Met de Algemene Verordening Gegevensbescherming (AVG) krijgen mensen van wie persoonsgegevens worden verwerkt meer privacyrechten. Zo krijgen ze het recht om persoonsgegevens over te dragen en het recht om ‘vergeten’ te worden.

De nieuwe privacywetgeving, die op 25 mei 2018 inwerking treedt, verplicht organisaties om hun systemen en processen aan te passen. Dat is onder meer nodig voor de uitbreiding van de privacyrechten van mensen van wie persoonsgegevens door de organisatie worden verwerkt.

Een overzicht van de privacyrechten volgens de AVG:

Het recht op dataportabiliteit

Dat is het recht om digitale persoonsgegevens over te dragen. Mensen moeten de persoonsgegevens kunnen ontvangen die een organisatie van hen heeft. Zij kunnen die gegevens doorsturen naar een andere organisatie die eenzelfde soort dienst biedt. Ze kunnen een organisatie ook vragen de gegevens rechtstreeks door te sturen naar een andere organisatie. Het gaat niet om papieren gegevens.

Organisaties moeten alle persoonsgegevens beschikbaar stellen die betrokken mensen hebben gegeven. Daarbij gaat het niet alleen om bijvoorbeeld accountgegevens, maar ook om gegevens zoals zoekgeschiedenis of locatiegegevens.

Zogenaamde afgeleide gegevens, zoals gegevens die de organisatie zelf heeft gegenereerd door bijvoorbeeld data-analyse, hoeven niet te worden verstrekt.

Het recht op vergetelheid

Het recht van betrokkenen om vergeten te worden. Organisaties moeten in een aantal gevallen persoonsgegevens wissen als een betrokkene daarom vraagt. De gegevens moeten gewist worden als de organisatie de persoonsgegevens niet meer nodig heeft, als de betrokken persoon zijn toestemming voor verwerking intrekt of bezwaar maakt en als een organisatie de gegevens onrechtmatig verwerkt. Het recht op vergetelheid geldt ook voor back-upbestanden.

Recht op inzage

Mensen van wie persoonsgegevens worden verwerkt hebben het recht om die gegevens in te zien. De organisatie moet duidelijk maken waarom gegevens worden verwerkt, om welke soorten persoonsgegevens het gaat en aan welke organisaties persoonsgegevens eventueel worden doorgegeven. Ook moet duidelijk zijn voor welke termijn de persoonsgegevens worden bewaard.

De organisatie moet ook kenbaar maken van welke andere organisaties persoonsgegevens zijn betrokken. Ook moet worden aangegeven op basis waarvan de organisatie een geautomatiseerd besluit over iemand neemt.

Recht op rectificatie en aanvulling

Het recht van betrokkenen om onjuiste persoonsgegevens die de organisatie verwerkt te wijzigen. Persoonsgegevens moeten door de betrokken mensen ook kunnen worden aangevuld.

Het recht op beperking van de verwerking

Dat is het recht om minder gegevens te laten verwerken. Als bijvoorbeeld onjuiste gegevens worden verwerkt, dan mogen de gegevens niet gebruikt worden zolang ze niet juist zijn.

Als mensen bezwaar maken tegen het verwerken van hun persoonsgegevens, dan moet de organisatie daarmee stoppen, tenzij de organisatie dwingende gerechtvaardigde gronden kan aanvoeren die zwaarder wegen dan de belangen en rechten van de betrokkenen. Organisaties moeten betrokkenen informeren over het recht op bezwaar.

Het recht met betrekking tot geautomatiseerde besluitvorming en profilering

Betrokkenen hebben het recht op een menselijke blik bij besluiten die over hen gaan. Bijvoorbeeld in het geval van een geautomatiseerd besluit bij online sollicitaties. Het kan zijn dat een nieuw besluit genomen moet worden als de betrokkene de gegevens heeft beoordeeld.