AVG-verzoeken: 6 handvatten voor een goed werkend proces

#AVG #privacy #proces

Blog 08 april 2020 3 min. lezen
DPA-Professionals-privacy-informatiebeveiliging-AVG-privacy-verzoeken-David-Lovell

Dit blog is geschreven door interim privacy counsel David Lovell.

Een betrokkene kan je organisatie verzoeken om inzage, wijzigingen, verwijdering of beperking van zijn of haar persoonsgegevens. Deze AVG-verzoeken kunnen grote impact hebben en veel werk opleveren. Het is daarom van belang het proces voor het uitvoeren van deze verzoeken zo goed mogelijk in te richten. Wij geven je hiervoor 6 handvatten.

Het niet, te traag, of niet volledig uitvoeren van een verzoek leidt soms tot negatieve publiciteit of een onderzoek van de toezichthoudende autoriteit. Een goed ingericht proces verkleint de kans hierop en biedt voordelen. Denk daarbij aan het volgende.

Voordelen goed ingericht proces

  • Uitvoering van verzoeken kost minder tijd
  • Betere bescherming van waardevolle datastromen
  • Goede reputatie door zorgvuldige omgang met persoonsgegevens van betrokkenen
  • Inzicht in het datalandschap en classificatie van aanwezige data

Aan de slag met het beter inrichten van het proces bij AVG-verzoeken? Gebruik dan onderstaande handvatten.

1. Beleg de verantwoordelijkheid voor het uitvoeren van verzoeken

Zorg ervoor dat verzoeken via één kanaal en schriftelijk binnenkomen, bijvoorbeeld via [email protected] Zo zijn verzoeken meteen goed gedocumenteerd en mist je organisatie geen verzoeken. Dit is een goede manier om de voortgang te monitoren. Pas het proces hierop aan, zorg voor bewustwording in de organisatie en voor een escalatiemogelijkheid als verzoeken stil blijven liggen. Lees ook onze blog over bewustwording.

2. Verifieer de identiteit van de betrokkene

De verificatiemethode hangt af van het verzoek en de aard van de persoonsgegevens waarover je organisatie beschikt. Voor het verifiëren van de identiteit van de betrokkene mogen niet meer gegevens worden gevraagd dan nodig. Een kopie van het identiteitsbewijs is bijvoorbeeld in veel gevallen overbodig.

3. Specificeer het verzoek

Dit helpt de betrokkene en je organisatie. Een verzoek kan een uiting zijn van een onderliggende (hulp)vraag. Faciliteer de betrokkene waar mogelijk en wees transparant in de uitvoering. Documenteer alle stappen van het verzoek. Ook kan het helpen een overzicht van eerder gestelde vragen bij te houden.

4. Stel vast welke persoonsgegevens relevant zijn voor het verzoek

Een AVG-verzoek heeft betrekking op persoonsgegevens van de verzoeker, maar kan ook persoonsgegevens van anderen raken. Of dit het geval is, en wat voor impact het uitvoeren van het verzoek heeft, moet voor het beantwoorden van het verzoek vastgesteld worden.

5. Zorg ervoor dat het verzoek op een veilige en AVG-conforme manier wordt uitgevoerd

De systemen van je organisatie moeten verzoeken van betrokkenen kunnen faciliteren. Bijvoorbeeld door gegevens te kunnen ophalen en te verwijderen. Verwerking van het verzoek is een aparte verwerking, met bijbehorende accesscontrols en bewaartermijnen en dergelijke. Neem dit op in het register van verwerkingen.

6. Bedenk: rechten van betrokkenen zijn geen absolute rechten

Hoewel een betrokkene altijd recht heeft op een reactie, hoeft het verzoek niet altijd (volledig) te worden gehonoreerd. In de AVG staan uitzonderingen. Als het verzoek wordt afgewezen, moet de betrokkene worden geïnformeerd over de redenen hiervan. Tevens moet betrokkene worden gewezen op de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Ondersteuning nodig?

DPA Professionals biedt je graag ondersteuning bij het inrichten van het proces en het uitvoeren van verzoeken van betrokkenen. Daarnaast ook bij andere AVG-vraagstukken. Bekijk de mogelijkheden op onze specialisatiepagina Privacy & informatiebeveiliging of neem contact op met Paul. Ons team van ervaren privacy professionals staat voor je klaar.

Neem contact op met Paul

Business unit manager Stuur een bericht