beweert te zijn.

Als je inzage moet geven in gegevens kan je beroep doen op de daarvoor voorziene functionaliteiten binnen de technologie waarop het verzoek van toepassing is. Kan je de juiste functionaliteiten niet terugvinden, neem dan contact op met je technologieleverancier. Hieronder geven we je een aantal tips mee.

• Je kan een kopie bezorgen van alle documenten waar gegevens op voorkomen.
• Je kan een overzicht geven van de gegevens die je verwerkt.
• Je kan een overzicht geven met basisgegevens en mondeling andere gegevens toelichten.
• Je kan werken met een verzoekformulier waarop de betrokkene aanduidt welke gegevens hij of zij juist wil inzien en waarom.

Let er bij inzage steeds op dat je de gegevens van andere betrokkenen onzichtbaar maakt! Anders heb je een datalek.

Ook als je gegevens moet wissen kan je beroep doen op de daarvoor voorziene functionaliteiten binnen de technologie waarop het verzoek van toepassing is. Vraag zeker ook advies bij je technologieleverancier, want het kan zijn dat data dieper genesteld zit in achterliggende databases waardoor een actie langs hun kant noodzakelijk is. Onderstaande tips kunnen je helpen bij hoe je omgaat met een dergelijk verzoek.

Je hoeft de gegevens niet meteen te wissen. Het kan zijn dat je ze nog even moet bewaren. Bijvoorbeeld als de relatie is beëindigd, maar de verjaringstermijn nog niet is verstreken. Deel dat dan wel tijdig mee aan de betrokkenen en geef aan wanneer de gegevens wel zullen worden gewist. Zorg dat ze in tussentijd onzichtbaar worden gemaakt of worden geblokkeerd .

Als iemand echter vraagt om gegevens niet langer te gebruiken voor direct marketing, dan moet je ze meteen wissen.

Ook gegevens die in back-ups voorkomen, moeten in principe worden gewist. Heel wat educatieve technologie laat echter toe om data hardnekkig te verwijderen, twijfel je toch? Neem dan contact op met je technologieleverancier.

Dankzij de GDPR blijven betrokkenen baas over hun persoonsgegevens. Ze kunnen steeds een beroep doen op een aantal rechten. Wanneer je rekening houdt met deze rechten en een verzoek op een correcte manier inwilligt, blijf je steeds in orde met de privacyregels.