Rechten

Naast het opleggen van bepaalde verplichtingen, die hier werden besproken, voorziet de AVG in rechten die iedere betrokkene kan uitoefenen: hij oefent rechten uit ten aanzien van de verwerkingsverantwoordelijke.

De verwerker, moet de verwerkingsverantwoordelijke bijstaan om de uitoefening van deze rechten mogelijk te maken.

Alle rechten worden verder in dit hoofdstuk concreet besproken.  Het gaat in het bijzonder om:

Informatie

Inzage

Verbetering

Gegevenswissing

Beperking

Bezwaar

Overdraagbaarheid

Besluitvorming

Let op: sommige rechten gelden niet voor elke rechtsgrond.  Bij de bespreking van ieder recht, lichten we steeds het verband tussen de rechtsgrond en het recht verder toe.

In de uitoefening van de rechten van de betrokkenen speelt transparantie ook een sleutelrol. Zo moet de verwerkingsverantwoordelijke:

               de betrokkene duidelijk informeren over bestaan van deze rechten;
               in begrijpelijke en heldere taal communiceren als een betrokkene rechten uitoefent;
               de uitoefening van deze rechten faciliteren, onder meer d.m.v. elektronische middelen;

Bvb.: plaats op uw website een online formulier om het recht op toegang uit te oefenen. 

De KMO mag géén betaling vragen voor het uitoefenen van deze rechten. U mag wel een vergoeding aanrekenen als het verzoek van de betrokkene duidelijk ongegrond of buitensporig is. De vergoeding moet afgestemd zijn op de administratieve kost voor de KMO om gevolg te geven aan het verzoek. U moet natuurlijk kunnen aantonen dat het verzoek duidelijk ongegrond of buitensporig is.

Wanneer de betrokkene één van haar rechten uitoefent, moet de KMO hier binnen één maand op reageren. Gaat het om een complex verzoek, dan kan de KMO de termijn met twee maanden verlengen nadat de betrokkene hier binnen één maand van op de hoogte is gebracht. Als de KMO kan aantonen dat het verzoek duidelijk ongegrond of buitensporig is, mag zij het verzoek negeren.

Bvb.: een klant bestookt een KMO wekelijks met tientallen verzoeken tot uitoefening van zijn recht op inzage, zonder gegronde reden. De KMO mag het verzoek negeren of een vergoeding aanrekenen die overeenstemt met de administratieve kost van het bezorgen van een antwoord. 

Wanneer de KMO geen gevolg geeft aan het concrete verzoek van een betrokkene, moet zij één maand na ontvangst van het verzoek meedelen waarom het verzoek nog zonder gevolg blijft (bvb. waarom ze een gegevenswissing niet doorvoert).  Bovendien moet de KMO deze betrokkene wijzen op de mogelijkheid om een klacht neer te leggen bij de GBA of beroep in te stellen bij een rechter.

ACTIE: werk zelf een interne procedure uit en duid een centrale contactpersoon aan die binnen één maand gevolg kan geven aan een verzoek van de betrokkenen tot uitoefening van zijn/haar rechten.

1.  Recht op informatie / plicht om te informeren

Elke betrokkene heeft recht op bepaalde informatie wanneer een KMO gegevens verwerkt, die op hem of haar betrekking hebben. De KMO heeft een plicht om de betrokkene te informeren. De AVG maakt een onderscheid tussen de rechtstreekse inzameling van persoonsgegevens bij de betrokkene zelf (rechtstreekse inzameling: art.13 AVG) en de situatie waarbij de persoonsgegevens niet bij de betrokkene zelf maar uit een andere bron zijn verkregen (onrechtstreekse inzameling: art. 14 AVG).

1.1   Welke informatie?

Zowel bij rechtstreekse als onrechtstreekse inzameling van persoonsgegevens moet de KMO als verwerkings-verantwoordelijke bepaalde informatie verstrekken aan de betrokkene. We overlopen de basisinformatie die u bij rechtstreekse en onrechtstreekse inzameling aan de betrokkene moet meedelen:

1.2   Wanneer moet de informatie worden verstrekt?

Bij de rechtstreekse inzameling moet de KMO de informatie meedelen op het moment van inzameling van de persoonsgegevens. Bij de onrechtstreekse inzameling van persoonsgegevens moet de KMO de informatie geven ten laatste binnen één maand na de initiële verkrijging van de persoonsgegevens.

