Functionele cookies

Wij plaatsen functionele cookies om deze website naar behoren te laten functioneren en analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens.

Gepersonaliseerde informatie

Hiermee ontvangt u gepersonaliseerde informatie op onze website die wordt afgestemd op uw internetgedrag.

Als derde aandachtspunt in mijn reeks van belangrijkste AVG-ontwikkelingen bespreek ik de meest relevante privacyrechten die burgers hebben en die zij dus moeten kunnen uitoefenen bij de gemeente. Ik heb het dan over het recht op inzage van persoonsgegevens, het recht op verwijdering en correctie en, twee nieuwe rechten onder de AVG, het recht op ‘vergetelheid’ en het recht op dataportabiliteit.

De drie eerstgenoemde rechten bestaan al sinds de invoering van de Wet bescherming persoonsgegevens in 2001. Hier werd echter zo weinig gebruik van gemaakt dat een geïmplementeerd proces bij de meeste gemeenten ontbreekt. Maar wat we nu zien is een toename van het beroep dat op deze rechten wordt gedaan. Dat komt vooral door de enorme toename van media-aandacht voor het onderwerp privacy, waardoor de burger beter geïnformeerd is en zijn rechten beter kent. Helaas voor gemeenten is er ook nog een tweede component, namelijk de verschuiving van Wob-misbruik naar Wbp-misbruik. Nu de dwangsom bij niet tijdig beslissen niet langer van toepassing is op Wob-besluiten, maar wel op Wbp-besluiten, zien wij de namen van notoire Wob-misbruikers ineens verschijnen onder Wbp-verzoeken. Maar waar de toename ook vandaan komt, het is zaak om de processen goed op orde te hebben. Dit ter voorkoming van zowel een verbeurde dwangsom, als een privacy-inbreuk.

1. Het recht op inzage

Het meest gebruikte recht is het recht op inzage. Dit houdt kort gezegd in dat een burger de gemeente verzoekt om een overzicht van alle persoonsgegevens die de gemeente over hem verwerkt. Door de grote diversiteit aan applicaties is zo’n verzoek voor de gemiddelde gemeente – zacht gezegd – een uitdaging. En dan moet ze het overzicht ook nog binnen vier weken opleveren. Mijn advies: raak niet in paniek en ga niet als een dolle in alle registers zoeken, maar volg deze stappen:

  • Zorg ervoor dat de aanvrager zich legitimeert. Voordat dat gebeurd is, worden er geen persoonsgegevens opgezocht. Je wilt immers niet dat een overzicht met al die (gevoelige) gegevens in verkeerde handen valt. Legitimeren kan door een aanvraagprocedure met DigiD in te regelen of de aanvrager te vragen om met zijn ID-bewijs naar het gemeentehuis te komen. Begin niet aan kopietje paspoort, dat is te risicovol en niet nodig;
  • Neem contact op met de aanvrager en informeer naar de reden van het verzoek. Vaak is een verzoek gedaan omdat een burger ergens zijn gegevens tegenkwam en zich afvroeg hoe die daar terecht zijn gekomen. Zo beperk je de zoekvraag en bespaar je jezelf tijd en geld;
  • Als het verzoek de gehele gemeente betreft, laat dan een coördinator de zaak oppakken. Deze coördinator gaat bij alle organisatieonderdelen na welke gegevens bekend zijn van de aanvrager. Zorg ervoor dat alleen die coördinator álle gegevens kan zien. Want zodra ambtenaren van verschillende afdelingen volledige gegevens in kunnen zien, hebben we een datalek…
  • De coördinator stelt aan de hand van de aangeleverde gegevens een overzicht op en zorgt dat dit bij de aanvrager terecht komt. Denk ook hier goed over na: dit overzicht bevat gevoelige informatie, dus verstuur dit niet via (onbeveiligde) e-mail of de gewone post.

2. Het recht op correctie en verwijdering

Als een burger zijn gegevens heeft ingezien, kan hij vinden dat deze gegevens niet kloppen. Ook kan hij van mening zijn dat de opgeslagen gegevens verwijderd moeten worden. Op zich is dat zijn goed recht en kan deze oplettendheid van de burger bijdragen aan de kwaliteit van de gegevens. Het is wel van belang dat de wijziging wordt doorgegeven door de juiste persoon én dat de juiste wijzigingsprocedures worden gevolgd. Dit houdt in dat de burger zich opnieuw moet legitimeren. Dat hij dit al heeft gedaan bij het verzoek om inzage maakt dit niet anders. Als het toegestuurde overzicht in verkeerde handen is gevallen, dan kan het verzoek om wijziging door een heel andere persoon worden gedaan.

