Stap 4. Rechten klant
Welke rechten hebben betrokkenen?
In stap 3 is uitgelegd hoe het recht op informatie van Betrokkene zich vertaalt in een zorgplicht voor de verwerkersverantwoordelijke. In deze stap 4 gaan we in op andere rechten. In tegenstelling tot de vorige stap ligt het initiatief om van deze rechten gebruik te maken bij de Betrokkene zelf.
Als je persoonsgegevens verwerkt hebben de Betrokkenen verschillende rechten waarop zij een beroep kunnen doen. Deze zijn:
- recht om de gegevens die worden verwerkt in te zien (recht op inzage)
- recht om de gegevens aan te laten passen als ze onjuist zijn (recht op rectificatie)
- recht om minder gegevens te laten verwerken (recht op beperking)
- recht om de gegevens volledig te laten wissen (recht op vergetelheid ) – deels nieuw t.o.v. Wbp
- recht om verwerkte informatie aan de Betrokkene zelf door te laten sturen (recht op dataportabiliteit) – nieuw t.o.v. Wbp
- recht om bezwaar te maken tegen verwerking (recht op bezwaar). Het wettelijk recht op bezwaar is alleen van toepassing als je gegevens verwerkt op grond van je gerechtvaardigd belang of het algemeen belang. [ zie stap 1 ]
- het recht op menselijke tussenkomst bij geautomatiseerde besluitvorming (recht op menselijke blik).
Zie onder deze pagina voor de toelichting op deze rechten
Spelregels
Voor al deze rechten gelden een aantal algemene spelregels:
Alleen in situaties dat een verzoek van een klant ongegrond of onredelijk is hoef je niet aan een verzoek te voldoen. Je moet dit dan wel binnen een maand meedelen. Daarbij is het verplicht je beslissing om niet in te gaan op het verzoek te motiveren en de Betrokkene te wijzen op zijn recht om een klacht in te dienen bij de toezichthouder.
ls iemand van zijn rechten gebruik maakt moet je binnen een maand aan dit verzoek gehoor geven. Als dit echt niet mogelijk is, bijvoorbeeld omdat het verzoek complex is, dan moet uiterlijk binnen drie maanden aan het verzoek worden voldaan. Je meldt dan wel binnen een maand dat je extra tijd nodig hebt om in te gaan op het verzoek.
Je mag geen kosten in rekening brengen voor de uitvoering van een verzoek, tenzij een verzoek onredelijk is. Bijvoorbeeld: een Betrokkene vraagt heel vaak achter elkaar om inzage in de gegevens die je van hem verwerkt. In deze situatie hoef je geen gehoor te geven aan het verzoek, of mag je (administratieve ) kosten in rekening brengen. De hoogte van de kosten mag niet dusdanig zijn dat het afschrikt om een recht uit te oefenen.
Je moet helder uitleggen wat je doet met persoonsgegevens van een Betrokkene. Ook moet je wijzen op de rechten die zij hebben, zoals het recht op inzage, rectificatie, beperking , dataportabiliteit etc. Daarnaast moet je wijzen op de mogelijkheid een klacht in te dienen bij de Autoriteit Persoonsgegevens. Al deze informatie moet je in een toegankelijke vorm aanbieden. De inhoud van de informatie moet beknopt, transparant en begrijpelijk zijn. Deze informatie moet je schriftelijk of elektronisch verstrekken. Zie stap 3 voor meer informatie.
Let op! Aanvullend is het van belang dat je bij de beëindiging van dienstverlening wijst op het recht van dataportabiliteit.
Bij een verzoek tot rectificatie, beperking of wissen van persoonsgegevens ben je verplicht om iedere partij aan wie je de gegevens hebt doorgezonden hierover in te lichten, tenzij dit onmogelijk blijkt of onredelijk veel inspanning vergt. Het doel is dat deze partijen het verzoek van de Betrokkene ook doorvoeren. Of er sprake is van een onredelijke inspanning moet worden bepaald door de belangen van de Betrokkene te wegen tegen de te leveren inspanning (kosten, tijd, moeite etc.)
Voorbeeld:
Het belang van juiste gezondheidsgegevens is groter dan een typefout in een verouderd woonadres. Er mag dan ook meer inspanning verwacht worden wanneer iemand zijn rechten uitoefent die te maken hebben met gezondheidsgegevens. Wanneer de Betrokkene erom verzoekt moet de Financieel adviseur een overzicht geven van contactgegevens van partijen die zijn geïnformeerd over rectificatie, beperking of wissen, zodat dit voor hem verifieerbaar is. .
Onenigheid over uitvoering rechten
Als een Betrokkene/Klant het niet eens is met een besluit om geen opvolging te geven aan een van zijn rechten waarom hij verzoekt of de uitvoering daarvan, heeft hij het recht om de zaak voor te leggen aan de rechter. Ook kan een Betrokkene/Klant de zaak voorleggen aan de toezichthouder met het verzoek te bemiddelen in het geschil of met een verzoek tot handhaving.