Die maximale termijn van één maand wordt ingekort en nooit verlengd, INDIEN: 

               de persoonsgegevens worden gebruikt voor communicatie met de betrokkene. De KMO informeert dan uiterlijk op het moment van eerste contact met de betrokkene;
               de gegevens aan een andere ontvanger worden doorgegeven. De KMO informeert dan uiterlijk op het tijdstip van de doorgifte van de persoonsgegevens.

Voor de duidelijkheid: als de doorgifte of het eerste contact later plaatsvindt dan één maand na de initiële verkrijging van de persoonsgegevens, moet de KMO de informatie gewoon binnen de maand na de initiële verkrijging meedelen.

Bij elke latere wijziging aan de verwerking (bijv. nieuw ontvangers, verenigbaar doeleinde, doorgifte buiten de EU, enz.…) moet de KMO de betrokkene hier ruim op voorhand over informeren. Des te ingrijpender de wijziging, des te vroeger moet de KMO de betrokkene hiervan op de hoogte stellen zodat deze een redelijk termijn heeft om de impact ervan te appreciëren en zijn/haar rechten uit te oefenen.

1.3   Wanneer moet de KMO geen informatie meedelen?

De KMO moet de informatie niet meedelen indien de betrokkene deze al ontving. Bij onrechtstreekse inzameling van persoonsgegevens gelden bijkomende uitzonderingen. De mededeling van informatie is dan niet noodzakelijk indien:

               of het verstrekken van die informatie onmogelijk is of onevenredig veel inspanning vergt. De lat voor deze uitzondering ligt echter zeer hoog waardoor een verwerkingsverantwoordelijke slechts uitzonderlijk deze situaties kan inroepen;  
               of het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven door de wet; bvb.: de wet verplicht de fiscus om bepaalde informatie over een werknemer op te vragen bij de werkgever.  De fiscus hoeft zelf deze werknemer niet te informeren.  De werkgever zal door zijn informatieplicht deze werknemer wel op de hoogte stellen van het feit dat de fiscus één van de ontvangers is van concrete persoonsgegevens.
               de persoonsgegevens vertrouwelijk moeten blijven door een wettelijk beroepsgeheim.

1.4   Hoe moet de informatie worden verstrekt?

We raden aan om informatie te verstrekken in lagen. Op die manier vermijdt u dat een teveel aan informatie de transparantie schaadt en de betrokkene verdrinkt in een overvloed van informatie.

De gelaagde verstrekking van de informatie verzoent de vereiste van beknoptheid met de vereiste om alle noodzakelijke informatie te verstrekken.

Dit vereenvoudigt niet alleen de taak van de verwerkings-verantwoordelijke, maar stelt ook de betrokkene in staat om snel en efficiënt de kerninformatie op te nemen.

Om te waken over een eerlijke informatieverstrekking zou de voorstelling van deze informatie er als volgt uit kunnen zien:

• een eerste laag met basisinformatie:

  • WAT?   de KMO verstrekt een samenvatting van noodzakelijke basisinformatie die de betrokkene nodig heeft om de impact en draagwijdte van de verwerking in te schatten (bvb.: de identiteit van de verwerkingsverantwoordelijke, doeleinden, categorieën ontvangers, bron van de gegevens …).
  • HOE?   in tabelformaat met als titel “Basisinformatie gegevensbescherming” of pop-ups die de toelichting geven tijdens het verzamelen van de persoonsgegevens. Steunt de verwerking op toestemming dan vermeldt u die info best op de plaats waar de betrokkene het akkoord moet geven (bij de ‘akkoord’-knop).

een tweede laag met gedetailleerde, bijkomende informatie:
  • WAT?   dit deel presenteert op een begrijpelijke en overzichtelijke manier de overige informatie die de KMO krachtens artikel 13 en artikel 14 AVG moet meedelen.
  • HOE?   bijkomende informatie kan op verschillende manieren worden verstrekt bvb. via hyperlinks die vertrekken vanuit de basisinformatie of een download via een URL. De bijkomende informatie moet een balans vinden tussen beknoptheid en precisie.  De informatie moet gestructureerd zijn zodat deze makkelijk leesbaar is voor de ontvanger.

 ACTIE:  pas uw website(s), app(s) en algemene voorwaarden aan zodat: uw privacy-beleid steeds duidelijk zichtbaar is en alle informatie vermeldt van artikel 13/14 van de AVG; uw registratie- en transactie-webpagina’s op een gelaagde wijze leiden naar alle informatie van artikel 13/14 van de AVG.