Daarnaast is de oorsprong van de gegevens belangrijk. Veel van de gegevens die gemeenten gebruiken, komen uit de Basisregistratie personen (BRP). De gegevens in de BRP kun je alleen wijzigen op de wijze die beschreven staat in de Wet BRP en dus niet door een verzoek zoals ik hier beschrijf. Daarmee worden deze rechten beperkt. Geslaagde beroepen op deze rechten zie je met name op niet-publieke taken die de gemeente uitvoert, denk bijvoorbeeld aan de verhuur van zwembaden.

3. Een nieuw recht: het recht op ‘vergetelheid’

Onder de AVG is het recht op ‘vergetelheid’ in het leven geroepen. In de discussies in aanloop naar de AVG heette dit nog ‘het recht om vergeten te worden’, maar dat was te stellig voor wat het recht inhoudt. Vandaar deze vreselijke vertaling.

Aanleiding tot het opnemen van dit recht was de zaak die de heer Costeja aanspande tegen Google, omdat zijn naam in die zoekmachine alsmaar in verband bleef worden gebracht met de executoriale verkoop van zijn huis. Meneer Costeja was inmiddels uit zijn financiële dal en wilde daar niet steeds weer mee in verband worden gebracht. Zijn verzoek werd (uiteindelijk) toegewezen en het zoekresultaat werd verwijderd.

In de AVG is echter een heel beperkt recht opgenomen om je gegevens te laten wissen. Alle wettelijke registers zijn hiervan (vanzelfsprekend) uitgezonderd. Verder gaat het met name om gegevens die toch al niet rechtmatig werden verwerkt, waarvoor de toestemming wordt ingetrokken of die niet langer verwerkt mogen worden door enige wettelijke verplichting. Voor gemeenten zijn hiervoor twee dingen van belang:

  1. Kennis bij de medewerkers over deze bepalingen (dit voorkomt dat onnodig geschrapt gaat worden) en
  2. Het beperken van de wildgroei van applicaties en Excellijstjes.

Juist in dat soort verwerkingen staan persoonsgegevens die allang weggegooid moesten zijn of überhaupt nooit verzameld mochten worden.

4. Een nieuw recht: het recht op dataportabiliteit

Het recht op dataportabiliteit - overdraagbaarheid van gegevens - geeft de burger het recht om persoonsgegevens die hij aan de gemeente heeft verstrekt in een gestructureerde, gangbare en machineleesbare vorm te ontvangen en deze ongehinderd aan een andere organisatie over te dragen. Waar komt dit recht vandaan? Denk aan profielen en overdragen naar andere partijen. Jawel, de datingsites! Er is een lobby geweest van gebruikers van datingssites die hun – met veel moeite opgebouwde – profielen bij gebrek aan succes op de ene site, eenvoudig wilden overzetten naar de andere site.

De gevolgen van dit recht voor gemeenten zijn beperkt. Ten eerste gaat het alleen om persoonsgegevens die met toestemming van de burger bij de burger zelf zijn verkregen of die verwerkt worden ten behoeve van een schriftelijke overeenkomst met die burger. Ten tweede geldt het recht op dataportabiliteit niet wanneer de gegevensverwerking noodzakelijk is voor de vervulling van een taak van algemeen belang, wanneer de uitoefening van een openbaar gezag dat aan de verantwoordelijke is verleend of wanneer een verantwoordelijke zijn openbare taken uitoefent of aan een wettelijke verplichting voldoet. De verantwoordelijken zijn in deze gevallen niet verplicht overdraagbaarheid mogelijk te maken. Het grootste deel van de taken van een gemeente zullen vallen onder deze uitzonderingen.

Het is dus niet de AVG die grote veranderingen meebrengt voor de rechten van burgers, maar het ‘achterstallig onderhoud’ op Wbp-verplichtingen. Zoals ik al schreef in mijn artikel 'De privacybezem door de organisatie' geeft de invoering van de AVG aanleiding om eens kritisch te kijken naar alle bestaande verwerkingen van persoonsgegevens en dus ook naar bestaande processen. Ik bespeur nog wel eens wat struisvogelgedrag: als we geen proces hebben, dan komen er ook geen verzoeken. Dat is een gepasseerd station. De verzoeken komen en dan kun je maar beter goed voorbereid zijn!

Gerelateerde artikelen
Alle artikelen