Inloggen Geen profiel? Registreer hier.

Persoonsgegevensbescherming in a nutshell. Stap 10: stel procedures op.

16/08/2018

Om betrokkenen te beschermen tegen misbruik van hun persoonsgegevens voorziet de AVG een uitgebreide lijst met rechten van betrokkenen. Zo mogen ze een overzicht opvragen van de persoonsgegevens die een bedrijf/organisatie over hen heeft verzameld (recht van inzage), of kunnen ze zich verzetten tegen een niet-geautoriseerde verwerking (recht van bezwaar). Zet procedures op om de rechten van betrokkenen te garanderen, en om de vragen van betrokkenen zo efficiënt mogelijk te behandelen. Even herhalen wat de rechten van betrokkene zijn:

  • recht op informatie (art. 13 en 14 AVG);
  • recht op inzage (art. 15 AVG);
  • recht op rectificatie (verbetering) (art. 16 AVG);
  • recht op vergetelheid (gegevenswissing) (art. 17 AVG);
  • recht op beperking van de verwerking (art. 18 AVG);
  • recht op dataportabiliteit (overdraagbaarheid gegevens) (art. 20 AVG);
  • recht op bezwaar tegen verwerking (art. 21 AVG);
  • recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming/profilering (art. 22 AVG).

Bovendien bestaat er bijkomend het recht van klacht bij de Gegevensbeschermingsautoriteit.

Wanneer externe partijen worden ingeschakeld om namens de organisatie persoonsgegevens te verwerken (zogenaamde verwerkers) dan moeten zij meewerken aan de rechten van betrokkenen. Maak hierover afspraken in de verwerkersovereenkomst.

In wat volgt overlopen we elk recht van betrokkene afzonderlijk. Daarna geeft V-ICT-OR tips over hoe u procedures kunt opstellen en wat de aandachtspunten zijn hierbij.

Recht op informatie (art. 13 en 14 AVG)

Elke persoon heeft het recht om op de hoogte te zijn van:

  • de persoonsgegevens die u over hem/haar verzamelt;
  • hoe u deze persoonsgegevens verzamelt;
  • hoe lang u deze persoonsgegevens bewaart (= de bewaartermijn);
  • welke rechtsgrond aan de basis ligt van de verwerking van die persoonsgegevens;
  • hoe de betrokkene gebruik kan maken van de andere rechten van betrokkene, zoals het recht op inzage, correctie…

Uw privacyverklaring vangt deze elementen op. Hierin licht u uw werking als organisatie toe, wat de perfecte gelegenheid vormt om te communiceren over uw beleid inzake persoonsgegevens.

Mooie voorbeelden van privacyverklaringen vindt u hier:

https://www.puurs.be/product/1018/privacyverklaring-lokaal-bestuur-puurs

https://www.boechout.be/over-boechout/publicaties/privacyverklaring-nieuwsbrief

http://www.izegem.be/content/8191

Recht van inzage (art. 15 AVG)

Het recht van inzage bepaalt dat betrokkenen de persoonsgegevens die een bedrijf of organisatie over hen heeft verzameld moeten kunnen inzien. Ze hebben het recht om deze op te vragen en hoeven geen reden te geven voor hun verzoek. De organisatie moet hen op een duidelijke en begrijpelijke manier laten weten:

  • of de organisatie zijn/haar persoonsgegevens gebruikt;
  • wat het doel is van het gebruik;
  • om welke gegevens/categorieën van gegevens het gaat;
  • aan wie de organisatie de gegevens eventueel heeft verstrekt of aan welke categorieën van ontvangers de gegevens zullen worden verstrekt;
  • wat de vermoedelijke bewaartermijn is van de persoonsgegevens, of wat de criteria zijn om die termijn te bepalen;
  • dat de betrokkene verschillende rechten heeft (rectificeren, wissen, beperken van de verwerking, bezwaar maken tegen de verwerking, etc.);
  • dat de betrokkene het recht heeft een klacht in te dienen bij de Gegevensbeschermingsautoriteit;
  • wat de herkomst is van de gegevens, als deze bekend is en de gegevens niet bij de betrokkene zelf zijn verzameld;
  • of er sprake is van geautomatiseerde besluitvorming (inclusief profilering), met vermelding van de onderliggende logica en het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

Het recht op inzage heeft alleen betrekking op de persoonsgegevens van de betrokkene zelf. Deze mag volgens de AVG geen persoonsgegevens van iemand anders inkijken.