2.  Recht van inzage

Het recht op inzage stelt de betrokkene in staat om de rechtmatigheid van elke verwerkingsactiviteit te controleren. Het recht op inzage is drieledig:

    1)  De betrokkene heeft het recht om te weten of de KMO al dan niet zijn of haar persoonsgegevens verwerkt.
    2)  Zo ja, heeft de betrokkene het recht om de onderstaande informatie te verkrijgen:

         •  de doeleinden van de verwerking;
         •  de categorieën van persoonsgegevens;
         •  de ontvangers of categorieën van ontvangers van de persoonsgegevens;
         •  de bewaartermijn van de persoonsgegevens of de criteria om die termijn te bepalen;
         •  het recht op de gegevenswissing, recht op verbetering van persoonsgegevens en het recht om de verwerking te beperken of hiertegen bezwaar te maken;
         •  het recht te kunnen een klacht indienen bij een toezichthoudende autoriteit;
         •  de bron van de gegevens (bij onrechtstreekse inzameling);
         •  bij doorgifte buiten de EU: de passende waarborgen (bvb. modelbepalingen)
         •  het bestaan van geautomatiseerde besluitvorming, nuttige informatie over onderliggende
    logica hiervan en de verwachte gevolgen van die verwerking voor de betrokkene.
 
    3) De betrokkene heeft het recht om een gratis kopie te krijgen van zijn of haar persoonsgegevens die de KMO verwerkt. Vraagt de betrokkene om extra kopieën, dan mag de KMO een redelijke vergoeding aanrekenen die niet hoger is dan de administratieve kost hiervan. Wanneer de betrokkene een verzoek elektronisch indient, deelt de KMO de informatie mee in een gangbaar elektronische formaat, tenzij de betrokkene vraagt om een kopie op een andere fysieke drager (bvb. papier).  Alvorens de kopie te versturen, moet de KMO nagaan of deze mededeling geen afbreuk doet aan de rechten en vrijheden van andere betrokkenen (bijv. indien er informatie over meer dan één persoon in eenzelfde bestand wordt verwerkt).

3.  Recht op verbetering

De betrokkene heeft het recht om onjuiste gegevens te verbeteren of onvolledige gegevens aan te vullen, o.a. door een aanvullende verklaring toe te voegen. Als de KMO deze persoonsgegevens heeft doorgegeven aan derde partijen, moet zij die op de hoogte brengen van de aangebrachte verbetering, tenzij dit onmogelijk is of onevenredig veel inspanning vergt. Bvb.: een klant meldt aan een KMO dat hij verhuisd is: de KMO moet dat adres in haar klantenbestand direct aanpassen.

4.  Recht op gegevenswissing

Een betrokkene kan eisen dat de KMO persoonsgegevens wist waarvoor geen gegronde reden meer bestaat om deze te verwerken. Het recht om gegevens te wissen is niet absoluut. De betrokkene kan dit recht slechts in de onderstaande gevallen uitoefenen:

         •  de KMO verwerkt de persoonsgegevens onrechtmatig;
         •  de persoonsgegevens zijn niet langer noodzakelijk om het nagestreefde doel te vervullen;
         •  de KMO moet de persoonsgegevens wissen door toedoen van een wettelijke verplichting;
         •  de betrokkene trekt de toestemming in en de verwerking heeft geen andere rechtsgrond;
         •  na een succesvolle uitoefening van het recht van bezwaar;
         •  minderjarigen die toestemming gaven om een online dienst te gebruiken kunnen steeds vragen om die persoonsgegevens te wissen (ongeacht hun vorige leeftijd).

Gaf u de gewiste gegevens voordien door aan iemand anders? Dan moet de KMO deze ontvangers op de hoogte brengen van de gegevenswissing, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.  

Bvb.: een betrokkene schrijft zich in op een sociaalnetwerksite. Betrokkene beslist om de website te verlaten en vraagt het bedrijf om alle persoonsgegevens te verwijderen. Het bedrijf moet gevolg geven aan dit verzoek. 

De KMO mag ook weigeren om de persoonsgegevens te wissen wanneer de verwerking noodzakelijk is voor:

         • de uitoefening van het recht op vrijheid van meningsuiting en informatie;
         • de instelling, uitoefening en de onderbouwing van een vordering in rechte;
         • de vervulling van een wettelijke plicht of een taak van algemeen belang die op de KMO rust;
         • onderzoek, statistiek, volksgezondheid, archivering in het algemeen belang, onder specifieke voorwaarden.

