AVG: Rechten van de betrokkene

/in /door

Voor de andere delen uit deze serie kunt u hier klikken.
Een belangrijk punt van de AVG zijn de rechten van de betrokkene. Deze rechten heeft de betrokkene op dit moment vaak ook al. Het recht om te worden vergeten vloeit bijvoorbeeld voort uit de Costeja-zaak van het Hof van Justitie van de Europese Unie.1 In de AVG worden de volgende rechten van de betrokkene vastgelegd:

  • recht op inzage;
  • recht op rectificatie;
  • recht op gegevenswissing;
  • recht op beperking van de verwerking;
  • recht op overdraagbaarheid van gegevens; en
  • recht van bezwaar en geautomatiseerde individuele besluitvorming.

Twee van deze rechten zullen hier worden behandeld.

Recht op inzage

Een belangrijk beginsel van de AVG is het transparantiebeginsel. De wetgever wil bewerkstelligen dat de betrokkene inzichtelijk krijgt welke gegevens op welke manier worden verwerkt. Om dit te realiseren kan de betrokkene een verzoek om inzage doen. Dit recht is reeds opgenomen in de huidige wetgeving en de AVG brengt hierin geen wijziging.2 De verantwoordelijke dient de betrokkene de volgende informatie te overleggen als antwoord op een dergelijk verzoek:

  1. de verwerkingsdoeleinden;
  2. de categorieën van persoonsgegevens die worden verwerkt;
  3. de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  4. de beoogde periode waarin de persoonsgegevens zullen worden opgeslagen;
  5. benoemen dat de betrokkene het recht heeft om zijn gegevens te rectificeren, te wissen, of de verwerking van de gegevens te beperken;
  6. benoemen dat de betrokkene het recht heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens;
  7. wanneer de gegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
  8. het bestaan van geautomatiseerde besluitvorming (profiling) en nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene; en
  9. een kopie van de persoonsgegevens die worden verwerkt.

De punten 1 – 4 bevatten dezelfde informatie die ook in het verwerkingsregister moet worden bijgehouden. Meer over dit register in het laatste deel van deze serie. De punten 5 en 6 kunnen worden benoemd in algemene bewoordingen die voor elk inzageverzoek hetzelfde zijn. Punt 7 betreft informatie over de bron van de gegevens.
De inzage in de daadwerkelijke gegevens (punt 9) bevat echter niet de persoonlijke werkaantekeningen die de hulpverlener heeft gemaakt.3 Voorts bevat dit niet de gegevens die zijn verwerkt in het kader van een melding incidenten patiëntenzorg.4 Voor inzage in de persoonsgegevens mag geen prijs in rekening worden gebracht.5 Voor het geven van een afschrift van het dossier mogen echter wel kosten in rekening worden gebracht. Dit bedraagt € 0,23 per pagina met een maximum van € 5,- per verzoek, tenzij het afschrift meer dan honderd pagina’s bevat.6 In dat geval is er een maximum van € 22,50. Vanaf 1 juli 2020 mogen echter geen kosten in rekening worden gebracht voor elektronische afschriften van het medisch dossier.7 Voor inzage in andere gegevens bestaat er (nog) geen uitzondering.

Recht op gegevenswissing

Reeds in 2014 werd het recht om te worden vergeten erkend door het Hof van Justitie van de Europese Unie.8 Dit recht behelst echter geen absoluut recht, maar is aan een aantal eisen onderworpen. De betrokkene heeft het recht om zijn gegevens te laten wissen in het geval dat:

  • de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld;
  • de betrokkene de toestemming waarop de verwerking berust intrekt of bezwaar maakt tegen de verwerking en er geen andere rechtsgrond voor de verwerking is;
  • de persoonsgegevens onrechtmatig zijn verwerkt;
  • er geen sprake is van een prevalerend recht op vrijheid van meningsuiting;
  • er geen redenen zijn van algemeen belang op het gebied van volksgezondheid; en
  • de gegevens niet vereist zijn om te worden gearchiveerd ten behoeve van wetenschappelijk onderzoek.9

Kort gezegd komt het erop neer dat een betrokkene zijn gegevens slechts mag laten verwijderen wanneer de betrokkene zijn toestemming intrekt en er geen rechtmatige reden is voor verdere verwerking. In het geval van een behandelingsovereenkomst is toestemming niet vereist, maar kan de betrokkene zijn toestemming intrekken waardoor er geen gegevens meer mogen worden uitgewisseld middels een elektronisch uitwisselingssysteem.10 De hulpverlener dient zelf te beoordelen of het bijhouden van het dossier vereist dat de persoonsgegevens verder moeten worden verwerkt.
Er bestaat een algemeen misverstand dat pseudonimiseren hetzelfde is als verwijderen of anonimiseren.11 Het weghalen van de NAW-gegevens leidt niet tot verwijdering van de persoonsgegevens (zie deel 2 uit deze reeks voor meer informatie). Het anonimiseren van gegevens kan in bepaalde gevallen gelijk worden gesteld met het verwijderen van gegevens. Als de gegevens bijvoorbeeld worden versleuteld en de sleutel wordt weggegooid, zijn de gegevens voor een bepaalde tijd geanonimiseerd. Naarmate de tijd verstrijkt en computers sneller worden, wordt de kans groter dat de versleutelde gegevens kunnen worden ontsleuteld zonder de beschikking te hebben over de sleutel.
Ook door het combineren van versleutelde gegevens kunnen de gegevens leiden tot het herleiden van een individu.12 Dit betekent dat versleuteling van gegevens niet bruikbaar is om gegevens daadwerkelijk te verwijderen.
In het geval de verantwoordelijke gegevens heeft uitgewisseld met andere verantwoordelijken, dient hij deze andere verantwoordelijken op de hoogte te stellen van het verzoek tot verwijderen van de gegevens.13

  1. HvJ EU, 13-05-2014, C-131/12, Costeja.
  2. Artikel 35 Wbp; Artikel 7:456 BW.
  3. Kamerstukken II 1990/91, 21 561, nr. 6, p. 45.
  4. Rechtbank Utrecht, 17-11-2010, ECLI:NL:RBUTR:2010:BO5227.
  5. Kamerstukken II 1990/91, 21561, nr. 6, p. 12.
  6. Artikel 2 – 3 Besluit kostenvergoeding rechten betrokkene Wbp.
  7. Artikel 15d Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.
  8. HvJ EU, 13-05-2014, C-131/12, Costeja.
  9. Artikel 17 AVG.
  10. Meer informatie hierover is te vinden in deel 6 van deze reeks.
  11. Artikel 29 werkgroep, over anonimiseren, p. 12.
  12. Artikel 29 werkgroep, over anonimiseren, p. 31 e.v.
  13. Artikel 17 lid 2 AVG.