Belangrijk om te onthouden:

  • Het antwoord op een inzageverzoek dient kosteloos te worden gegeven. In bepaalde gevallen mag een organisatie een vergoeding vragen die overeenkomt met de administratiekosten. Dit is bijvoorbeeld het geval bij verzoeken om meerdere kopieën en bij onredelijke, herhaaldelijke en/of excessieve verzoeken.
  • Het verlenen van inzage mag verder geen afbreuk doen aan de rechten en vrijheden van anderen, denk hierbij aan het zakengeheim, intellectueel eigendomsrecht en het auteursrecht. Desalniettemin mogen deze overwegingen er niet toe leiden dat de betrokkene niet wordt geïnformeerd.

Recht op rectificatie (art. 16 AVG)

De persoon van wie u gegevens bijhoudt heeft het recht om onjuiste of onvolledige persoonsgegevens te verbeteren. Dit is niet alleen belangrijk voor de betrokkene (hij/zij weet dan dat u de nodige en correcte gegevens hebt), maar ook voor de organisatie (dan beschikt deze immers over de juiste contactgegevens van de betrokkene zoals e-mail). Als organisatie moet u binnen de maand reageren (verlengbaar met 2 maanden) op een dergelijk verzoek. U moet ook derden aan wie deze gegevens werden bezorgd hierover informeren en aan de betrokkene meedelen aan welke derden de persoonsgegevens werden bezorgd.

Belangrijk om mee te nemen:

  • Een correctieverzoek kan in uitzonderlijke gevallen worden geweigerd, bijvoorbeeld als het gaat om een onjuist of onredelijk correctieverzoek.
  • Een eventuele (gedeeltelijke) weigering dient gemotiveerd te worden. Daarnaast dient de betrokkene gewezen te worden op zijn recht om klacht in te dienen bij de Gegevensbeschermingsautoriteit.

Recht op vergetelheid (art. 17 AVG)

Een betrokkene kan bij een verwerkingsverantwoordelijke een verzoek indienen om ‘vergeten’ te worden (oftewel dat de gegevens worden gewist): het recht op vergetelheid. Een betrokkene kan hiertoe een verzoek indienen wanneer:

  • de persoonsgegevens niet langer noodzakelijk zijn voor het doel waarvoor de gegevens initieel verzameld waren en er geen andere reden is om deze persoonsgegevens te bewaren;
  • het doel voor de verwerking van de persoonsgegevens is gebaseerd op de toestemming van de betrokkene en de betrokkene die toestemming intrekt;
  • betrokkene bezwaar heeft tegen de verwerking en het lokaal bestuur geen zwaarwegende gronden heeft om de gegevens te verwerken;
  • de persoonsgegevens onwettig zijn verwerkt;
  • de persoonsgegevens noodzakelijk zijn voor compliance met Europese of Belgische wetgeving.

In onderstaande gevallen kan een verwerkingsverantwoordelijke het recht op vergetelheid weigeren toe te passen:

  • de uitoefening van het recht vrijheid van meningsuiting;
  • de uitoefening van wettelijke taken;
  • een juridische procedure.

In sommige gevallen mag een verwerkingsverantwoordelijke gegevens langer bewaren dan strikt noodzakelijk is, bijvoorbeeld nadat een vergunning is verstrekt. Hierdoor kan niet aan het verzoek om vergetelheid worden voldaan. Verwerkingsverantwoordelijken kunnen gegevens langer bewaren in het geval van:

  • de uitoefening van het recht op vrijheid van meningsuiting en van informatie;
  • de nakoming van een wettelijke verplichting;
  • de uitvoering van een taak in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
  • redenen van algemeen belang op het vlak van volksgezondheid;
  • bewaartermijnen met het oog op de Archiefwet (zie ook de selectielijsten VVDAB);
  • wetenschappelijk of historisch onderzoek;
  • onderzoek voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering.