 Bvb.: een pas ontslagen personeelslid vraagt om al zijn persoonsgegevens te wissen uit het personeelsdossier. De KMO is echter wettelijk verplicht om een aantal sociale documenten (personeelsregister, individuele rekening, kopie van loonstaten enz.) gedurende vijf jaar te bewaren. Voor deze documenten moet de KMO het verzoek om gegevenswissing weigeren, om zo op correcte wijze alle wettelijk verplichte info bij te houden.

5.  Recht op beperking van gegevensverwerking

In bepaalde omstandigheden kan de betrokkene een “beperking” van gegevensverwerking eisen. Beperking bevriest de gegevensverwerking. Bijgevolg mag de KMO de persoonsgegevens alleen nog maar opslaan en moet zij alle andere verwerkingsactiviteiten stopzetten.

De betrokkene heeft het recht om de beperking van de gegevensverwerking te verkrijgen wanneer:

         •  de betrokkene de juistheid van de persoonsgegevens betwist, gedurende een periode die de KMO in staat stelt de juistheid van de persoonsgegevens te controleren;
         •  de verwerking onrechtmatig is, kan de betrokkene in de plaats van de wissing van de gegevens, verzoeken om het gebruik van de persoonsgegevens te beperken;
         •  de KMO de persoonsgegevens niet meer nodig heeft, maar de betrokkene wel voor de uitoefening van een rechtsvordering;
         •  de betrokkene zijn recht van bezwaar uitoefent. De beperking geldt in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de KMO zwaarder wegen dan die van de betrokkene.

Indien de betrokkene het recht op de beperking succesvol uitoefent, mag de KMO de gegevens enkel nog gebruiken met de toestemming van de betrokkene of voor de instelling van een rechtsvordering. Gaf u de “bevroren” gegevens voordien door aan iemand anders? Dan moet de KMO deze ontvangers op de hoogte brengen van de verwerkingsbeperking, tenzij dit onmogelijk is of onevenredig veel inspanning vergt

6.  Recht van bezwaar

Iedere betrokkene kan bezwaar maken tegen de verwerking van persoonsgegevens die op hem of haar betrekking hebben “vanwege met zijn specifieke situatie verband houdende redenen”. Het recht van bezwaar kan uitsluitend uitgeoefend worden wanneer de verwerking steunt op één van de volgende rechtsgronden:

         •  het gerechtvaardigde belang van de KMO of een derde;
         •  de vervulling van een taak van algemeen belang of het openbaar gezag.

In andere gevallen kan betrokkene geen bezwaar maken omdat voor de overige rechtsgronden alternatieven bestaan om hetzelfde doel bereiken: bij toestemming kan de betrokkene deze intrekken; tegen verwerking die de wet oplegt kan de betrokkene geen bezwaar maken.  De uitoefening van het recht op bezwaar dwingt de KMO tot een belangenafweging. De KMO staakt iedere verwerking van de persoonsgegevens tenzij zij dwingende gronden kan opwerpen die zwaarder wegen dan de rechten en vrijheden van de betrokkene (bijv. een vordering in rechte). De KMO moet deze gronden documenteren en meedelen aan betrokkene.

Op deze belangenafweging bestaat een belangrijke uitzondering in het voordeel van de betrokkene: bij direct marketing heeft de betrokkene altijd het recht om zonder enige motivering bezwaar aan te tekenen. Dit bezwaar leidt dan automatisch tot de stopzetting van de verwerking voor dit doeleinde.

De KMO moet de mogelijkheid tot het uitoefenen van het recht op bezwaar, duidelijk en apart van ander informatie onder de aandacht van de betrokkene brengen, bvb. door een goed in het oog springende knop.

Bvb.: de betrokkene koopt online een ticket voor een optreden. Nadien ontvangt de betrokkene advertenties voor concerten en evenementen. De betrokkene wenst die reclame niet meer te ontvangen en tekent bezwaar aan. De KMO moet de direct marketing beëindigen.  Of nog: in de verzekeringssector zijn persoonsgegevens in bepaalde situaties nodig voor bestrijding van witwaspraktijken. Een verzekeringsmakelaar kan weigeren gevolg te geven aan een bezwaar, omdat antiwitwaswetgeving hem soms verplicht gegevens bij te houden.

7.  Recht op gegevensoverdraagbaarheid

Het recht op gegevensoverdraagbaarheid stelt de betrokkene in staat om zijn/haar persoonsgegevens te verkrijgen en te hergebruiken voor andere diensten. Op een gebruiksvriendelijke manier kan de betrokkene persoonsgegevens verplaatsen van de ene IT-omgeving naar een andere.

