Mkb-bedrijven moeten blijvend aandacht hebben voor de privacyrechten van medewerkers, klanten en andere mogelijke betrokkenen. Het is onder de AVG (Algemene verordening gegevensbescherming) verplicht hiervoor een procedure te hebben. Daarbij, je wilt het voor klanten en medewerkers goed geregeld hebben. Hoe kan je dat borgen?
Klachten
In 2018 hebben ruim 11.000 mensen een privacyklacht ingediend bij de Autoriteit Persoonsgegevens (AP). De klachten gingen vooral over schending van privacyrechten, het uitvragen van meer gegevens dan nodig en over het ongewenst doorgeven van persoonsgegevens aan derden. Door de invoering van de AVG per mei 2018 zijn de privacyrechten van betrokkenen versterkt.
Welke privacyrechten?
Iedereen heeft bepaalde privacyrechten, zoals het recht om in te zien welke persoonsgegevens een organisatie van je heeft. Dit recht op inzage houdt in dat er altijd een verzoek mag worden gedaan bij een organisatie (dit kan ook de werkgever zijn) om na te gaan of en welke persoonsgegevens worden verwerkt. Zodra dit het geval is, bestaat het recht hier (kosteloos) een afschrift van te krijgen. Als de gegevens onjuist of onvolledig zijn, bestaat het recht op rectificatie. De privacyrechten zijn in de AVG onder andere uitgebreid met het recht op dataportabiliteit (het recht om gegevens op eenvoudige wijze mee te kunnen nemen) en het recht op gegevenswissing (de plicht dat organisaties, indien juridisch mogelijk, persoonsgegevens moeten wissen als er een dergelijk verzoek wordt gedaan).
Procedure verplicht
Het bovenstaande betekent dat je als ondernemer blijvend aandacht moet hebben voor deze privacyrechten van medewerkers, klanten en mogelijk andere betrokkenen. Je moet transparant zijn over welke persoonsgegevens je verwerkt, met welk doel, op basis van welke wettelijke grondslag en op welke wijze je omgaat met de privacyrechten.
Het is verplicht een procedure te hebben voor de privacyrechten. Deze moet voor eenieder eenvoudig (terug) te vinden moet zijn. In de procedure staan alle privacyrechten uit de AVG omschreven en is beschreven wat er precies moet gebeuren bij privacyverzoeken en binnen welke termijn. Hieronder staan enkele aandachtspunten.
Identificatie persoon
Het eerste aandachtspunt betreft de identificatie van de persoon die een privacyverzoek doet. Als je niet in staat bent om de betrokkene te identificeren (bijvoorbeeld via telefoon), mag je weigeren gevolg te geven aan het privacyverzoek van de betrokkene of kan je om aanvullende informatie vragen.
Je mag alleen om een kopie van een identiteitsbewijs vragen, wanneer identificatie niet op een andere wijze kan plaatsvinden, bijvoorbeeld door het stellen van enkele specifieke persoonsgebonden vragen.
Let op! In die gevallen waarin identificatie ook op een andere wijze kan plaatsvinden, mag je niet vragen om een kopie van een identiteitsbewijs.
Binnen één maand reageren
Tweede aandachtspunt is dat je verplicht bent om binnen één maand na ontvangst van het privacyverzoek de betrokkene te informeren over hoe je het verzoek gaat uitvoeren. Bij een inzageverzoek van een werknemer kan dit bijvoorbeeld een afschrift van het personeelsdossier zijn. Bij een inzageverzoek van een klant kan dit een afschrift van het klantaccount betreffen.
Let op! Ook als je geen gevolg aan het verzoek geeft, moet je dat uiterlijk binnen één maand na ontvangst van het verzoek meedelen aan de betrokkene. In bijzondere omstandigheden mag deze termijn verlengd worden.
Wie is verantwoordelijk?
Ten slotte moet binnen je organisatie worden vastgesteld wie verantwoordelijk is voor de uitvoering van de procedure. Dit kan bijvoorbeeld een privacyfunctionaris zijn of een medewerker die verantwoordelijk is voor informatiebeveiliging. Ben je zzp’er of heb je binnen je bedrijf geen specifieke medewerker hiervoor, dan zal je als ondernemer deze rol zelf op je moeten nemen.
Let op! Het is zaak privacyverzoeken uniform af te wikkelen en een registratie hiervan aan te leggen.
Veelvoorkomende klachten
De AP ontving de meeste klachten over zakelijke dienstverleners, de IT-sector en de overheid, op de voet gevolgd door financiële en zorginstellingen. Bij de zakelijke dienstverleners, nutsbedrijven en de IT-sector gaan de klachten vooral over de privacyrechten, zoals het recht op inzage en het recht op verwijdering van eigen persoonsgegevens. Er wordt bijvoorbeeld geen (tijdige) inzage gegeven in gegevens als daarom gevraagd wordt of er worden drempels opgeworpen als persoonsgegevens verwijderd dienen te worden.
Fitnessabonnement
Een andere veelvoorkomende klacht is dat er door organisaties meer gegevens worden uitgevraagd dan noodzakelijk, bijvoorbeeld het Burgerservicenummer bij het afsluiten van een fitnessabonnement of bij aanmelding bij een rijschool. Daarnaast gaan veel klachten over organisaties die persoonsgegevens doorgeven aan derden, zonder medeweten van betrokkenen.