Als je besluiten neemt op basis van automatisch verwerkte gegevens en daar zitten consequenties aan voor de betrokken persoon, dan heeft die persoon het recht zich op dit artikel te beroepen. Dit gebeurt bijvoorbeeld bij profilering. Voorbeelden zijn de automatische weigering van een online ingediende aanvraag.
In zo’n geval heeft iemand het recht om het geautomatiseerde besluit aan te vechten. Dat betekent vervolgens dat je een nieuw besluit moet nemen waarbij een mens de gegevens heeft beoordeeld.
- Geautomatiseerde besluitvorming is toegestaan wanneer dit noodzakelijk is voor de totstandkoming of uitvoering van een overeenkomst of wanneer een betrokkene hiervoor uitdrukkelijk zijn toestemming heeft gegeven. Voorbeeld: in kader van uitvoering van wettelijke zorgplicht na toestemming van betrokkene. besluitvorming c.q het recht om een geautomatiseerd besluit aan te vechten.
Een Betrokkene heeft het recht met redelijke tussenpozen duidelijk te krijgen of persoonsgegevens van hem worden verwerkt en indien dit het geval is te vernemen wat en hoe. Hij heeft het recht om inzage te verkrijgen in de gegevens die van hem worden verwerkt. Je kunt hier bijvoorbeeld aan voldoen door de persoon in kwestie uit te nodigen op kantoor of om kopieën van de gegevensverwerking toe te zenden. Het bieden van inzage in de gegevensverwerking via een Mijnomgeving is ook een goede mogelijkheid.
Een Betrokkene heeft het recht te verzoeken om onjuiste of onvolledige persoonsgegevens te laten corrigeren of aanvullen. Dit recht is bedoeld om evidente fouten of omissies te herstellen in het geval van onjuistheden. Denk bijvoorbeeld aan de aanpassing van iemands naam na huwelijk of scheiding. Dit recht is geen vrijbrief om alles te laten corrigeren.
Voorbeeld:
- een zelfstandige is ingedeeld in risicoklasse 3 voor een arbeidsongeschiktheidsverzekering en verzoekt om aanpassing naar de meest gunstige risicoklasse 1. In dit geval ben je niet gehouden opvolging te geven aan het verzoek omdat de vastgelegde gegevens onverminderd kloppen.
Bij beperking van de verwerking is sprake van het ‘on hold zetten’ ofwel het tijdelijk een slot zetten op iedere verwerking van persoonsgegevens totdat een bezwaar of probleem is opgelost.
Bij beperking van de verwerking moet je er o.a. met technische middelen voor zorgen dat persoonsgegevens niet verder worden verwerkt. Dit kan bijvoorbeeld door de gegevens ongeschikt te maken voor gebruik, of over te brengen naar een afgesloten plek binnen je systeem Opslag van de gegevens blijft wel toegestaan. Dit is logisch, omdat het mogelijk is dat een beperking wordt opgeheven zonder dat de persoonsgegevens worden gewist of vernietigd.
Een Betrokkene heeft het recht op beperking van de gegevensverwerking als één van de volgende situaties van toepassing is:
- als hij de juistheid van de gegevens betwist dan mag je de gegevens niet gebruiken zolang je niet hebt gecontroleerd of de gegevens kloppen.
- als de verwerking van de gegevens onrechtmatig is, maar de Betrokkene verzet zich tegen wissen (bijvoorbeeld omdat hij de gegevens later nog wil opvragen). In dat geval kan hij in plaats daarvan vragen om beperking van de verwerking;
- als de gegevens niet meer nodig zijn voor de doeleinden waarvoor ze zijn verzameld, maar nog wel nodig zijn voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
- als hij bezwaar* maakt tegen de verwerking. Zo lang nog niet duidelijk is of jouw gronden zwaarder wegen moet je stoppen met het verwerken van deze gegevens. (*Dit geldt alleen als je gegevens verwerkt op grond van je gerechtvaardigd belang of het algemeen belang, want alleen dan is het recht van bezwaar van toepassing. Zie stap 1, grondslagen).
Als de verwerking beperkt is mogen persoonsgegevens alleen nog verder worden verwerkt in de volgende situaties:
- met toestemming van de Betrokkene;
- voor de instelling, uitoefening of onderbouwing van een rechtsvordering. In zo’n geval ligt de bewijslast bij jou om aannemelijk te maken dat de verwerking zich hiertoe beperkt;
- ter bescherming van rechten van anderen of belangrijke redenen van algemeen belang.
Wanneer de beperking van de verwerking wordt opgeheven heb je de plicht om de Betrokkene op de hoogte te stellen van het voornemen de beperking op te heffen. Dit kan zich voordoen als een bezwaar ongegrond blijkt of als na onderzoek blijkt dat de gegevens toch juist zijn. Een Betrokkene heeft dan alsnog de mogelijkheid een klacht in te dienen of de zaak voor te leggen aan de rechter.
