Centraliseer en automatiseer rechten van betrokkenen onder de AVG

Correcte en privacy vriendelijke afhandeling van rechten van betrokkenen, is bijna een dilemma op zich. Welke gegevens kan er ter identificatie gevraagd worden en welke gegevens sla je op ter logging?

Tros Radar besteedde er in een uitzending aandacht aan. De rechten van betrokkenen nog eens op een rijtje:

  • Recht op inzage, Het recht om inzage te krijgen welke van je persoonsgegvens een bedrijf verwerkt. (Artikel 15 onder de AVG)
  • Recht op rectificatie, Het recht om je persoonsgevens te wijzigen, aan te vullen of at te schermen. (Artikel 16 onder de AVG)
  • Recht op vergetelheid, Het recht dat je "vergeten" wordt door een organisatie (Artikel 17 onder de AVG)
  • Recht op dataportabiliteit, Het recht om je data over te zetten naar een andere organisatie (Artikel 20 onder de AVG)
  • Het recht op beperking van de verwerking, waarbij een organisatie de gegevens die ze van je mogen gebruiken inperken. (Artikel 18 onder de AVG)
  • Het recht met betrekking tot geautomatiseerde besluitvorming en profilering. Het recht dat wanneer er een geautomatiseerde beslissing is gemaakt, hier op verzoek verplicht een mens naar moet kijken (Artikel 22 onder de AVG).
  • Het recht om bezwaar te maken tegen de gegevens­verwerking. Het recht om bezwaar te maken van gebruik persoonsgevens, bijvoorbeeld bij bijzondere persoonlijke omstandigheden, of indien gegevens gebruikt worden voor martketingdoeleinden. (Artikel 21, lid 2, lid 3 van de AVG)

Rechten betrokkene en privacy dilemma

Het meest genoemde dilemma bij het uitvoeren van deze rechten is wellicht: hoe moet de betrokkene gelegitimeerd worden? Hierover is de AVG wetgeving echter duidelijk:

  • verificatie dient op de minst privacy­gevoelige wijze plaats te vinden, voor een online omgeving (zoals een webshop) dient bijvoorbeeld inloggen te volstaan;
  • Opvragen van kopie van legitimatiebewijs is (daarmee) zelden veroorloofd, indien wel dient de organisatie naar betrokkene aan te geven om bijzondere gegevens als BSN te maskeren.

Hiermee zullen dus niet snel meer persoonsgegevens gemoeid gaan, dan dat een verwerkings­verantwoordelijke reeds heeft.

Echter, in het geval van recht op vergetelheid of recht op inzage, kan er sprake zijn van ongegronde of buitensporige verzoeken vanuit een betrokkene. In sommige gevallen kan er als gevolg gevraagd worden om een administratieve vergoeding, voordat (herhaaldelijke) verzoeken in behandeling worden genomen.

Privacy dilemma

Dit brengt ons tot een dilemma: er zal dus buiten een informatiesysteem om, gegevens van een betrokkene bijgehouden moeten worden om buitensporige verzoeken te kunnen monitoren. Deze data zal wellicht in een ander informatie-systeem (los excel document of andere tooling) terecht komen.

Privacy vriendelijk centraliseren van rechten van betrokkenen

AVG Cloud Register biedt voor het privacy vriendelijk als ook centraal afhandelen van verzoeken omtrent rechten van betrokkenen, een oplossing. Binnen de SaaS toolbox van AVG Cloud Register, kunnen door individuele afdelingen, rechten van betrokkenen gedocumenteerd worden. De voordelen:

  1. Gebruikers / afdelingshoofden zien alleen de verzoeken die men zelf noteert als ook binnen de eigen afdeling binnen komen;
  2. Desondanks kunnen alle verzoeken centraal vanuit de SaaS oplossing worden afgehandeld;
  3. Een DPO, FG of andere verantwoordelijke, kan inzage gegeven worden in alle verzoeken;
  4. Bij AVG Cloud Register, noteer je vooral een verwijzing naar een bron, zoals type systeem, database en identificatiemiddel binnen het eigen systeem;
  5. Verzoeken kunnen aan een proces worden gekoppeld, zodat voor andere gebruikers duidelijk is in welk proces en systeem de bijbehorende gegevens staan;
  6. Hiermee worden niet meer persoonsgegevens verwerkt, dan benodigd;
  7. Bij acceptatie van een verzoek (c.q. verificatie van persoon, behorende bij persoonsgegevens) kan er door een verwerkings­verantwoordelijke worden overgegaan op actie (inzage geven, data corrigeren of verwijderen);
  8. AVG Cloud Register biedt in de tooling tekstuele handvaten en vuistregels, waardoor gebruikers weten hoe er correct omgegaan moet worden met elk type verzoek;
  9. Middels de koppelingsmogelijkheid via de API, kunnen verzoeken in een bronbestand automatisch worden verwijderd, ook wanneer informatiesystemen van een verwerkings­verantwoordelijke de-centraal opereert.

Automatiseren van rechten van betrokkenen

In samenwerking met gebruikers van onze AVG SaaS tooling, hebben we een methode uitgewerkt om verzoeken in het kader van rechten van betrokkenen, op AVG compliant wijze af te handelen (zie bovenstaande voordelen).

Verzoeken in goede banen

Een praktijk-voorbeeld: Huisartspraktijken, aangesloten bij een overkoepelende organisatie, verwijderen of rectificeren individueel gegevens op verzoek van betrokkene. De volgende dag worden deze gegevens echter (weer) overschreven door de master-database van de overkoepelende organisatie.

Verzoeken kunnen echter centraal ingediend worden, waarbij elk huisartsenpraktijk enkel de verzoeken te zien krijgen die binnen de eigen organisatie binnen komt. Door de master-database een beroep te laten doen op AVG Cloud Register's API mogelijkheid, kunnen gegevens vervolgens centraal verwijderd worden (bijvoorbeeld na op te geven termijn). Dit voorkomt dat persoonsgegevens niet abusievelijk terug keren in de individuele systemen die binnen huisartspraktijken gebruikt worden.

Een verzoek wordt in goede banen geleid en voldoet het aan de AVG wetgeving. Meer weten over de toepassingsmogelijkheden, of een één op één introductie? Bekijk onze demo of neem contact met ons op.

Demo bekijken Contact opnemen