Wat er allemaal mag en niet mag met persoonsgegevens is onder meer geregeld in de Wet bescherming persoonsgegevens (Wbp). In deze wet staat welke rechten een persoon heeft van wie gegevens worden gebruikt (hierna: betrokkene). Daarnaast staat in de Wbp welke plichten een bedrijf of instelling heeft die persoonsgegevens van betrokkenen gebruikt (hierna: organisatie).
De betrokkene moet kunnen nagaan wat er met zijn gegevens gebeurt. Daarom moet een organisatie de betrokkene informeren over het doel van het verzamelen en over de naam en adres van de organisatie. De Wbp onderscheidt twee situaties:
-
Als de gegevens direct bij de betrokkene worden verzameld, moet deze vooraf worden geïnformeerd. Deze informatieverstrekking hoeft niet als de betrokkene daarvan al daadwerkelijk op de hoogte is. Een organisatie verkrijgt bijvoorbeeld persoonsgegevens bij de betrokkene zelf als in het kader van het aangaan van een overeenkomst op een formulier persoonsgegevens ingevuld moet worden. De organisatie kan dan via het formulier voldoen aan zijn informatieplicht.
-
Een organisatie moet een betrokkene ook informeren op het moment dat buiten de betrokkene om gegevens worden vastgelegd of als de gegevens uitsluitend verzameld zijn om ze aan een derde te verstrekken, uiterlijk op het moment van eerste verstrekking aan die derde. Dat hoeft niet als informatieverstrekking onmogelijk is, of alleen met een onevenredige inspanning kan plaatsvinden.Van een onevenredige inspanning is sprake als een organisatie alleen door een zeer tijdrovende inspanning het adres van de betrokkene kan achterhalen. In dat geval moet een organisatie wel de herkomst van de gegevens vastleggen, zodat de betrokkene in ieder geval achteraf kan nagaan welke weg zijn gegevens hebben afgelegd. Een organisatie hoeft de betrokkene ook niet te informeren als de organisatie de gegevens vastlegt of verstrekt op grond van een wettelijke plicht.
Meer informatie over de informatieplicht van een organisatie kunt u vinden in het informatieblad Recht op informatie
Een betrokkene heeft het recht om inzage te verzoeken in zijn gegevens en het gebruik daarvan door een organisatie. Een betrokkene kan een organisatie vragen of die zijn persoonsgegevens gebruikt. Als dat het geval blijkt te zijn, moet de organisatie binnen vier weken een overzicht van de gegevens aan de betrokkene geven. Hij moet ook informatie verstrekken over het doel van de verwerking(en), de ontvangers van de gegevens en, indien beschikbaar, over de herkomst van de gegevens. Voor het geven van deze informatie kan de organisatie doorgaans een vergoeding van ten hoogste 5,00 vragen.
Als een overzicht ook gegevens bevat van een derde, die naar verwachting bezwaar zal hebben tegen het verstrekken van het overzicht aan de betrokkene, moet de organisatie die derde in de gelegenheid stellen om zijn zienswijze naar voren te brengen.
De organisatie kan weigeren aan een verzoek om inzage te voldoen als dat bijvoorbeeld noodzakelijk is in het belang van voorkoming, opsporing en vervolging van strafbare feiten of ter bescherming van de rechten en vrijheden van anderen. Meer informatie over het inzagerecht kunt u vinden in het informatieblad Inzage in uw persoonsgegevens.
Op basis van de inzage in zijn gegevens kan de betrokkene de organisatie verzoeken de gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Dat kan als de gegevens die gebruikt worden door de organisatie feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. De organisatie moet binnen vier weken reageren op het verzoek van de betrokkene.
In geval van inwilliging van het verzoek moeten de andere instanties aan wie de (onjuiste) gegevens in het voorafgaande jaar zijn verstrekt van de wijzigingen op de hoogte gesteld worden, tenzij dat onmogelijk is of een onredelijke inspanning vergt van de organisatie. De organisatie moet de wijzigingen zo snel mogelijk doorgeven. Meer informatie over het correctierecht kunt u vinden in het informatieblad Correctie van uw persoonsgegevens
Het recht van verzet houdt in dat een betrokkene het recht heeft bezwaar te maken (verzet aan te tekenen) tegen bepaalde vormen van gebruik van zijn gegevens door een organisatie. Er zijn twee vormen van verzet:
Een betrokkene kan verzet aantekenen tegen het gebruik van zijn gegevens voor directmarketingdoeleinden. De organisatie moet dat gebruik dan altijd direct beëindigen. De betrokkene hoeft niet te zeggen waarom en de organisatie mag geen vergoeding vragen om een verzoek in behandeling te nemen. Een organisatie die persoonsgegevens gebruikt voor directmarketingdoeleinden moet een betrokkene informeren over het recht van verzet. Meer informatie over deze vorm van verzet kunt u vinden in het informatieblad Tegengaan ongevraagde reclame
Een betrokkene kan in enkele gevallen verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden. Denk bijvoorbeeld aan een patiënt die mee heeft gedaan aan een medisch onderzoek. De onderzoeksgegevens worden verzameld op een centraal punt. Later verneemt hij dat een bekende van hem als onderzoeker bij dat centrum werkt. Omdat hij zijn ziekte voor die bekende verborgen wil houden, heeft hij er belang bij dat zijn gegevens worden verwijderd of niet meer tot hem herleidbaar zijn. In dat geval kan hij verzet aantekenen. Een organisatie moet dan binnen vier weken beslissen of zij stopt met de verwerking of hiermee doorgaat omdat hij meent een goede reden hiervoor te hebben. De organisatie mag een vergoeding van ten hoogste € 5,00 vragen om het verzoek van de betrokkene in behandeling te nemen. Dit geld moet hij weer teruggeven als hij het verzoek inwilligt.
De Wet bescherming persoonsgegevens (Wbp) geeft u een aantal rechten waardoor u controle kunt uitoefenen op het gebruik van uw persoonsgegevens door een verantwoordelijke. De verantwoordelijke is degene die uw persoonsgegevens verwerkt. Bijvoorbeeld uw werkgever, energiebedrijf, gemeente, bank, zorginstelling of een webshop waar u producten heeft aangeschaft.
De rechten die de Wbp u biedt zijn het recht op informatie, aanvulling, correctie en verwijdering, inzage en verzet. U kunt voor het uitoefenen van uw rechten gebruik maken van modelbrieven die het CBP heeft ontwikkeld.
Ga met uw vragen of klachten altijd eerst naar de verantwoordelijke. Een verantwoordelijke kan zijn uw werkgever, energiebedrijf, gemeente, bank, zorginstelling of een webshop waar u producten heeft aangeschaft.
Als u meent dat uw persoonsgegevens onrechtmatig zijn gebruikt en de verantwoordelijke reageert niet of niet naar uw tevredenheid op uw verzoek of klacht, dan kunt u naar de rechter gaan met een beroep op de rechtsbescherming die de Wet bescherming persoonsgegevens biedt. U kunt de rechter dan bijvoorbeeld vragen om een verbod, herstel van de (nadelige) gevolgen of een schadevergoeding.
U kunt ook een signaal afgeven bij het CBP.
Het CBP gebruikt de informatie uit uw signalen voor het maken van keuzes in het kader van zijn toezichthoudende taak. Het CBP doet dit op basis van een risicoanalyse. De ernst van de overtreding en het aantal mensen dat hierdoor wordt geraakt, zijn hierbij belangrijke criteria. Het CBP kan naar aanleiding van uw signaal een onderzoek starten. U wordt daarover in de regel niet persoonlijk geïnformeerd, tenzij uw signaal daartoe aanleiding geeft.
Meer informatie over de werkwijze van het CBP vindt u in de Beleidsregels handhaving.
Meer informatie over hoe het CBP omgaat met signalen kunt u lezen in het privacyreglement.