Jouw privacyrechten op grond van de AVG

Laatst bijgewerkt: februari 2025 | Gecontroleerd door juristen van Stichting Achmea Rechtsbijstand

Wist je dat je als consument concrete rechten hebt over je eigen persoonsgegevens? Die rechten gelden altijd. Niet alleen bij een datalek, maar in elke situatie waarin een organisatie jouw persoonsgegevens verwerkt. De AVG (Algemene Verordening Gegevensbescherming, de Europese privacywet) regelt deze rechten. In dit artikel lees je per recht wat het betekent, hoe je er gebruik van maakt en wat je kunt doen als een organisatie niet meewerkt.

Jouw 7 privacyrechten onder de AVG

1. Recht van inzage (artikel 15 AVG)

Je hebt het recht om te weten welke persoonsgegevens een organisatie van jou verwerkt. Je mag ook vragen waarvoor die gegevens worden gebruikt, met wie ze worden gedeeld en hoe lang ze worden bewaard. Dit heet het recht van inzage.

Bij een datalek is dit recht bijzonder belangrijk. Je kunt hiermee precies achterhalen welke van jouw gegevens zijn geraakt.

Hoe maak je er gebruik van?

Stuur een schriftelijk inzageverzoek aan de Functionaris voor Gegevensbescherming (FG) van de organisatie. De contactgegevens van de FG vind je in de privacyverklaring.
Zet in je verzoek:

• je volledige naam en contactgegevens;
• een kopie van een geldig identiteitsbewijs (maak je BSN en pasfoto onleesbaar);
• wat je precies wilt weten.

Wat als de organisatie niet reageert?

De organisatie moet binnen 1 maand reageren. Bij complexe verzoeken mag deze termijn eenmalig worden verlengd tot maximaal 3 maanden. Reageert de organisatie helemaal niet, dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens of naar de rechter stappen. In de praktijk zien we bij Achmea Rechtsbijstand dat het inzagerecht vaak de sleutel is om duidelijkheid te krijgen bij datalekken of andere privacyproblemen.

2. Recht op rectificatie (artikel 16 AVG)

Zijn jouw persoonsgegevens onjuist of onvolledig? Dan heb je het recht om correctie te vragen. Dit heet het recht op rectificatie.

Hoe maak je er gebruik van?

Stuur een schriftelijk verzoek aan de FG en geef aan welke gegevens niet kloppen en wat de juiste informatie is. Voeg indien mogelijk bewijs toe, zoals een officieel document.

Kan een organisatie weigeren of beperken?

Ja, maar alleen als daar een wettelijke reden voor is. De organisatie moet die weigering altijd schriftelijk en gemotiveerd uitleggen, uiterlijk binnen een maand.

3. Recht op gegevenswissing (artikel 17 AVG)

Je kunt organisaties vragen om jouw persoonsgegevens te wissen. Dit wordt ook wel het recht om vergeten te worden genoemd. Dit recht geldt onder meer als:

• de gegevens niet meer nodig zijn voor het oorspronkelijke doel
• je je toestemming intrekt en er geen andere grondslag is
• je bezwaar maakt en er geen zwaarder wegende belangen zijn
• de gegevens onrechtmatig zijn verwerkt

Kan een organisatie weigeren?

Ja. Het recht op verwijdering is niet absoluut. Organisaties mogen gegevens bewaren als zij daartoe wettelijk verplicht zijn, zoals bij de fiscale bewaarplicht van zeven jaar.

Praktijkvoorbeeld

Een webwinkel moet je marketingprofiel en account verwijderen, maar mag je bestelgeschiedenis bewaren vanwege fiscale verplichtingen.

4. Recht op beperking van de verwerking (artikel 18 AVG)

Je kunt vragen om de verwerking van je persoonsgegevens tijdelijk te stoppen. Dit heet het recht op beperking van de verwerking. Dit is bijvoorbeeld mogelijk als:

• je de juistheid van je gegevens betwist
• de verwerking onrechtmatig is, maar je geen verwijdering wilt
• je gegevens nodig zijn voor een rechtszaak

Tijdens de beperking mag de organisatie de gegevens alleen opslaan, niet actief gebruiken.

5. Recht op dataportabiliteit (artikel 20 AVG)

Je kunt bepaalde persoonsgegevens opvragen in een leesbaar en overdraagbaar bestandsformaat, zoals CSV of JSON. In de praktijk kun je een CSV bestand meestal gewoon openen in Excel. Dit heet het recht op dataportabiliteit. Dit recht geldt alleen voor:

• gegevens die je zelf hebt aangeleverd
• verwerkingen op basis van toestemming of een overeenkomst

Praktijkvoorbeeld

Je vraagt je energieverbruikshistorie op bij je oude leverancier om die over te dragen aan een nieuwe.

6. Recht van bezwaar (artikel 21 AVG)

Je kunt bezwaar maken tegen de verwerking van je persoonsgegevens.

• Bezwaar tegen direct marketing: absoluut recht. De organisatie moet onmiddellijk stoppen.
• Bezwaar tegen gerechtvaardigd of algemeen belang: de organisatie moet stoppen, tenzij zij dwingende redenen kan aantonen die zwaarder wegen dan jouw belangen.

7. Recht op schadevergoeding (artikel 82 AVG)

Lijd je schade doordat een organisatie de AVG overtreedt? Dan kun je in principe schadevergoeding eisen. Dit kan gaan om financiële schade, maar ook om aantoonbare immateriële schade zoals stress of angst. In de praktijk is schadevergoeding niet vanzelfsprekend. Je moet de schade én het causale verband zelf aantonen. De juristen van Achmea Rechtsbijstand zien dat schadeclaims vooral kansrijk zijn bij concrete gevolgen, zoals identiteitsfraude of financiële schade.

Bescherming tegen geautomatiseerde besluitvorming (artikel 22 AVG)

De AVG beschermt je ook tegen volledig geautomatiseerde beslissingen met grote gevolgen, zoals een afgewezen lening op basis van een algoritme. Je hebt dan recht op:

• menselijke tussenkomst
• uitleg over het besluit
• het aanvechten van de uitkomst

Hoe dien je een AVG verzoek in?

Aan wie richt je je verzoek?

Aan de Functionaris voor Gegevensbescherming (FG) van de organisatie. Bij kleinere organisaties kun je je verzoek richten aan de directie of eigenaar.

Wat zet je in je verzoek?

• je naam en contactgegevens
• een kopie van een identiteitsbewijs (BSN en pasfoto onleesbaar)
• een duidelijke omschrijving van je verzoek

Wat zijn de termijnen?

De organisatie moet binnen 1 maand reageren. Bij complexe verzoeken mag dit worden verlengd tot maximaal 3 maanden, mits zij dit op tijd melden.

Wat als een overheidsinstantie weigert?

Bij bestuursorganen kun je binnen 6 weken bezwaar maken. Daarna is eventueel beroep bij de bestuursrechter mogelijk.

Klacht indienen bij de Autoriteit Persoonsgegevens

Kom je er niet uit met een organisatie? Dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens.
Let op: de AP behandelt geen individuele schadeclaims. Voor schadevergoeding moet je zelf juridische stappen zetten. Ben je verzekerd voor rechtsbijstand bij een Achmea-merk, dan kan Achmea Rechtsbijstand hierbij helpen.