Recht op beperking van de verwerking (art. 18 GDPR)

Het recht op beperking van de verwerking is mogelijk indien een van de volgende elementen van toepassing is:

  • De betrokkene stelt de juistheid van de persoonsgegevens ter discussie. Gedurende de periode waarin binnen de organisatie de juistheid van de persoonsgegevens wordt gecontroleerd, geldt er een beperking van de verwerking van de persoonsgegevens voor de verantwoordelijke (de organisatie);
  • De betrokkene is van mening dat de verwerking onrechtmatig is, maar wanneer hij niet wil dat de persoonsgegevens gewist worden, kan hij een recht op beperking van de verwerking vragen. De persoonsgegevens blijven dan namelijk wel opgeslagen en voor de betrokkene toegankelijk om bijvoorbeeld op te kunnen vragen;
  • De organisatie heeft de persoonsgegevens niet langer nodig, maar de betrokkene heeft de gegevens nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Bijvoorbeeld, een organisatie is verplicht om de persoonsgegevens van een voormalig klant langer te bewaren, omdat de klant deze persoonsgegevens nodig heeft voor een juridische procedure waar hij bij betrokken is;
  • De betrokkene heeft bezwaar gemaakt tegen de verwerking van zijn of haar persoonsgegevens. In afwachting van de uitkomst van de afweging of de gronden van de organisatie zwaarder wegen dan die van de betrokkene moet de gegevensverwerking beperkt worden. In dit geval hoeft het recht op beperking van de verwerking niet apart te worden ingeroepen, want de verwerking wordt bij het inroepen van bezwaar automatisch beperkt.

Wanneer de betrokkene het recht op de beperking van de verwerking heeft verkregen is het voor de organisatie niet meer toegestaan de betreffende persoonsgegevens te verwerken. Afgezien van het opslaan van de gegevens, mag je als verantwoordelijke geen verrichtingen meer uitvoeren met de persoonsgegevens.

Wanneer de verantwoordelijke weer verwerkingen wil gaan uitvoeren met de persoonsgegevens is dit slechts mogelijk in een aantal situaties:

  • wanneer de betrokkene (weer) toestemming geeft;
  • voor de instelling, uitoefening of onderbouwing van een rechtsvordering door de verantwoordelijke (bijvoorbeeld een verzoek indienen bij een rechtbank);
  • ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon;
  • bij dringende redenen van algemeen belang voor de Unie of voor een lidstaat.

Als organisatie dien je de betrokkene altijd, voorafgaand aan de verwerking van persoonsgegevens, te informeren over het recht op beperking van de verwerkingen.

Wanneer het recht op beperking van de verwerking is ingeroepen door de betrokkene kun je als organisatie de persoonsgegevens tijdelijk naar een ander verwerkingssysteem overplaatsen (om ervoor te zorgen dat de persoonsgegevens niet verwerkt worden), de persoonsgegevens tijdelijk niet beschikbaar maken of de persoonsgegevens tijdelijk van de website afhalen.

Bij geautomatiseerde bestanden moet er met technische middelen voor worden gezorgd dat de persoonsgegevens niet langer verwerkt of gewijzigd kunnen worden. De beperking van de gegevensverwerking moet duidelijk in het bestand zijn aangegeven.

Daarnaast dien je ontvangers (derde partijen) van de persoonsgegevens van de betrokkene te informeren over de beperking van de verwerking, tenzij dit onmogelijk blijkt of veel inspanning eist.

Recht op overdraagbaarheid van de gegevens (art. 20 AVG)

Dankzij dit recht kan de betrokkene zijn persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm verkrijgen en deze op eenvoudige wijze overdragen aan een andere verwerkingsverantwoordelijke. Voor zover dit technisch kan, mag de betrokkene vragen dat zijn persoonsgegevens rechtstreeks van de oude verwerkingsverantwoordelijke naar de nieuwe worden doorgestuurd.

De verwerkingsverantwoordelijke moet de betrokkene informeren over zijn recht op overdraagbaarheid. Het precieze tijdstip waarop dit dient te gebeuren, verschilt naargelang de gegevens al dan niet van de betrokkene worden verkregen (zie artikelen 13 en 14 van de AVG, het zgn. ‘recht op informatie’).

In geval van een verzoek tot overdracht, zal de verwerkingsverantwoordelijke onverwijld en ten laatste binnen een maand informatie moeten verstrekken over het gevolg dat hieraan is gegeven.

