Voordelen goed ingericht proces
- Uitvoering van verzoeken kost minder tijd
- Betere bescherming van waardevolle datastromen
- Goede reputatie door zorgvuldige omgang met persoonsgegevens van betrokkenen
- Inzicht in het datalandschap en classificatie van aanwezige data
Aan de slag met het beter inrichten van het proces bij AVG-verzoeken? Gebruik dan onderstaande handvatten.
1. Beleg de verantwoordelijkheid voor het uitvoeren van verzoeken
Zorg ervoor dat verzoeken via één kanaal en schriftelijk binnenkomen, bijvoorbeeld via [email protected]. Zo zijn verzoeken meteen goed gedocumenteerd en mist je organisatie geen verzoeken. Dit is een goede manier om de voortgang te monitoren. Pas het proces hierop aan, zorg voor bewustwording in de organisatie en voor een escalatiemogelijkheid als verzoeken stil blijven liggen. Lees ook onze blog over bewustwording.
2. Verifieer de identiteit van de betrokkene
De verificatiemethode hangt af van het verzoek en de aard van de persoonsgegevens waarover je organisatie beschikt. Voor het verifiëren van de identiteit van de betrokkene mogen niet meer gegevens worden gevraagd dan nodig. Een kopie van het identiteitsbewijs is bijvoorbeeld in veel gevallen overbodig.
3. Specificeer het verzoek
Dit helpt de betrokkene en je organisatie. Een verzoek kan een uiting zijn van een onderliggende (hulp)vraag. Faciliteer de betrokkene waar mogelijk en wees transparant in de uitvoering. Documenteer alle stappen van het verzoek. Ook kan het helpen een overzicht van eerder gestelde vragen bij te houden.
4. Stel vast welke persoonsgegevens relevant zijn voor het verzoek
Een AVG-verzoek heeft betrekking op persoonsgegevens van de verzoeker, maar kan ook persoonsgegevens van anderen raken. Of dit het geval is, en wat voor impact het uitvoeren van het verzoek heeft, moet voor het beantwoorden van het verzoek vastgesteld worden.
5. Zorg ervoor dat het verzoek op een veilige en AVG-conforme manier wordt uitgevoerd
De systemen van je organisatie moeten verzoeken van betrokkenen kunnen faciliteren. Bijvoorbeeld door gegevens te kunnen ophalen en te verwijderen. Verwerking van het verzoek is een aparte verwerking, met bijbehorende accesscontrols en bewaartermijnen en dergelijke. Neem dit op in het register van verwerkingen.
6. Bedenk: rechten van betrokkenen zijn geen absolute rechten
Hoewel een betrokkene altijd recht heeft op een reactie, hoeft het verzoek niet altijd (volledig) te worden gehonoreerd. In de AVG staan uitzonderingen. Als het verzoek wordt afgewezen, moet de betrokkene worden geïnformeerd over de redenen hiervan. Tevens moet betrokkene worden gewezen op de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Ondersteuning nodig van een professional?
DPA Professionals biedt je graag ondersteuning bij het inrichten van het proces en het uitvoeren van verzoeken van betrokkenen. Daarnaast ook bij andere AVG-vraagstukken. Bekijk de mogelijkheden op onze opdrachtgeverspagina. Ons team van ervaren privacy professionals staat voor je klaar.
