WebwinkelKeur

GDPR deel III – rechten van betrokkenen

Het is van groot belang om transparant te zijn over de wijze waarop u persoonsgegevens verwerkt. Een goede manier om uw klanten duidelijk te maken wat u met hun gegevens doet is een up-to-date privacybeleid. Ongetwijfeld heeft u er al een op uw webshop (of andere websites) geplaatst. Maar wanneer heeft u deze voor het laatst tegen het licht gehouden?

Onder de nieuwe privacywetgeving krijgen uw klanten een aantal nieuwe rechten. U bent verplicht om betrokkenen op een duidelijke en transparante wijze over deze rechten te informeren. Daarbij moet u duidelijk aangegeven op welke wijze betrokkenen deze rechten kunnen uitoefenen. Het spreekt voor zich dat u ook voorbereid moet zijn om te gaan met dit soort verzoeken.

Rechten van betrokkenen

Hieronder leest u welke (nieuwe) rechten er zijn, en wat deze rechten voor gevolgen hebben voor de manier waarop u persoonsgegevens verwerkt. Sommige van deze rechten bestonden al onder de bestaande wetgeving, zoals het recht op inzage en het recht vergeten te worden.

Het recht op inzage

Betrokkenen hebben altijd het recht om te vragen welke gegevens u over hen verwerkt. U bent verplicht om op verzoek kenbaar te maken welke gegevens u verwerkt en daarbij een overzicht te geven van de records die u onder u houdt. Daarbij moet eveneens duidelijk worden gemaakt waarom u deze gegevens verwerkt en hoe lang u deze gegevens bewaart. In het geval dat u gegevens automatisch verwerkt, moet u inzake geven in de ‘logica’ van het beslissysteem. In het geval dat u de gegevens niet zelf heeft verzameld, moet u ook duidelijk maken hoe u aan deze gegevens komt, bijvoorbeeld “Gegevens aangekocht in een adressenbestand van [aanbieder] op [datum]. Houd er eveneens rekening mee dat u op verzoek een (machineleesbare) kopie van de gegevens aan de betrokkene ter beschikking moet stellen!

Het recht op rectificatie en het recht vergeten te worden

Het recht op rectificatie hangt sterk samen met het recht op inzage. In het geval dat een van uw klanten er achterkomt dat er onjuiste of gedateerde gegevens worden verwerkt, kan er een verzoek worden gedaan tot het aanpassen van de gegevens die u onder u heeft. In het geval u een vergeetverzoek ontvangt, dient u alle gegevens van de betrokkene uit uw systemen te verwijderen. Dit hoeft niet in alle gevallen: soms bent u immers op grond van de wet verplicht bepaalde gegevens te bewaren. Ook in het geval u nog een lopende overeenkomst met de klant heeft, kan dit recht niet effectief worden uitgeoefend. Ontevreden klanten kunnen dus niet zomaar onder hun relatie met uw bedrijf uit, omdat zij vergeten willen worden. Ook als u om bovenstaande redenen besluit dat de gegevens niet worden verwijderd, moet u de betrokkene daarvan tijdig op de hoogte brengen.

Het recht de verwerking te beperken

In de gevallen dat één van uw klanten graag vergeten zou willen worden maar dit niet mogelijk is, kan u een verzoek ontvangen de verwerking te beperken. Dit betekent dat u de gegevens enkel nog mag gebruiken voor de doelen die niet zijn uitgesloten. Kunt u bijvoorbeeld gegevens niet verwijderen omdat u (een deel van) uw administratie dient te bewaren, dan mag u de gegevens enkel onder u houden voor dit doel. Op dat moment mag u het adres van de betrokkene niet meer gebruiken voor een mailing. Let er in dit geval ook op dat een klantprofiel met bijvoorbeeld een telefoonnummer geen gegevens zijn die u op grond van uw administratieve verplichtingen moet bewaren: het kan dus voorkomen dat u een deel van de gegevens bewaart en de verwerking daarvan is beperkt, terwijl een ander deel van de dataset verwijderd dient te worden.

Recht op dataportabiliteit

Het recht op dataportabiliteit houdt in dat de betrokkene ‘zijn’ gegevens mee mag nemen naar een andere aanbieder. Voor webwinkels is het niet goed voor te stellen welke gegevens zich hiervoor lenen. Het uitgangspunt is dat klanten het recht hebben de gegevens die u over hen heeft verzameld mag onderbrengen bij een andere aanbieder. Het verschilt per organisatie of bedrijf welke gegevens dit zijn. Het is goed voor te stellen de bestelgeschiedenis en het profiel dat u op basis hiervan heeft gegenereerd gegevens zijn die zich hiervoor lenen. Neem als richtsnoer dat alle gegevens die u inzichtelijk maakt op basis van het recht op inzage, ook door de klant moet kunnen worden meegenomen naar een andere aanbieder. Hiervoor is het noodzakelijk dat u de gegevens op zo’n manier aanlevert dat een derde zonder grote inspanning de gegevens kan inlezen in zijn eigen systemen.

Recht van verzet

Betrokkenen kunnen zich verzetten tegen de verwerking van hun gegevens. Dit kan in de regel alleen als het verzoek de verwerking te staken deugdelijk is gemotiveerd. Stel dat u op basis van toestemming een aantal gegevens verwerkt en deze toestemming door de klant wordt ingetrokken, dan heeft u geen grond meer deze gegevens te verwerken. Doet u dit toch, dan kan de betrokkene zich hiertegen verzetten. U dient de verwerking dan onmiddellijk te staken, totdat u aan kan tonen dat u wel een geldige grond voor de verwerking heeft. Kunt u dit niet aantonen, dan dient u de verwerking permanent te staken. De mogelijkheden tot verzet in het geval van ‘direct marketing’ zijn uitgebreider: betrokkenen mogen zich tegen deze vorm van verwerking altijd verzetten. Ook in het geval van bijzondere persoonlijke omstandigheden kan het recht van verzet worden aangewend.

Geef het door aan uw verwerkers!

Veel van de hierboven besproken rechten hebben het effect dat er iets met de gegevens die u onder u houdt moet gebeuren. In het geval dat u deze gegevens niet alleen op uw eigen systemen bewaart, maar uw webhost bijvoorbeeld regelmatig een backup maakt en deze voor een bepaalde periode voor u beschikbaar houdt, dient u deze partij ook op de hoogte te brengen van het feit dat een betrokkene vergeten wenst te worden. Met name in het geval dat een derde partij onder uw verantwoordelijkheid een deel van de verwerking voor zijn rekening neemt, is het van belang dat u de afhandeling dergelijke verzoeken onderling goed afstemt. De verwerkersovereenkomst leent zich hier uitstekend voor!

Ga met ons in gesprek op 23 januari 2018

Wij kunnen ons goed voorstellen dat u na het lezen van dit weblog nog vragen heeft. Daarom organiseren wij speciaal voor Webwinkelkeur-leden een live webinar. U kunt zich hier gratis aanmelden voor de webinar. Ook als u op 23 januari niet live kan meekijken loont het zich om u aan te melden. U ontvangt na afloop een link van ons om de opname terug te kijken en u ontvangt daarnaast nuttige tips en aanwijzingen die u helpen om uw bedrijf klaar te zetten voor de toekomst.

Mobiele versie afsluiten