Recht op informatie

Vaak kunnen mensen zelf beslissen of zij hun persoonsgegevens met een organisatie willen delen. Zij kunnen er bijvoorbeeld voor kiezen om een bepaalde app te installeren op hun telefoon. Zij hebben dan recht op heldere informatie vooraf over wat een organisatie met hun persoonsgegevens gaat doen en waarom. Zodat zij zelf kunnen beslissen of zij dit willen. Ook als mensen verplicht zijn om hun gegevens af te staan, hebben zij recht op duidelijke informatie.

Op deze pagina

Deze informatie moet u krijgen

Gebruikt een organisatie uw persoonsgegevens? Dan moet de organisatie u laten weten wat de organisatie met uw gegevens doet en waarom. In de privacywet, de Algemene verordening gegevensbescherming (AVG), staat opgenoemd welke informatie organisaties in ieder geval moeten geven. Zoals:

  • hoe de organisatie te bereiken is (contactgegevens);
  • welke persoonsgegevens de organisatie verwerkt;
  • waarom de organisatie dat doet (voor welk doel precies) en of het mag (op basis van welke grondslag uit de AVG);
  • of de organisatie gegevens deelt met of doorverkoopt aan andere organisaties en zo ja, aan welke;
  • hoe lang de organisatie de gegevens bewaart.

Voor de volledige lijst van informatie die organisaties moeten geven, zie: Voor organisaties: een goede privacyverklaring.

Extra informatie

In sommige situaties moet de organisatie u extra informatie geven. Op hoeveel extra informatie u recht heeft, hangt af van:

  • Uw verwachtingen: is het gebruik van uw persoonsgegevens door een organisatie anders dan u redelijkerwijs kunt verwachten? Dan kan dit een reden zijn om u meer informatie te moeten geven.
  • Hoe een organisatie uw gegevens krijgt: krijgt een organisatie uw persoonsgegevens niet rechtstreeks van u, maar via een andere organisatie? Dan heeft u recht op meer informatie.
  • De gevolgen voor u: op hoeveel informatie u recht heeft, hangt ook af van hoe groot de gevolgen voor u zijn van het gebruik van uw gegevens.
  • De aard van uw gegevens: hoe gevoeliger de gegevens zijn die een organisatie van u gebruikt, hoe meer reden er is om u hierover in detail te informeren.

Op deze manier moet u de informatie krijgen

Wanneer en hoe een organisatie u moet informeren, hangt af van hoe de organisatie aan uw gegevens komt. De organisatie kan uw gegevens krijgen:

  • van uzelf;
  • van een andere organisatie.

De organisatie krijgt uw gegevens van uzelf

Krijgt de organisatie uw gegevens van uzelf? Dan moet de organisatie u informeren voordat u uw gegevens aan de organisatie doorgeeft. Bijvoorbeeld: als u een formulier invult, kan de organisatie de informatie opnemen op het formulier. Vult u uw gegevens in op de website van de organisatie? Dan is een duidelijke verwijzing naar de online privacyverklaring van de organisatie genoeg.

De privacyverklaring mag niet te lang en niet ingewikkeld zijn. Het moet voor u makkelijk te begrijpen zijn wat de organisatie met uw persoonsgegevens doet. Zodat u kunt beslissen of u uw persoonsgegevens met die organisatie wilt delen.

Kunt u de privacyverklaring niet goed vinden? Mist er informatie? Of is de verklaring te lang en ingewikkeld? Vraagt u zich dan af of u met die organisatie wel uw persoonsgegevens wilt delen. Wellicht zijn er andere organisaties die hetzelfde product of dezelfde dienst leveren die wel transparant zijn.

Heeft u niet de mogelijkheid om voor een andere organisatie te kiezen? Neem dan contact op met de organisatie en geef aan dat u recht heeft op goede informatie over het gebruik van uw gegevens. U kunt daarbij ook verwijzen naar de informatie op deze website.

De organisatie krijgt uw gegevens van een andere organisatie

Krijgt de organisatie uw gegevens van een andere organisatie? Dan moet de organisatie u informeren op het moment dat de organisatie uw gegevens vastlegt. Hoe de organisatie dat moet doen, hangt af van hoe groot de groep mensen is waarvan de organisatie gegevens heeft doorgekregen.

  • Gaat het om een kleine groep mensen? Dan moet de organisatie u en deze andere mensen persoonlijk informeren.
  • Gaat het om een grote groep mensen? Dan is het voldoende als de organisatie informatie geeft via bijvoorbeeld een blad of een tijdschrift. Maar dan moet de organisatie wel iedereen van de groep bereiken. Omdat niet iedereen een landelijk dagblad of een huis-aan-huisblad ontvangt, is een advertentie in deze kranten dus niet genoeg.

U heeft niet altijd recht op informatie

In deze situaties hoeft een organisatie u niet te informeren over het gebruik van uw gegevens:

  • u bent al op de hoogte;
  • onevenredige inspanning;
  • zwaarwegend belang.

U bent al op de hoogte

Een organisatie hoeft u niet te informeren als u al op de hoogte bent van de informatie. Het is hierbij niet genoeg als de organisatie alleen het vermoeden heeft dat u al op de hoogte bent. De organisatie moet zeker weten dat dit zo is. Maar de organisatie mag ervan uitgaan dat u op de hoogte bent als de organisatie u de informatie heeft toegestuurd of uitgereikt. De organisatie hoeft dan niet te controleren of u de informatie ook daadwerkelijk heeft gelezen.