Een Betrokkene heeft het recht om te verzoeken om zijn persoonsgegevens zo snel mogelijk te laten wissen. Dit recht geldt als één van de volgende situaties van toepassing is:
- de gegevens zijn niet meer nodig voor de doelen waarvoor ze eerder zijn verzameld of verwerkt;
- de Betrokkene trekt zijn toestemming in voor de verwerking en er is geen andere rechtsgrond voor de verwerking (dit is het geval als toestemming de enige grondslag voor de verwerking was);
- de Betrokkenen heeft gegronde bezwaren tegen de gegevensverwerking;
- de persoonsgegevens zijn onrechtmatig verwerkt;
- de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting die op jou als verwerkingsverantwoordelijke rust.
Het recht op wissen geldt voor elke Betrokken, maar weegt bijzonder zwaar wanneer de toestemming destijds gegeven is door een kind (16-18 jaar) dat inmiddels volwassen is geworden en een verzoek tot wissen doet. De wet gaat ervan uit dat de persoon in kwestie zich destijds nog onvoldoende bewust kon zijn van de verwerkingsrisico’s.
Uitzonderingen recht op wissen
Het recht op wissen moet gewogen worden tegen andere rechten en belangen van de Financieel adviseur als verwerkingsverantwoordelijke. Het recht op wissen is niet van toepassing wanneer de verwerking nodig is voor o.a.:
- het nakomen van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust (bijvoorbeeld: wettelijke zorgplicht)
- de instelling, uitoefening of onderbouwing van een rechtsvordering.
Een Betrokkene heeft het recht de persoonsgegevens die hij heeft verstrekt in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen voor eigen gebruik of om te kunnen overdragen naar een andere partij. Daarbij is het van belang dat je gegevens zo verstrekt dat die door anderen kunnen worden hergebruikt.
- Gestructureerd wil zeggen dat de gegevens los van elkaar te verwerken moeten zijn.
- Gangbaar wil zeggen dat het technisch formaat bekend is in de markt.
- Machine leesbaar wil zeggen dat het overnemen van gegevens zonder menselijke tussenkomst mogelijk moet zijn.
Een voorbeeld is een Excel-bestand, XML-bestand of CSV.
Met het recht op overdraagbaarheid vergroot de Betrokkene de zeggenschap over de eigen gegevens, doordat hij ze gemakkelijker mee kan nemen naar een andere dienstverlener. Iemand kan zelfs eisen dat de verwerkingsverantwoordelijke de persoonsgegevens direct doorstuurt aan een nieuwe dienstverlener.
Het gaat bij overdraagbaarheid van gegevens om gegevens die geautomatiseerd worden verwerkt op basis van de volgend rechtsgronden:
- toestemming van de Betrokkene
- noodzakelijkheid voor de uitvoering van een overeenkomst met de Betrokkene
Welke gegevens moet je overdragen?
WEL:
- Input van de klant
- Gebruiksgegevens
- Meta-gegevens
NIET:
- Afgeleide gegevens, zoals uitkomsten van eigen analyse
Het beschikbaar stellen van persoonsgegevens van klanten moet volgens de toezichthouder ruim worden opgevat. Het gaat niet alleen om gegevens die Betrokkene actief en bewust aan je heeft verstrekt, maar ook om gegevens die zijn verstrekt door een dienst of product te <gebruiken. Denk bijvoorbeeld aan stortingen op een rekening, rentebetalingen of claimhistorie. Het gaat niet om afgeleide gegevens die gegenereerd zijn door bijvoorbeeld data-analyse, zoals een opgesteld risico- of interesseprofiel.
Bij de overdracht van gegevens moet niet alleen de feitelijke inhoud worden geleverd, maar ook zoveel mogelijk metagegevens, zoals tijdstip, afzender, geadresseerde. Hierdoor blijft de overgedragen informatie zo goed mogelijk bewaard.
Tip! Help om zorgvuldig te kiezen welke gegevens zij willen overdragen. Bijvoorbeeld de keuze tussen alle gegevens of alleen de gegevens van een afgelopen jaar of bepaalde contracten.
Bij de overdracht van gegevens ben je ervoor verantwoordelijk dat de dataportabiliteit geen datalek tot gevolg heeft. Hiervoor is nodig dat je zeker bent van de identiteit van de Betrokkene.
Een verzoek om dataportabiliteit betekent niet dat de overgedragen persoonsgegevens moeten worden gewist. Zolang de verwerking van persoonsgegevens nodig is voor de noodzakelijke gerechtvaardigde doelen hoeven ze niet te worden gewist.
Als je besluiten neemt op basis van automatisch verwerkte gegevens en daar zitten consequenties aan voor de betrokken persoon, dan heeft die persoon het recht zich op dit artikel te beroepen. Dit gebeurt bijvoorbeeld bij profilering. Voorbeelden zijn de automatische weigering van een online ingediende aanvraag.
In zo’n geval heeft iemand het recht om het geautomatiseerde besluit aan te vechten. Dat betekent vervolgens dat je een nieuw besluit moet nemen waarbij een mens de gegevens heeft beoordeeld.