Verzoeken & klachten afhandelen! Hoe moet je dit doen?

Verzoeken & klachten afhandelen! Hoe moet je dit doen?

De GDPR verplicht organisaties te zorgen voor een verzoeken- en klachtenprocedure. Waar moet een dergelijke procedure allemaal rekening mee houden? De GDPR geeft hier een gedetailleerd antwoord op.

Samenvattend komt het erop neer dat, wil je als organisatie hieraan invulling geven, je er rekening mee moet houden dat de betrokkene:

  • ‘recht van inzage’ heeft en dat hij die dit recht inroept zal moeten worden geauthenticeerd zodat zeker is dat hij tot inzage gerechtigd is;
  • ‘recht van correctie, actualisatie, wissing en beperking van verwerking’ heeft en dat hij dit recht kan inroepen op basis waarvan de organisatie zelf de noodzaak voor de actualisatie, herziening, wissing of beperking kan onderzoeken; de nodige wijzigingen aan kan brengen; haar downstream ontvangers kan inlichten om afsluitend aan de verzoeker een reactie te geven over de genomen maatregelen;
  • ‘recht van afmelden, stoppen, inperken in gebruik (ook voor downstream ontvangers), en bezwaar maken tegen verwerken heeft en dat hij dit recht (tijdig) inroept en gegarandeerd wordt dat het verzoek wordt gerespecteerd;
  • ‘recht op extra informatie’ heeft en m.n. dat hij het recht op inzicht heeft in de wijze waarop (al dan niet geautomatiseerd) zijn persoonsgegevens worden verwerkt;
  • ‘recht op gegevensportabiliteit’ heeft en m.n. dat hij het recht heeft om zijn persoonsgegevens in een gangbaar digitaal formaat (al dan niet geautomatiseerd) te doen uitwisselen tussen verwerkingsverantwoordelijken (al dan niet met tussenkomst van verwerkers) en/of ongehinderd zelf te bewaren;
  • ‘recht om vergeten te worden’ heeft, een recht dat sinds de zaak C-131/12, Google Spain v. Agencia Española de Protección de Datos open staat voor alle personen inclusief politici, beroemdheden en ‘bekeerde’ criminelen die er belang bij hebben dat aspecten uit hun verleden worden vergeten.

Het zijn bovenstaande rechten die bij het indienen van een verzoek of klacht door de verwerkingsverantwoordelijke steeds moeten worden getoetst om op rechtmatige wijze invulling te kunnen geven aan het afhandelen van verzoeken en klachten. Maar ook rechten die nogmaals (zie mijn blog: Een privacyverklaring is meer dan een privacyverklaring!) laten zien dat bij het implementeren van de GDPR organisaties er beter aan doen om de betrokkene vanaf 25 mei 2018 te zien/behandelen als een pseudo-eigenaar van zijn persoonsgegevens.

Geef een antwoord