Hoe krijg ik grip op mijn eigen privacy en persoonsgegevens met de AVG?

De belangrijkste rechten uit de AVG op een rij

De organisatie bij wie u uw persoonsgegevens achterlaat moet u hierover juist en volledig informeren. Dit wordt gedaan door de verwerkingsverantwoordelijke. Hieronder staan de 7 privacyregels uit de AVG waarop u een beroep kunt doen en waar de organisatie zich aan moet houden. Eén ding staat als een paal boven water: De organisatie moet helder, duidelijk en transparant zijn over uw persoonsgegevens.

1. Het recht van transparantie (artikel 12 AVG) 

• Wie heeft uw gegevens allemaal, wat gaan zij met uw persoonsgegevens doen en hoe lang gaan zij uw persoonsgegevens bewaren.

2. Het recht van het weten dat de persoonsgegevens worden verwerkt met en zonder toestemming (artikel 13 en artikel 14 AVG)

• Met wie en door wie worden uw persoonsgegevens verwerkt. 

3. Het recht op inzage (artikel 15 AVG)

• De organisatie moet een kopie of lijst met tijdschema overhandigen met daarin informatie over welke gegevens de organisatie van de u heeft, waar de gegevens vandaan komen en wat de organisatie met de gegevens heeft gedaan. 
• U moet de rechtmatigheid van de verwerking kunnen toetsen. Het gaat dan om alle gegevens, dus ook gegevens die u zelf hebt aangeleverd. Bijvoorbeeld een kopie rijbewijs of om oudere gegevens die zijn gewist. De organisatie moet u daarbij in staat stellen over dezelfde gegevens/stukken te beschikken als zijzelf en deze informatie kosteloos toezenden binnen 1 maand.
• Om de gegevens te verstrekken moet de organisatie u kunnen identificeren. Alleen u mag uw persoonsgegevens opvragen. Bij legitimatie of het tijdelijk innemen van een identiteitsbewijs verwerkt een organisatie geen persoonsgegevens. Dit valt dan ook niet onder de AVG. Uw QR-code laten zien valt hierdoor ook niet onder de AVG.
  
  Een kopie van een legitimatie innemen valt wel onder de AVG en dat mag dan ook niet zomaar, tenzij wettelijk verplicht. Denk aan de overnachting in een hotel. Als de organisatie uw identiteit op een andere, minder vergaande, manier kan vaststellen dan moet de organisatie voor die manier kiezen. Bijvoorbeeld een tweetrapsautorisatie van een code via sms of e-mail of het documentnummer noteren, zoals in hotels of aangetekende stukken. Als u niet te identificeren bent, omdat u bijvoorbeeld niet wil meewerken aan de mogelijkheden die daarvoor zijn, dan kunt u niet als betrokkene  worden aangemerkt. U kunt dan geen beroep doen op de AVG. 

4. Het recht op rectificatie (artikel 16 AVG)

• Dit is het recht op verbetering, aanvullen of afscherming van persoonsgegevens, als blijkt dat deze niet goed zijn genoteerd door de organisatie. 

5. Het recht om vergeten te worden en het recht op verwijdering (artikel 17)

• U kunt een organisatie vragen om uw gegevens te verwijderen op basis van het recht op verwijdering. De organisatie maakt dan een afweging op basis van de noodzaak of het verstrijken van de bewaartermijn. De belangrijkste reden om in te stemmen met het verzoek om gegevens te verwijderen, is als de organisatie de persoonsgegevens niet meer nodig heeft. 
• U kunt hiermee onjuiste of verouderde privacygevoelige informatie laten verwijderen uit archieven. Het recht geldt ook bij zoekresultaten van zoekopdrachten op een persoonsnaam bij een zoekmachine. Als u niet wilt dat Google bepaalde websites toont als uw naam wordt ingevoerd, dan kunt u daarvoor contact opnemen met de eigenaar van de zoekmachine. De gegevens worden niet verwijderd van het internet, maar het zorgt ervoor dat de zichtbaarheid van de gegevens wordt beperkt. Voorgaande kan ook voor afgegeven reviews.
• Er mogen niet onnodige hindernissen worden opgelegd aan u door de organisatie. Het zijn de gegevens van u en u beslist wat er met uw gegevens gebeurt of niet.