Onevenredige inspanning

Krijgt een organisatie uw gegevens via een andere organisatie? Dan hoeft de organisatie u hierover niet in alle gevallen te informeren. Het kan zijn dat het de organisatie onevenredig veel inspanning kost om u te bereiken. Bijvoorbeeld wanneer het de organisatie heel veel tijd zou kosten om uw adres te achterhalen.

De organisatie moet dan wel vastleggen waar uw gegevens vandaan komen. Het kan ook dat de andere organisatie u al heeft geïnformeerd over het doorgeven van uw gegevens. Dan weet u dus al dat de organisatie uw gegevens kan gebruiken.

Zwaarwegend belang

Een organisatie hoeft u niet te informeren als daarvoor een zwaarwegend belang is. Bijvoorbeeld als het noodzakelijk is om u niet te informeren om zo strafbare feiten te voorkomen, op te sporen of te vervolgen. Of om de rechten en vrijheden van anderen te beschermen.

Voor organisaties: informatieplicht AVG

Onder de Algemene verordening gegevensbescherming (AVG) heeft u een informatieplicht. Dat betekent dat u verplicht bent om mensen duidelijk te informeren over wat u met hun persoonsgegevens doet en waarom.

In de AVG staat dat u de informatie over uw verwerkingen in principe schriftelijk moet geven. De beste manier om er zeker van te zijn dat uw informatie voor de meeste mensen goed vindbaar is, is het publiceren van een online privacyverklaring. Daarnaast mag u andere middelen inzetten om de inhoud van uw privacybeleid toegankelijk te maken. Zoals pop-ups tonen met een toelichting bij elke toestemmingsvraag. Of iconen of een video gebruiken.

Voor organisaties: een goede privacyverklaring

De AVG stelt een aantal specifieke eisen aan een privacyverklaring. Deze eisen gaan over de inhoud, de toegankelijkheid en de duidelijkheid van de informatie. In uw privacyverklaring moet u in ieder geval de volgende informatie geven:

  • De identiteit en contactgegevens van uw organisatie. En ook die van uw vertegenwoordiger in de Europese Unie (EU), als u die heeft.
  • De contactgegevens van de functionaris gegevensbescherming (FG), als uw organisatie die heeft.
  • De doeleinden van de verwerking en de AVG-grondslag. Beroept u zich op een gerechtvaardigd belang? Vermeld dan ook op welk belang u zich beroept.
  • De (categorieën van) ontvangers van de persoonsgegevens.
  • Of u van plan bent de persoonsgegevens door te geven buiten de EU of aan een internationale organisatie. En zo ja, op welke juridische grond u dit doet.
  • De bewaartermijn van de gegevens.
  • De privacyrechten van de betrokkenen (de mensen van wie u gegevens verwerkt), zoals het recht op inzage, rectificatie en gegevens wissen.
  • Het recht van de betrokkenen om de toestemming die zij voor een bepaalde verwerking hebben gegeven, altijd weer te mogen intrekken.
  • Dat de betrokkenen een klacht kunnen indienen bij de privacytoezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP).
  • Of de betrokkenen verplicht zijn de persoonsgegevens te verstrekken. En zo ja, waarom. Vermeld dan ook wat de gevolgen zijn als zij de gegevens niet verstrekken.
  • Of u gebruikmaakt van geautomatiseerde besluitvorming, inclusief profilering. En zo ja, hoe u besluiten neemt.
  • Als u de gegevens van een andere organisatie heeft gekregen: de bron waar de persoonsgegevens vandaan komen. En of de gegevens afkomstig zijn van openbare bronnen.

Vorm privacyverklaring

Bijvoorbeeld:

  • In de eerste laag geeft u kort aan wie de verantwoordelijke organisatie is, hoe die te bereiken is en welke gegevensverwerkingen de meeste impact hebben op de betrokken personen.
  • In de tweede en derde laag van de privacyverklaring kunt u meer in detail aangeven welke persoonsgegevens u voor welk doel verwerkt en hoe mensen hun rechten kunnen uitoefenen.

Duidelijke taal

De informatie over de gegevensverwerking moet beknopt, transparant en begrijpelijk zijn. Daarom moet u duidelijke en eenvoudige taal gebruiken. Dat betekent onder meer: wees kort en bondig, vermijd vaktermen en verplaats u in de lezer.

Richt u zich tot kinderen onder de 16 jaar? Of weet u dat kinderen uw diensten veel gebruiken? Dan moet u de woordkeuze, toon en stijl van de informatie aanpassen. Zodat de kinderen weten dat deze informatie voor hen bedoeld is en ze de informatie kunnen begrijpen.

Verantwoordingsplicht

Onder de AVG geldt de verantwoordingsplicht. Dat betekent dat u aan de AP moet kunnen aantonen dat u aan de AVG voldoet. U moet onder meer kunnen laten zien dat u mensen goed heeft geïnformeerd over de verwerking van hun persoonsgegevens. U kunt hiervoor uw privacyverklaring gebruiken.