Autoriteit Persoonsgegevens ontvangt stapels klachten; voldoe jij aan de AVG?

Eind juni publiceerde de Autoriteit Persoonsgegevens (AP) een bericht dat zij sinds de invoering van de nieuwe privacywet in mei dit jaar al 600 klachten hadden ontvangen van burgers omtrent het uitoefenen van hun rechten. Sinds de invoering van de AVG – ook wel bekend als GDPR – zijn de privacyrechten van ons burgers aangescherpt en uitgebreid. We hadden al het recht om in te zien welke persoonsgegevens een organisatie van ons heeft. Dat is uitgebreid met het recht op dataportabiliteit (het recht om je gegevens mee te nemen) en het recht op vergetelheid (het recht dat organisaties je persoonsgegevens moeten wissen als je erom vraagt. Werkt men hier niet aan mee, dan kan een privacyklacht worden ingediend bij de AP. Gezien het grote aantal klachten in korte tijd, is het bij aardig wat organisaties niet best gesteld. Onwil of onkunde? En hoe verbeter je als organisatie je response?

Soms mogen persoonsgegevens niet verwijderd worden

In sommige gevallen màg een organisatie simpelweg geen persoonsgegevens verwijderen. In het geval van een salarisadministratie bijvoorbeeld, geldt een wettelijke fiscale bewaartermijn van zeven jaar. Deze verplichting staat boven de AVG. Dit is ook van kracht bij andere wet- en regelgeving die je als organisatie verplicht gegevens lang(er) te bewaren, denk bijvoorbeeld aan onderdelen van je personeelsadministratie. Ook als een persoon in een geschil of gerechtelijke procedure verwikkeld is met een bedrijf, mag dat bedrijf de gegevens van deze persoon niet verwijderen.

Soms kunnen persoonsgegevens niet verwijderd worden

Het kan ook zijn dat het voor een organisatie bijna onmogelijk is om persoonsgegevens te verwijderen. Dan kom je in een zogenoemd grijs gebied, waarin gegevens ‘nog niet’ verwijderd hoeven worden. Zo zijn er bijvoorbeeld nog veel bedrijven die back-ups maken op tapes, om die voor lange termijn te bewaren. Het is extreem lastig om daar de gegevens van één persoon tussenuit te vissen. Dat wil niet zeggen dat je als organisatie dan verschoond bent van je verplichtingen. Zodra je, om welke reden dan ook, de back-up terugzet, moet je alsnog de gegevens van die persoon of personen verwijderen. Het is aan te raden daarvoor een register aan te leggen, waarin je zulke zaken vastlegt.

Stap voor stap door de procedure

Wij zagen en zien om ons heen dat bedrijven worstelden met de AVG en het voldoen aan de uitgebreide privacyrechten. Daarom hebben we procedure ‘Rechten Betrokkenen’ geschreven hoe en wanneer organisaties nu moeten voldoen aan de uitoefening van deze rechten. In deze procedure leggen we stap voor stap uit wat je moet doen. Je krijgt een aanvraag van iemand die één van zijn rechten wil uitoefenen. Moet je daar als bedrijf dan aan voldoen, en zo ja, hoe pak je dat aan en wat zijn de stappen die je moet nemen. Een onderdeel van de procedure is ook de wettelijke verplichting tot het bewaren van de gegevens. Wanneer het niet duidelijk is hoelang jouw organisatie de gegevens moet bewaren, zoeken we dit samen uit. Dit is immers verschillend per organisatie. Waar een kinderopvang te maken heeft met sectorale wetgeving omtrent bewaren van gegevens is dit voor een metaalverwerkingsbedrijf weer compleet anders.

Optimale uitoefening met de Managed-AVG-dienst

Naast deze procedure zorgen we voor een register waarin alle statussen van alle rechten die zijn uitgeoefend worden bijgehouden en wat ermee is gedaan: is er al dan niet aan voldaan, was er sprake van een wettelijke verplichting en is derhalve niet voldaan aan het verzoek, wat is de terugkoppeling geweest, etc. Ook hebben we onze Managed-AVG-dienst ontwikkeld; een middel waarmee de afhandeling van de verzoeken optimaal uitgeoefend kan worden.

Nieuwsgierig naar de mogelijkheden?

Of het nu gaat om het opstellen van een privacybeleid, het melden en voorkomen van datalekken, het opstellen én bijhouden van het verwerkingsregister, het regelen van verwerkersovereenkomsten of de procedure ‘Rechten Betrokkenen’; wij kunnen je er alles over vertellen. Neem vrijblijvend contact op en we vertellen je wat de mogelijkheden zijn.