6. Het recht op beperking van de verwerking van gegevens (artikel 18 AVG)

• De gegevens blijven bij de verwerkingsverantwoordelijke liggen, maar deze mag de gegevens niet meer verwerken, delen met derden of de verwerking wordt opgeschort. Dit laatste gebeurt als de organisatie de gegevens nog niet mag wissen vanwege een wettelijke verjaring, maar ook niet mag gebruiken, omdat de organisatie de persoonsgegevens nier meer nodig heeft. 

7. Het recht tot overdragen van de gegevens door betrokkene aan een andere verwerkingsverantwoordelijke 

• U kunt de organisatie verzoeken tot het overdragen van de gegevens aan organisatie B en u kunt dan organisatie A verzoeken tot verwijdering van de gegevens. Voorgaande kan voorkomen bij overstap tandarts of huisarts.

U moet een verzoek indienen bij de organisatie voor bovenstaande rechten

Als u binnen 1 maand geen gehoor krijgt van de organisatie dan is er sprake van een juridisch geschil. Tenzij de organisatie u tijdig heeft bericht om de termijn te verlengen met 30 dagen (bij complexe aanvragen). Het verzoek kunt u richten aan de Functionaris voor Gegevensbescherming. In de meeste privacyverklaringen van organisaties wordt het adres kenbaar gemaakt.  

Meldt u bij ons als u de organisatie niet reageert op uw verzoek. De termijnen zijn kort. 

Wij beoordelen in dat geval of er sprake is van een bestuursorgaan of een civiele organisatie. Dit heeft namelijk invloed op de gestelde (reactie)termijnen. Hieronder zetten we de verschillen voor u op een rij:

Bestuursrechtelijke termijnen 

Er moet sprake zijn van een beschikking van een bestuursorgaan, zoals GGD of gemeente. U moet bezwaar indienen binnen 6 weken bij de organisatie als u meent dat het dossier niet correct, onduidelijk of onvolledig is. Ook moet u de organisatie in gebreke stellen zodat er na ene periode van 2 weken beroep kan worden ingesteld bij de bestuursrechter. Laat u adviseren door uw rechtsbijstand. 

Civielrechtelijke termijnen 

Er moet sprake zijn van een particuliere organisatie, zoals een energiemaatschappij. De termijn voor het verzoekschrift bij de Rechtbank is 6 weken, nadat de organisatie geen correct, onduidelijk of onvolledig antwoord heeft gegeven op uw verzoeken. 

Let op! De termijn van 6 weken kan niet worden verlengd met gevolg dat u daarna niet nogmaals een verzoek kunt doen. De termijn van 6 weken moet worden gezien als vervaltermijn . 

Als de organisatie niets van zich laat horen binnen 1 maand na uw verzoek dan geldt de termijn van 6 weken niet. Het is goed om de organisatie nogmaals te wijzen op uw verzoek, maar dat is niet noodzakelijk. U kunt het verzoekschrift dan zo snel mogelijk indienen bij de rechtbank. U hebt daarvoor geen gemachtigde nodig. Laat u adviseren door uw rechtsbijstand.

Heeft u recht op een schadevergoeding bij overtreding van de AVG?

Vanuit de wet heeft u recht op een schadevergoeding voor de geleden schade. Op dit moment moet u de schade nog zelf kunnen aantonen en wordt het Nederlands schadevergoedingsrecht gehanteerd. Dit kan in de toekomst veranderen, waardoor de bewijslast bij de tegenpartij komt te liggen. Er zijn hierover vragen neergelegd bij het Hof van Justitie van de Europese. Laat u adviseren door uw rechtsbijstand als u schade meent te hebben geleden bij een overtreding van de AVG.

Maak gebruik van onze gratis voorbeeldbrieven

In het voorbeeld bovenaan deze pagina maakten we kennis met Herman en zijn vragen rondom privacy. Met de AVG achter de hand zijn er vele mogelijkheden om antwoord te krijgen op die vragen. Hieronder bieden we u een aantal voorbeeldbrieven aan die het u gemakkelijker maken om gebruik te maken van de AVG. 

Sommige brieven met verzoeken kunnen samengevoegd worden. Laat u adviseren door uw rechtsbijstand indien u hierover nog vragen heeft.

Bekijk ook onze andere artikelen over de AVG