Privacytoets: scoort uw bedrijf een voldoende?

Bijna drie maanden na inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) is de Autoriteit Persoonsgegevens (AP) een verkennend onderzoek gestart om te achterhalen hoe goed grote organisaties de nieuwe Europese privacyregels naleven. De Volkskrant deed ondertussen verslag van een eigen onderzoek. Zou úw bedrijf de test hebben doorstaan?

In de AVG is onder meer het recht op inzage geregeld. Het recht op inzage is niet nieuw: ook onder de voorloper van de AVG, de Wet Bescherming Persoonsgegevens (Wbp) kon een klant een bedrijf vragen om inzage in zijn/haar klantgegevens. Onder de AVG is een bedrijf verplicht om een klant méér informatie te geven over of er persoonsgegevens van de klant worden verzameld en zo ja, voor welk doel, hoe een bedrijf aan de persoonsgegevens is gekomen en of zij die gegevens doorgeeft aan andere partijen en zo ja, aan welke partijen. Als een klant eenmaal weet of een bedrijf persoonsgegevens over hem/haar verzamelt, dan kan de klant het bedrijf vervolgens verzoeken om de persoonsgegevens:

• aan te passen;
• te wissen;
• alleen voor beperkte doeleinden te gebruiken; en/of
• over te dragen aan een ander bedrijf.

Verslaggevers van De Volkskrant dienden bij tien Nederlandse en buitenlandse bedrijven een verzoek om inzage in. De verslaggevers vroegen de bedrijven over de vergaring, opslag en verwerking van persoonsgegevens. Zes bedrijven zakten voor deze privacytoets, één bedrijf kwam in aanmerking voor een herkansing. Slechts bij drie bedrijven was de informatievoorziening op orde.

Check of uw bedrijf een voldoende scoort!

Indien u persoonsgegevens van klanten verwerkt en u ontvangt een informatieverzoek van een klant, kunt u hem of haar dan uiterlijk binnen één maand na ontvangst van het verzoek vertellen:

• of u persoonsgegevens van de klant verwerkt, en zo ja, welke persoonsgegevens dat zijn;
• aangeven voor welk(e) doel(en) u die persoonsgegevens verwerkt;
• hoelang de persoonsgegevens worden bewaard; en zo nodig,
• van welke bron u de persoonsgegevens heeft verkregen; en zo nodig,
• aan welke partijen de persoonsgegevens zijn verstrekt of zullen worden verstrekt?

Wanneer u de persoonsgegevens gebruikt als basis voor geautomatiseerde individuele besluitvorming, waaronder profilering, dan moet u de klant daarnaast over dat gebruik inlichten. Daarnaast moet u ook kunnen uitleggen – in heldere, begrijpelijke taal – welke algoritmen aan dergelijke besluiten ten grondslag liggen. U zult de klant ook moeten kunnen uitleggen wat het belang en de verwachte gevolgen zijn van de verwerking van persoonsgegevens in verband met deze besluiten.

Heeft u hulp of advies nodig bij informatieverzoeken van klanten of heeft u als klant hulp nodig bij het effectueren van uw recht op inzage? Neem dan contact met ons op!

Helena Lysaght