gdpr privacywet rechten

GDPR en jouw recht om vergeten te worden

In 2016 is in heel Europa de General Data Protection Regulation (GDPR) ingevoerd. Op 25 mei 2018 treedt deze definitief in werking en moet elke organisatie in de EU hieraan voldoen. De nieuwe privacywetgeving is een gevolg van de technologische ontwikkelingen van de laatste jaren. De maatschappij hierdoor dusdanig veranderd dat een strenge gegevensbescherming is vereist. Zo komt er voor de betrokkenen een nieuw recht om de hoek kijken: Het recht op vergetelheid. Maar wat houdt dit recht precies in en wat betekent dit voor jullie bedrijf in 2018?

Recht om vergeten te worden

Het recht van verzet kennen we in Nederland al. In elke marketinguiting waarin data worden gebruikt – een e-mail, een brief, een telefoontje – moet de ontvanger de mogelijkheid hebben zich af te melden. Als een consument hiervan gebruikmaakt, mag je hem of haar niet meer benaderen voor marketingdoeleinden via dat specifieke kanaal. Ook hebben mensen het recht zich in het algemeen te verzetten tegen de verwerking van hun persoonsgegevens voor marketingdoeleinden.

Naast het recht van verzet kunnen klanten vanaf 25 mei 2018 een verzoek indienen om hun persoonlijke gegevens te laten verwijderen. Dit heet het recht om vergeten te worden, ook wel bekend als ‘right to be forgotten’. In het geval van marketing kunnen mensen altijd een beroep op dit recht doen.

Soms moet je voor andere doeleinden wel een deel van de gegevens bewaren, bijvoorbeeld voor de Belastingdienst. Daarom moet je duidelijk in kaart hebben welke gegevens je voor welke doeleinden verwerkt.

Recht op informatie

Net als onder de huidige wetgeving ben je als verantwoordelijke verplicht informatie te verstrekken over de manier waarop je persoonsgegevens verwerkt en voor welke doeleinden. De bijbehorende verplichte informatievoorziening wordt vaak aangeboden via een privacy statement.

Onder de GDPR ben je verplicht om uitgebreid te informeren, ook over de nieuwe rechten van mensen. Loop dus je huidige privacy statement nog eens kritisch door. Daarin moet je namelijk ook:

  • De bewaartermijnen van de gegevens (of de manier waarop je deze vaststelt) vermelden.
  • Wijzen op het recht om gegevens in te zien, te laten aanpassen, aan te vullen of te verwijderen.
  • Aandacht geven op het recht om bezwaar te maken tegen en het beperken van de verwerking van gegevens (recht van verzet).
  • Schrijven over de mogelijkheid om een klacht bij de Autoriteit Persoonsgegevens in te dienen.
  • Vertellen dat toestemming op ieder moment in getrokken kan worden.
  • Indien van toepassing de contactgegevens van de functionaris gegevensbescherming (data privacy officer) vermelden.
  • De herkomst van de gegevens toelichten, wanneer deze niet direct door de betrokken zijn ingevuld/achtergelaten.
  • Vertellen of de gegevens worden doorgegeven naar landen buiten de EU.

Recht op dataportabiliteit onder de GDPR

gdpr privacywet rechten

Waar het recht om vergeten te worden en het recht op informatie al deels bestonden, is het recht op dataportabiliteit onder de GDPR volledig nieuw. Met dit recht kunnen mensen voortaan een deel van hun gegevens opvragen bij een organisatie. Iemand kan dan kiezen om gegevens naar een andere organisatie te laten sturen of de data zelf te ontvangen in een ‘gangbaar bestandsformaat’.

Met dit recht krijgen consumenten meer controle over hun eigen gegevens. Bovendien profiteren ze van extra gebruiksgemak als bedrijven dit goed geregeld hebben. Overstappen van de ene naar de andere aanbieder of het opvragen van een offerte bij een andere aanbieder zou hierdoor makkelijker moeten worden.

Omdat dit een nieuw recht is, is het nog lastig inschatten of en hoe mensen hiervan gebruik zullen maken. Een situatie die voor de hand ligt, is het wisselen van bank, telecomprovider of zorgverzekeraar. Met dit nieuwe recht kunnen mensen bijvoorbeeld hun bel-verleden opvragen om te kijken welke aanbieder het beste bij hen past.

De Europese toezichthouders noemen als voorbeelden onder andere een online-muziekstreamingdienst waarbij je een playlist kunt exporteren, zodat iemand weet wat hij/zij het meest luistert en dus wat hij/zij wil kopen. Of zodat je je muziekvoorkeuren kunt meenemen als je van Spotify overstapt naar Google Music, Deezer of iTunes. Een ander voorbeeld dat wordt genoemd, is een e-maildienst waarbij iemand zijn contactenlijst kan exporteren om een uitnodigingenlijst voor een feest te maken.

Het recht om vergeten te worden staat overigens los van het recht op dataportabiliteit. Je bent als organisatie niet verplicht data te verwijderen na het overdragen. Als iemand daarom vraagt, moet je daar uiteraard mee aan de slag.

Delen mag 🙂

Lees ook