De overdracht dient in principe kosteloos te gebeuren, tenzij voor verzoeken die kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitief karakter.

Het recht op overdraagbaarheid kent een aantal strikte toepassingsvoorwaarden:

  1. Door het individu verstrekte en op hem betrekking hebbende persoonsgegevens

Enkel gegevens die het individu zelf heeft verstrekt en die op hem betrekking hebben komen in aanmerking.

Volgens de WP29 moet het begrip “verstrekken” zo worden geïnterpreteerd dat niet alleen actief en bewust verstrekte gegevens zouden worden geviseerd, maar ook gegevens die ontstaan en worden verstrekt via het gebruik van diensten of toestellen (bv. zoekgeschiedenissen, playlists, online boekenlijsten enz.).

In sommige situaties is het recht op dataportabiliteit niet evident. Denk maar aan een sollicitant die bij een potentiële werkgever of interimkantoor een persoonlijkheidstest heeft afgelegd en de resultaten ervan wil laten doorsturen naar een andere potentiële werkgever. De resultaten van een dergelijke test zijn subjectief en de test zelf bevat geen persoonsgegevens over de sollicitant. M.a.w. het recht op dataportabiliteit heeft geen betrekking op dergelijke analyses. Sta als organisatie altijd even stil bij de logica achter dit recht, en of het al dan niet moet toegepast worden op het voorliggende geval.

  1. Verwerkingen gegrond op toestemming of de uitvoering van een overeenkomst

Het moet gaan om een verwerking waarvoor de betrokkene zijn toestemming heeft gegeven of die noodzakelijk is voor de uitvoering van een overeenkomst.

Verwerkingen op basis van andere rechtsgronden (bv. een wettelijke verplichting) vallen buiten het toepassingsgebied.

  1. Verwerkingen verricht via geautomatiseerde procedés

De verwerking moet zijn verricht via geautomatiseerde procedés, waardoor louter papieren gegevens zijn uitgesloten.

  1. Geen afbreuk aan de rechten en vrijheden van anderen

Het recht op overdraagbaarheid mag geen afbreuk doen aan de rechten en vrijheden van anderen (bv. het recht op privacy, het recht op toegang en informatie, enz.).

Recht van bezwaar tegen verwerking (art. 21 AVG)

De betrokkene kan op elk moment bezwaar maken bij het lokaal bestuur tegen de verwerking van zijn/haar gegevens. Het recht van bezwaar wordt duidelijk gemaakt aan de betrokkene (uiterlijk op het moment van het eerste contact tussen het lokaal bestuur en de betrokkene, dus bijvoorbeeld op het moment van een aanvraag).

Het recht op bezwaar is niet nieuw voor lokale besturen. De enige wijziging is dat het lokaal bestuur vooraf (in plaats van achteraf) moet communiceren dat een betrokkene bezwaar kan indienen tegen het gebruik van zijn/haar gegevens.

Het indienen van bezwaar dient kosteloos te zijn.

Als de verwerking van persoonsgegevens online gebeurt, dan dient de betrokkene ook online zijn bezwaar kenbaar te kunnen maken. De verordening bepaalt geen termijn waarbinnen men dient te reageren.

Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming, waaronder profiling (art.22 AVG)

Organisaties maken meer en meer gebruik van profileringstechnieken en automatiseren de besluitvorming over personen. De privacy van betrokkenen komt hierbij vaak in het gedrang. Stel je voor dat een sociaalnetwerksite als Facebook de gegevens van een betrokkene verzamelt en op basis daarvan een profiel creëert, en vervolgens dit profiel doorstuurt naar een bank. Die bank zou in principe op basis van die gegevens de kredietwaardigheid van de betrokkene kunnen bepalen (wat dan weer een invloed kan hebben op het al dan niet kunnen bekomen van een lening). Dergelijke besluitvorming op basis van uw persoonsgegevens mag niet volgens de AVG. Daarom beschermt de AVG betrokkenen hiertegen.

Profilering is elke vorm van geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd. Profilering geschiedt met name met de bedoeling om iemands beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. Profilering wil dus zeggen dat iemand aan de hand van een (risico)profiel wordt beoordeeld.

Profilering an sich is toegestaan onder de AVG. Dat kan echter veranderen wanneer er besluiten worden genomen op grond van deze profielen.

