Wat staat er in een AVG procedure (verplicht)?

Als ondernemer moet je blijvend aandacht hebben voor privacy rechten van medewerkers, klanten en andere betrokkenen. Dit is vastgelegd in de AVG (Algemene verordening gegevensbescherming). De AVG beschermt de privacy rechten van burgers. Als bedrijf moet je transparant zijn over welke persoonsgegevens je verwerkt, met welk doel, op basis van welke wettelijke grondslag en hoe je omgaat met de privacy rechten. Daarom is een AVG procedure voor de privacy rechten verplicht.

Een AVG procedure is één onderdeel van de stappen die je moet doorlopen om je organisatie AVG proof te maken. Lees hier wat de alle 7 stappen zijn.

Wat zijn privacy rechten?

Iedereen heeft bepaalde privacy rechten. Zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Dit betekent dat je een verzoek mag doen bij een organisatie (dit kan ook de werkgever zijn) om na te gaan of en welke persoonsgegevens van je worden verwerkt. Als dit het geval is heb je het recht om hiervan een afschrift te krijgen (kosteloos). Als de gegevens niet kloppen of onvolledig zijn, bestaat het recht op rectificatie. De privacy rechten zijn in de AVG onder andere uitgebreid met het recht op dataportabiliteit (het recht om gegevens mee te kunnen nemen) en het recht op gegevenswissing (de plicht dat organisaties, indien juridisch mogelijk, persoonsgegevens moeten wissen als dit verzoek wordt gedaan).

Wat staat er in een AVG procedure?

In de procedure staan alle privacy rechten uit de AVG omschreven en is beschreven wat er precies moet gebeuren bij privacy verzoeken en binnen welke termijn. De procedure moet voor iedereen eenvoudig (terug) te vinden zijn. Hieronder staan enkele aandachtspunten.

Aandachtspunt 1: Identificatie persoon

Als iemand een privacy verzoek doet moet je diegene kunnen identificeren. Als je niet in staat bent om dat te doen (bijvoorbeeld via telefoon) mag je weigeren gevolg te geven aan het privacy verzoek van diegene of kun je om aanvullende informatie vragen.
Je mag alleen om een kopie van een identiteitsbewijs vragen als je diegene niet op een andere manier kunt identificeren (bijvoorbeeld door specifieke persoonsgebonden vragen te stellen).

Aandachtspunt 2: Binnen één maand reageren

Je bent verplicht om binnen één maand na ontvangst van het privacy verzoek diegene te informeren hoe je het verzoek gaat uitvoeren. Bij een inzageverzoek van een werknemer kan dit bijvoorbeeld een afschrift van het personeelsdossier zijn. Bij een inzageverzoek van een klant kan dit een afschrift van het klantaccount zijn.

Aandachtspunt 3: Wie is verantwoordelijk?

Je moet binnen je organisatie iemand verantwoordelijk maken voor de uitvoering van de procedure. Bijvoorbeeld een privacyfunctionaris of een medewerker die verantwoordelijk is voor informatiebeveiliging. Als je zzp’er bent of hiervoor geen specifieke medewerker hebt dan moet je dit als ondernemer zelf doen.

Over de AVG

Door de invoering van de AVG in mei 2018 zijn de privacy rechten van burgers versterkt. Eerder schreven wij al een artikel waar in staat wat je als ondernemer moet regelen voor de AVG. In 2018 hebben ruim 11.000 mensen een privacy klacht ingediend bij de Autoriteit Persoonsgegevens (AP). De klachten gingen vooral over schending van privacy rechten, het uitvragen van meer gegevens dan nodig en over het ongewenst doorgeven van persoonsgegevens aan derden.

Heb je hier nog vragen over, neem dan contact met ons op.

Meer weten over dit onderwerp?