Het recht op gegevensoverdraagbaarheid kan alleen worden uitgeoefend, indien aan deze drie voorwaarden gelijktijdig is voldaan:

  • de verwerking vindt plaats op basis van de toestemming of een overeenkomst;
  • het gaat om een geautomatiseerde verwerking (geen papieren documenten); en
  • de betrokkene verstrekt zelf gegevens: dit betekent dat dit recht alleen slaat op persoonsgegevens:
  • die de betrokkene zelf bewust heeft verstrekt (bijv. bij registratie: naam, adres, etc.…);
  • die de KMO observeert op basis van het gedrag van de betrokkene (bijv. wearable);
  • dit recht slaat niet op data die de KMO zelf ontwikkelt op basis van bovenstaande data.
De betrokkene krijgt het recht om zijn persoonsgegevens:

  • te verkrijgen in een gestructureerde, gangbare en machinaal leesbare vorm (XML, JSON, CSV zijn courant). De vorm moet de betrokkene in staat stellen om de persoonsgegevens te hergebruiken voor een andere dienst;  Ook metadata moet worden doorgestuurd zodat de data kan functioneren op een ander platform. Een PDF-formaat volstaat dus niet.
  • rechtstreeks te laten overdragen aan een andere verwerkingsverantwoordelijke. De KMO moet dit alleen doen in zoverre een dergelijke rechtstreekse overdracht technisch mogelijk is.
Bvb.: een consument kan de overdracht vragen van zijn songlist van een online muziek streaming dienst of een KMO die een web-mail-dienst aanbiedt, moet zowel de adressenlijst en de e-mails van de betrokkene overdragen aan een andere web-mail-dienst op voorwaarde dat dit technisch mogelijk is. Zo niet, bezorgt de KMO de adressenlijst aan de betrokkene in een courant, herbruikbaar digitaal formaat.

8.  Recht om niet aan geautomatiseerde besluitvorming onderworpen te zijn

Een betrokkene mag niet onderworpen worden aan een volledig automatische beslissing - zonder menselijke tussenkomst - die hem of haar aanzienlijk treft of juridische gevolgen heeft.  Profilering kan soms gepaard gaan met geautomatiseerde besluitvorming. Profilering verwijst naar: “elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroeps-prestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen”.

Om zich te beroepen op dit verbod, moet het gaan om:

  • een beslissing die uitsluitend op een geautomatiseerde verwerking berust, zonder menselijke tussenkomst. Dit betekent dat een fysieke persoon geen betekenisvolle controle uitoefent op de beslissing en bijvoorbeeld de beslissing niet kan wijzigen of annuleren.
  • een beslissing die voor de betrokkene rechtsgevolgen teweeg brengt of die hem op een andere manier aanzienlijk treft.

Bvb.: rechtsgevolgen: automatische ontbinding van een telefonie-contract omdat de klant de maandelijkse factuur niet betaalde.
Bvb.: aanzienlijk treffen: In de onderstaande gevallen kan de beslissing de betrokkene aanzienlijk treffen, maar dit hangt steeds af van de context:
 
  • de automatische weigering van een betalingskrediet bij een online aankoop;
  • de automatische weigering van sollicitanten die solliciteren via een online platform;
  • prijsdifferentiatie op basis van het surf- en aankoopgedrag van een consument.

In drie situaties is het toch toegestaan om geautomatiseerde individuele besluitvorming toe te passen:

  • als een wet dit toelaat (bijvoorbeeld voorkoming van belastingfraude en -ontduiking);
  • als de besluitvorming berust op een uitdrukkelijke toestemming van de betrokkene;
  • als dit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst
Deze laatste situatie hangt steeds af van een afweging in concreto. Van zodra minder privacy-intrusieve methoden bestaan om de overeenkomst te sluiten of uit te voeren, is de maatregel niet langer ‘noodzakelijk’.

Past een KMO in één van deze drie gevallen geautomatiseerde besluitvorming toe, dan moet deze voorzien in passende maatregelen die de rechten van de betrokkene beschermen. Die maatregelen omvatten minstens de mogelijkheid voor de betrokkene om dit besluit aan te vechten, zijn of haar standpunt kenbaar te maken en een menselijke tussenkomst te vragen. Bij gevoelige gegevens is geautomatiseerde besluitvorming alleen mogelijk op basis van uitdrukkelijk toestemming of een zwaarwegend algemeen belang op grond van Unierecht of nationaal recht.

CHECKLIST MET DE PLICHTEN VAN DE GEGEVENSVERWERKER & VAN DE GEGEVENSVERANTWOORDELIJKE: