Onze samenleving is in een ongelofelijk hoog tempo aan het digitaliseren. Een explosief groeiende hoeveelheid gegevens in combinatie met de ontwikkeling van ‘slimme’ analyse software, biedt de mens mogelijkheden die tot voor kort volstrekt onvoorstelbaar waren. De fixatie op de mogelijkheden van big-data-analytics leidt ertoe dat de keerzijde ervan meestentijds wordt overschaduwd. Ondertussen confronteert de realiteit van het moderne bestaan ons echter continu met de (onwenselijke) consequenties die de digitale samenleving met zich meebrengt.
Sinds 25 mei 2018 is de AvG van toepassing die de richtlijn 95-46-EG heeft vervangen en daarmee een groot deel van de huidige EU-wetgeving betreffende persoonsgegevensbescherming. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt binnen de gehele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) is dus niet langer meer van kracht. De AvG heeft (mede) ten doel bescherming te bieden aan de sociaaleconomisch zwakkere partij: de consument en het data-subject. De verordening geeft uitdrukking aan een algemeen geformuleerd recht van individuen op gegevensbescherming (zie artikel 16 VWEU), dat ook in artikel 8 van het Handvest van de grondrechten is vastgelegd. Dit recht op gegevensbescherming impliceert dat de gegevens van een individu (data subject) slechts dan mogen worden verwerkt als aan een aantal voorwaarden is voldaan.
Benieuwd naar jouw rechten onder deze nieuwe verordening?
In de opsomming hieronder hebben we geprobeerd een zo duidelijk mogelijk overzicht te creëren.
- Het recht op informatie. Je hebt recht op informatie omtrent de verwerking van jouw gegevens. De desbetreffende organisatie moet dan ook in duidelijke en toegankelijke taal aan jou uitleggen welke persoonsgegevens zij verwerken, op welke grondslag, etc. Veelal doen ze dit middels de – al ietwat beruchte – privacy-verklaring op hun website.
- Het recht op gegevensoverdraagbaarheid. Dit recht geeft je meer controle over jouw eigen persoonsgegevens. Je hebt namelijk het recht jouw persoonsgegevens in een gestructureerde, gangbare én machineleesbare vorm van de desbetreffende organisatie te verkrijgen. Dit recht heb je alleen indien het gegevens betreft die jij hebt verstrekt aan de organisatie en die geautomatiseerd worden verwerkt op basis van jouw uitdrukkelijke toestemming, dan wel omdat de verwerking noodzakelijk is voor de uitoefening van de overeenkomst.
- Het recht op inzage van jouw persoonsgegevens. Je hebt het recht om de persoonsgegevens die over jou worden verzameld in te zien. Je mag dus aan de organisatie in kwestie vragen welke persoonsgegevens zij van jou verwerken. In andere woorden: je kunt een kopie van de persoonsgegevens die de organisatie van jou verwerkt, opvragen. De organisatie is – uitzonderingen daargelaten – verplicht om gehoor te geven aan jouw verzoek en mag hier in principe geen kosten voor in rekening brengen.
- Het recht op rectificatie en wissing van jouw persoonsgegevens. De organisatie die gegevens van jou verwerkt dient ervoor te zorgen dat deze gegevens kloppen. Indien dit niet (langer) het geval is, moet de organisatie deze corrigeren, dan wel aanvullen. Je kan de desbetreffende organisatie verzoeken om jouw (onjuiste) persoonsgegevens te rectificeren. Je hebt bovendien het recht om gegevens te laten verwijderen (‘wissen’), indien (let op: geen limitatieve opsomming):
- de persoonsgegevens onrechtmatig zijn verwerkt door de desbetreffende organisatie;
- jij gegrond bezwaar hebt gemaakt tegen de verwerking van jouw persoonsgegevens;
- jij je toestemming voor de verwerking intrekt (en er geen andere grondslag bestaat voor de verwerking);
- de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij door de organisatie zijn verzameld / worden verwerkt;
- de persoonsgegevens op grond van wet- en regelgeving behoren te worden verwijderd.
- Recht van bezwaar tegen de verwerking van jouw persoonsgegevens. Je kan de desbetreffende organisatie verzoeken jouw persoonsgegevens niet (meer) te gebruiken, omdat jij hiertegen bezwaar hebt. Tip: indien je bezwaar hebt tegen het gebruik van jouw persoonsgegevens voor “direct marketing”, is de organisatie altijd verplicht om de verwerking van jouw gegevens te staken.
- Recht op beperking van de verwerking van jouw persoonsgegevens. In sommige gevallen heb je het recht om de verwerking van jouw persoonsgegevens te beperken.
- Het recht jouw toestemming in te trekken. Je hebt het recht jouw gegeven toestemming voor de verwerking van persoonsgegevens te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet.
- Recht op menselijke interventie en nuttige info. Indien er sprake is van geautomatiseerde besluitvorming, heb je recht op nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor jou. Uiteraard kan je je afvragen in hoeverre deze verplichting om nuttige informatie te verstrekken over de onderliggende logica van complexe processen uiteindelijk hout snijdt. Naast dit recht op “info” heb je ook het recht om “menselijke interventie te eisen”. In andere woorden: je hebt recht op een mens van vlees en bloed die het geautomatiseerde besluit nog eens goed nacheckt.