Uitgangspunt in de AVG is dat er geen geautomatiseerde besluitvorming op basis van profilering mag plaatsvinden, als daaraan rechtsgevolgen voor de betrokkene (degene wiens persoonsgegevens het betreft) zijn verbonden of het besluit hem in aanzienlijke mate treft. Daarbij kan gedacht worden aan het eerder vermelde voorbeeld van kredietwaardigheid van een betrokkene. Een ander voorbeeld is het verwerken van sollicitaties via internet zonder menselijke tussenkomst.

De wet voorziet echter wel een aantal uitzonderingen op de regel. Zo is geautomatiseerde besluitvorming wel toegestaan als dit:

  • noodzakelijk is voor het aangaan of uitvoeren van een overeenkomst met de betrokkene;
  • op grond van de Belgische wet is toegestaan;
  • berust op uitdrukkelijke toestemming van de betrokkene.

Hoewel geautomatiseerde besluitvorming wel kan op grond van één van bovenstaande gronden, moet u er toch voor zorgen dat er voldoende waarborgen worden geboden. Concreet betekent dit dat u de betrokkene moet laten weten dat hij/zij recht heeft op menselijke tussenkomst, dat hij/zij zijn/haar standpunt moet kunnen toelichten en het besluit moet kunnen aanvechten. Ook heeft de betrokkene recht op uitleg over de totstandkoming van het besluit.

Houd als organisatie in het achterhoofd dat geautomatiseerde besluitvorming nooit betrekking mag hebben op kinderen en dat er specifieke voorwaarden gelden als er bijzondere categorieën van persoonsgegevens ten grondslag liggen aan de besluitvorming.

De AVG zegt expliciet dat de betrokkene recht heeft om bezwaar te maken tegen profilering. Organisaties kunnen dit bezwaar enkel van de hand wijzen als zij dwingende gerechtvaardigde gronden voor de profilering aanvoeren, die zwaarder wegen dan de belangen van de betrokkene.

Dat geldt echter niet in geval van profilering met betrekking tot direct marketing. Wanneer de betrokkene hiertegen bezwaar aanvoert, mogen zijn persoonsgegevens hoe dan ook niet meer voor zulke doeleinden gebruikt worden. Informeer de betrokkene uitdrukkelijk, op duidelijke wijze en gescheiden van andere informatie over dit recht.

Maakt u gebruik van profiling of geautomatiseerde besluitvorming? Dan is het misschien tijd om de werking van uw organisatie even onder de loep te nemen. Zo kunt u nagaan of u voldoende technische en organisatorische maatregelen treft om onjuistheden tijdig te corrigeren en het risico op fouten tot een minimum te beperken. Verifieer ook of uw organisatie aan haar informatieplicht t.a.v. betrokkenen voldoet.

Extra: Recht van verzoek of klacht bij de Gegevensbeschermingsautoriteit

De Gegevensbeschermingsautoriteit wil de betrokkene als onafhankelijk orgaan zoveel mogelijk beschermen. In zijn taak m.b.t. het toezicht op de correcte verwerking van persoonsgegevens is het daarom mogelijk een verzoek of klacht in te dienen bij de Gegevensbeschermingsautoriteit.

Beide opties kunnen via de website https://www.gegevensbeschermingsautoriteit.be/verzoek-klacht-indienen

Verzoek: De betrokkene komt zonder veel formaliteiten bij de Eerstelijnsdienst terecht. Deze dienst zal een bemiddeling opstarten tussen de betrokken partijen en zal trachten een minnelijk akkoord te bereiken. Het verzoek dient in één van de landstalen te zijn opgesteld (Nederlands, Frans of Duits) en de inhoud van het verzoek moet natuurlijk betrekking hebben op een probleem met betrekking tot de verwerking van persoonsgegevens. Tenslotte moet het verzoek gedateerd en ondertekend zijn. De betrokkene moet een verzoekformulier invullen en in digitale (e-mail) of fysieke (brief) vorm versturen naar de Gegevensbeschermingsautoriteit.

