De AVG geeft mensen zeggenschap over hun eigen persoonsgegevens. Die zeggenschap is vastgelegd in een aantal rechten van betrokkenen. Voor medewerkers is het belangrijk om die rechten te herkennen, want een verzoek kan binnenkomen via een mail, een brief of zelfs telefonisch. Wie weet wat er speelt, reageert correct en op tijd.
Welke rechten zijn er?
De AVG kent betrokkenen onder meer deze rechten toe:
- Recht op inzage: weten welke gegevens een organisatie van iemand heeft, en een kopie krijgen.
- Recht op correctie: onjuiste gegevens laten verbeteren of aanvullen.
- Recht op verwijdering: gegevens laten wissen, ook wel het 'recht om vergeten te worden'.
- Recht op beperking: de verwerking tijdelijk laten stilleggen.
- Recht op dataportabiliteit: gegevens in een bruikbaar formaat meekrijgen om over te dragen.
- Recht van bezwaar: bezwaar maken tegen een verwerking, bijvoorbeeld direct marketing.
Wat een verzoek voor jou betekent
Je hoeft een verzoek niet zelf af te handelen, maar je moet het wel herkennen en doorgeven. Iemand die vraagt "welke gegevens hebben jullie van mij?" of "verwijder mijn gegevens" dient feitelijk een AVG-verzoek in, ook als die de wet niet noemt.
De klok begint te lopen zodra de organisatie het verzoek ontvangt. In de regel moet er binnen een maand een reactie zijn. Doorsturen naar de privacyverantwoordelijke of het centrale meldpunt is dus tijdkritisch.
Niet elk recht is absoluut
De rechten kennen uitzonderingen. Het recht op verwijdering geldt bijvoorbeeld niet als er een wettelijke bewaarplicht is, zoals bij financiële administratie. En inzage mag de privacy van anderen niet schaden.
Daarom hoef jij niet ter plekke te beoordelen of een verzoek toegewezen wordt; dat doet de verantwoordelijke. Jouw rol is herkennen, vastleggen en doorgeven.
Zo ga je er correct mee om
Een paar praktische gewoonten:
- Herken een verzoek, ook als het informeel is geformuleerd.
- Stuur het direct door naar de privacy-officer of het meldpunt.
- Verifieer de identiteit van de verzoeker niet zelf op een onveilige manier; laat dat via het juiste proces lopen.
- Geef nooit zomaar gegevens vrij op een telefonisch verzoek zonder verificatie.
Zo verwerk je dit in je awarenessprogramma
Verzoeken komen binnen bij mensen met klantcontact; train herkennen en doorgeven, niet zelf afhandelen.
- Richt deze module op front-office, klantenservice en receptie.
- Oefen het herkennen van een informeel verzoek en de juiste doorgeefroute.
- Maak de meldroute en de termijn van één maand zichtbaar in werkinstructies.
- Bied verdieping via onze cursuscatalogus.
Related articles
- Wat is de AVG? De grondbeginselen in begrijpelijke taal
- Persoonsgegevens herkennen: wat valt er wél en niet onder?
FAQ
Welke rechten hebben mensen onder de AVG?
Onder meer inzage, correctie, verwijdering, beperking van de verwerking, dataportabiliteit en bezwaar. Samen geven ze mensen zeggenschap over hun eigen persoonsgegevens.
Wat moet ik doen als ik een AVG-verzoek krijg?
Herken het, ook als het informeel is, en stuur het direct door naar de privacyverantwoordelijke of het centrale meldpunt. Handel het niet zelf af en geef geen gegevens vrij zonder verificatie via het juiste proces.
Binnen welke termijn moet een verzoek worden beantwoord?
In de regel binnen een maand na ontvangst. Die termijn kan in complexe gevallen worden verlengd, maar dat moet je wel laten weten. Snel doorsturen is daarom belangrijk.
Is het recht op verwijdering altijd van toepassing?
Nee. Het geldt niet als er bijvoorbeeld een wettelijke bewaarplicht is, zoals bij financiële gegevens, of als de gegevens nodig zijn voor een juridische claim. De verantwoordelijke beoordeelt of een verzoek wordt toegewezen.
Mag ik op een telefonisch verzoek gegevens verstrekken?
Niet zonder dat de identiteit op een veilige manier is geverifieerd via het juiste proces. Anders loop je het risico gegevens aan de verkeerde persoon te geven, wat zelf een datalek is.