Mark van der Staaij – Business Consultant
Sinds mei 2018 is de AVG van kracht. De wet die ervoor moet zorgen dat bedrijven goed en netjes omgaan met persoonsgegevens van hun personeel, klanten en andere relaties. De wet beperkt het gebruik van persoonsgegevens door bedrijven. Het gebruik van persoonsgegevens is aan banden gelegd alsmede de verkopen hiervan aan derden. Maar de wet heeft nog meer geregeld. Dat is dat de gegevens eigendom zijn en blijven van de mensen in kwestie en dat zij het recht hebben om die te mogen inzien. In vaktaal een informatieverzoek. Wat is dat eigenlijk, een informatieverzoek?
Bedrijven slaan veel persoonsgegevens op. Ook die van u en mij. Soms is het handig of gewoonweg interessant om op te vragen welke gegevens het bedrijf over u heeft opgeslagen. Dat noemen we in vakjargon dan een informatieverzoek.
Veel burgers weten niet dat het opvragen van hun persoonsgegevens mogelijk is en dat deze gegevens een persoonlijk eigendom zijn. Organisaties hebben hier doorgaans ook geen weet van.We komen dan ook veel organisaties tegen die niet of niet goed weten hoe het zit. “Wat is een informatieverzoek? Moeten we daar verplicht aan mee werken? Gegevens eigendom van de mensen in kwestie?” Vragen die we regelmatig krijgen. Een mooie gelegenheid voor een blog om dat nog een keer uit te leggen.
Bijna elke organisatie verwerkt dus persoonsgegevens: van medewerkers, klanten, website-bezoekers en leveranciers. Volgens de AVG worden deze mensen ‘betrokkenen’ genoemd. Betrokkenen hebben volgens de wet privacyrechten.
Mogelijk ziet u het wel eens terug op websites: in de cookiemelding of ergens onderaan de pagina. Een privacyverklaring, privacy statement, privacy policy. Allemaal termen voor hetzelfde document, waarin onder andere omschreven staat wat een organisatie doet met de persoonsgegevens en wat de rechten van de betrokkenen zijn.
Aangezien iedereen dus eigenaar is van gegevens over zichzelf, heeft iedereen dus ook het recht om in te zien welke persoonsgegevens er van/over u verwerkt worden door de organisatie. Ook mag de betrokkene vragen of de organisatie de informatie corrigeert of verwijdert. Bijvoorbeeld gegevens over aankopen of een mailwisseling over een dispuut. Dit laatste kan uiteraard als daar geen (juridische of wettelijke) gevolgen aan vastzitten. Dus een oud-medewerker kan niet verzoeken om het verwijderen van de salarisgegevens, omdat daar een wettelijke bewaartermijn aan vastzit.
Een verzoek om informatie. Als het om de producten en diensten gaat is het dagelijkse kost. Gaat het om de persoonsgegevens dan is het andere koek. Voor een organisatie kan dat best lastig zijn. De informatie staat vaak in verschillende systemen. Ook is het niet duidelijk hoe u dit terugkoppelt aan de persoon. Er zijn vaak geen processen voor ingericht.
Afhankelijk van de persoonsgegevens die de organisatie verwerkt, kan het vaak of bijna nooit voorkomen dat dergelijke verzoeken binnenkomen. Ondanks de frequentie is het als organisatie evengoed belangrijk procedures in te richten en verantwoordelijken aan te wijzen om aan verzoeken te kunnen voldoen.
U wilt de verzoeken ook efficiënt afhandelen omdat er een wettelijke termijn aan vastzit. Als organisatie bent u verplicht zo snel mogelijk te reageren en binnen maximaal een maand het verzoek uit te voeren. U wilt immers als organisatie niet ineens al het dagelijkse werk laten vallen, voor het afhandelen van een informatieverzoek.
In eerste instantie is het goed als alle medewerkers er van op de hoogte zijn wat een informatieverzoek is, zodat het verzoek op de juiste manier wordt opgepakt.
Een voorbeeld hoe het niet moet: in het privacy statement van een groot warenhuis stond dat dergelijke verzoeken aan de klantenservice gericht konden worden. Na het indienen van een informatieverzoek bleek dat de medewerkster geen idee had wat er gevraagd werd en stuurde tot drie keer toe hetzelfde bericht, hetzij iets anders verwoord, terug: “Ik begrijp niet wat u bedoelt, ik kan niet bij uw gegevens en ik kan geen bestellingen plaatsen via jouw account. Jij kunt alleen zelf aanpassingen aanbrengen aan jouw account wegens de privacy van onze klanten”.
Dit is niet alleen slecht voor de reputatie van het bedrijf, maar als er vervolgens niet adequaat op gereageerd wordt, handelt de organisatie zelfs in strijd met de wetgeving.
Een organisatie doet er goed aan een aantal mensen aan te wijzen dat verantwoordelijk is voor het oppakken van informatieverzoeken. Als een Functionaris Gegevensbescherming (FG) is aangesteld, dan is dat de meest logische persoon.
Lang niet alle organisaties hoeven een FG aan te stellen (zie ook ons blog: Het nut van de Functionaris Gegevensbescherming). In dat geval is het van belang iemand verantwoordelijk te maken voor privacy. Bijvoorbeeld een Privacy Officer (PO). Een PO fungeert als aanspreekpunt voor privacy vraagstukken binnen de organisatie en kent de wegen binnen de organisatie.
Veel organisaties hebben meerdere systemen waar persoonsgegevens in staan. Denk er goed over na welke dat zijn en weet wat u waar moet opvragen. Nu goed organiseren en beleggen kan in de toekomst veel tijd besparen.
Zoals u ziet, komt er aardig wat bij kijken om een informatieverzoek in te willigen. Denk er dus goed over na wat bij uw organisatie past en hoe u dat zo goed mogelijk inregelt.
Kortom:
Blog geschreven door Mark van der Staaij – Business Consultant
Volg onze Seminar over de nieuwe Cyber Securtiy eisen en zorg ervoor dat je bedrijf klaar is voor de nieuwe NIS2-richtlijnen.