Klacht: Deze wordt niet door de Eerstelijnsdienst behandeld, maar wel door de Geschillenkamer. Aangezien dit een rechtsprekend orgaan is, moeten bij de behandeling formele procedureregels gerespecteerd worden, zoals bijvoorbeeld het indienen van “verweermiddelen” in de loop van de procedure (net zoals bij een rechtszaak). Bovendien kan de Geschillenkamer (net zoals bijvoorbeeld het openbaar ministerie) de zaak ook meteen zonder gevolg klasseren en de klacht dus niet verder opvolgen. De klacht van de betrokkene dient in één van de landstalen te zijn opgesteld (Nederlands, Frans of Duits) en een uiteenzetting van de feiten te bevatten. De betrokkene dient ook voldoende aanwijzingen te geven zodat de concrete verwerking die hij/zij aankaart geïdentificeerd kan worden. Tenslotte moet de klacht gedateerd en ondertekend zijn. Net zoals bij het verzoek moet de betrokkene een formulier invullen (klachtenformulier) en dit in digitale (e-mail) of fysieke (brief) vorm versturen naar de Gegevensbeschermingsautoriteit.

Hoe kan u procedures opzetten rond rechten betrokkene?

Het verzamelen en behandelen van vragen van betrokkenen kost heel wat tijd. Efficiënt werken is dus ook aangewezen. Procedures bieden hier houvast in: ze stellen u in staat de vragen snel te verzamelen en tijdig op te lossen m.b.v. een ‘roadmap’. Tientallen vragen van betrokkene op de to-do lijst en geen idee hoe u eraan begint: een scenario dat we koste wat kost willen vermijden.

Onderstaande vragen kunnen alvast helpen bij het opstellen van een procedure. Het is interessant om deze info naar de betrokkene door te spelen, bijvoorbeeld via de website. Zo weet hij/zij hoe persoonsgegevens in uw organisatie een rol spelen. U respecteert op die manier ook het transparantiebeginsel, een principe dat centraal staat in persoonsgegevensbescherming.

  • Waarom hecht u als lokaal bestuur belang aan persoonsgegevens en aan de daarbij horende rechten van de betrokkene?
  • Welke rechten van de betrokkene bestaan er en wat impliceren ze?
  • Hoe kunnen die rechten worden toegepast specifiek voor gemeentes?
  • Met welke termijn houdt u als gemeente rekening bij de behandeling van elk recht van betrokkene?

Het is niet alleen belangrijk dat u elk recht van betrokkene toelicht, maar ook dat u voor elk recht de procedure toelicht waarvan de betrokkene gebruik kan maken (behalve voor het recht op informatie, aangezien u dit kan opvangen via de privacyverklaring).

Een mogelijke procedure voor het recht van inzage en correctie bevat bv. volgende aspecten:

  • Ontvangen van een verzoek van de betrokkene (op welke manier?)
  • Identificatieplicht betrokkene (betrokkene moet zich bv. via e-ID identificeren)
  • Termijn waarbinnen het antwoord moet worden gegeven (hoe snel kunt u als organisatie reageren? Wettelijk gezien max. 1 maand, maar verlenging met 2 maand voor complexe verzoeken)
  • Weigering van een verzoek (bv. bij kennelijk ongegrond of buitensporige vraag)
  • Antwoord geven op een inzageverzoek (weet waar de persoonsgegevens van de betrokkene zich bevinden, zorg voor een export hiervan)
  • Registratie van inzageverzoeken in een register (zorgt voor nuttig overzicht)
  • Antwoord geven op een rectificatieverzoek (bevestiging als persoonsgegevens worden gecorrigeerd of aangevuld, en hoe snel dit gebeurt)
  • Kennisgevingsplicht in geval van rectificatie (ook de ontvangers van persoonsgegevens van de betrokkene op de hoogte stellen, en de betrokkene over de ontvangers)

Voorzie voor het recht op inzage en het recht op rectificatie bijvoorbeeld een invulformulier om de procedure eenvoudiger te maken voor zowel u als de betrokkene. Een mooi voorbeeld vindt u hier: https://www.boom.be/procedure-rechten-betrokkene-gemeente-en-ocmw-boom (onderaan kunt u het formulier downloaden)

Hoe kan V-ICT-OR mij hierbij helpen?

Tijdens het 3-daags traject informatieveiligheid kan V-ICT-OR de nodige tips geven voor het opstellen van dergelijke procedures. Premiumabonnementen geven lokale besturen de kans om samen met V-ICT-OR de nodige procedures tot op detailniveau uit te werken.