5 jaar AVG | Rechten van betrokkenen
Sinds de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) in 2018 zijn er veel ontwikkelingen geweest. Ook de rechten van betrokkenen (de mensen van wie je persoonsgegevens verwerkt) zijn veel aan bod gekomen. Denk aan het recht op inzage, het recht op vergetelheid en het recht van bezwaar.
In deze blog bespreken wij een aantal belangrijke ontwikkelingen op het gebied van privacy en rechten van betrokkenen onder de AVG.
Oostenrijkse Post-zaak: het recht op inzage
Een recente ontwikkeling is de Oostenrijkse Post-zaak. Deze zaak gaat over het inzagerecht en in hoeverre de verwerkingsverantwoordelijke de concrete identiteit van ontvangers waarmee hij persoonsgegevens deelt, moet doorgeven. Is het noemen van de categorie ontvangers voldoende of moeten er concrete namen worden genoemd?
Het antwoord op deze vraag is dat de verwerkingsverantwoordelijke verplicht is om de concrete identiteit van de ontvangers te benoemen. Je kunt dus niet meer volstaan met het noemen van de categorie zoals ‘marketingbureaus’.
Dit heeft grote gevolgen voor organisaties. Veel organisaties hebben namelijk geen compleet beeld van alle partijen waarmee persoonsgegevens worden gedeeld, laat staan wiens persoonsgegevens met welke partij gedeeld worden. Lees meer over deze zaak in onze blog.
Verzoek tot inzage: kopie van alle documenten verstrekken?
Een andere relevante ontwikkeling in het inzagerecht ziet op de manier waarop de informatie wordt gegeven als iemand een verzoek tot inzage in zijn persoonsgegevens doet. Het Europese Hof van Justitie heeft begin deze maand geoordeeld dat de betrokkene een ‘waarheidsgetrouwe reproductie van zijn persoonsgegevens’ moet krijgen.
Dat betekent (gelukkig) niet dat een betrokkene standaard een kopie van de documenten moet krijgen. Maar als een overzicht van de persoonsgegevens niet voldoende recht doet aan het inzagerecht, dan kan in specifieke situaties een organisatie verplicht zijn wél een kopie van (een aantal) documenten te verstrekken.
De identiteit van de betrokkene vaststellen
Een andere ontwikkeling ziet op alle rechten van betrokkenen. In deze zaak ging het om de vraag in welke mate de verwerkingsverantwoordelijke de identiteit van de betrokkene moet controleren als hij of zij een beroep doet op een van de rechten onder de AVG.
De Ierse Data Protection Commission heeft geoordeeld dat het vragen van een kopie ID te vergaand was. Voornamelijk omdat deze hiervoor nog nooit gevraagd was aan de betrokkene. Dit is in strijd met het beginsel van dataminimalisatie uit de AVG. Daarnaast was er volgens de Commission geen wettelijke grondslag voor de verwerking.
Een bevestiging van wat velen onder ons al wisten en wat ook in Nederland al een aantal keer bepaald is: de identiteit moet bevestigd worden op een manier die proportioneel is. Als dit bijvoorbeeld kan doordat iemand inlogt op zijn eigen ‘mijn-omgeving’, dan kan dat voldoende zijn en dus proportioneel.
Schadevergoeding bij immateriële schade
Recent is er ook uitspraak gedaan over het recht op schadevergoeding bij een inbreuk op de AVG. In deze uitspraak staat dat ‘een loutere inbreuk op de AVG op zich niet voldoende is om recht op schadevergoeding te verlenen’.
Daarnaast is geoordeeld dat het recht op schadevergoeding niet alleen geldt voor immateriële schade die een bepaalde mate van ernst bereikt. Zie ook onze blog over massaschadeclaims. Voor organisaties is dit geen welkome beslissing.
Hulp nodig?
Heb jij of heeft jouw organisatie hulp nodig bij het omgaan met verzoeken van betrokkenen of de AVG in het algemeen? Privacycoaches staat voor je klaar. Schroom niet en stuur ons een e-mail.