Bel +31 (0)85 040 11 20 of mail info@mnadviseurs.nl
Een klant of leverancier wil zijn privacyrechten uitoefenen. U moet dan checken of deze persoon ook is wie hij of zij zegt te zijn.
Over welke privacyrechten hebben we het hier en hoe checkt u de identiteit op correcte wijze?
Op grond van de AVG heeft een betrokkene (de klant of leverancier) het recht op 1. inzage, 2. vergetelheid, 3. rectificatie en aanvulling, 4. dataportabiliteit en 5. beperking van de verwerking en het recht tot geautomatiseerde besluitvorming en profilering.
Dat is een hele mond vol. U moet eerst beoordelen of het verzoek van een betrokkene uitgevoerd kan en moet worden. Daarna moet u de identiteit van de verzoeker controleren.
Er is een aantal manieren om de identiteit van de verzoeker vast te stellen.
Als een persoon inzage vraagt in zijn persoonsgegevens en/of een kopie op papier wil ontvangen, moet hij zich legitimeren. Een kopie van een legitimatiebewijs is niet toegestaan en is ook niet nodig. Deze persoon staat immers voor uw neus. Laat de verzoeker tekenen voor ontvangst en vermeld op de ontvangstbevestiging
zijn naam, het type ID-bewijs met nummer en datum.
Vraag bij een digitaal verzoek tot verstrekken van de persoonsgegevens om een veilige kopie van het ID-bewijs, waarop het BSN onleesbaar is gemaakt, waarop is geschreven dat het een kopie is, voor wie de kopie bedoeld is en de datum van de kopie. Gebruik een app voor het maken van een veilige kopie, zoals de KopieID-app. Een kopie van het legitimatiebewijs waarop het BSN nog leesbaar is, bevat bijzondere persoonsgegevens, zonder dat hiervoor een grondslag is. Formeel gezien mag u zo’n kopie niet zelf veilig maken, u verwerkt dan gegevens. Vernietig de veilige kopie na de uitvoering van het verzoek en de administratieve afwikkeling.
Is er sprake van een online relatie met de betrokkene (bijv. bij een webshop), dan is legitimatie door inloggen in het account ook een optie. Zorg bij deze optie voor een
passende beveiliging, bijv. een twee-factor-authenticatie. Het mag namelijk niet zo zijn dat een derde via ‘wachtwoord vergeten’ makkelijk de inloggegevens van een klant achterhaalt en zo onrechtmatig het account in kan om een inzageverzoek te doen.
Gaat het om relatief onbelangrijke zaken, dan kunt u de identificatie ook overslaan en het verzoek direct afhandelen. Volgens de letter der wet is het misschien niet correct, maar het is wel zo praktisch. Ontvangt u bijv. een e-mail om persoonsgegevens uit de database voor uw nieuwsbrief te verwijderen, laat dan weten dat u het verzoek direct heeft ingewilligd. Doe dit niet als het om grote belangen gaat of als u vermoedt dat u te maken heeft met iemand die er een ‘serieuze zaak’ van wil maken.
De uitoefening van privacyrechten moet kosteloos gebeuren, tenzij de verzoeken buitensporig zijn. Een verzoek is buitensporig als het een enorme last legt op het bedrijf, bijv. als er elke week grote dossiers opgevraagd worden. Houd een registratie bij.
Zo weet u wat voor verzoeken er gedaan worden en of deze buitensporig zijn.
Zo’n registratie is niet verplicht, maar helpt u om vragen te beantwoorden. Noteer de datum waarop het verzoek ontvangen en afgewikkeld is, de inhoud van het verzoek
(inzage, wissen, rectificatie), de naam van de betrokkene en hoe de identiteit is gecontroleerd.
Meer weten? Neem gerust contact met ons op onder T: 0031 85 0401120 of E: info@mnadviseurs.nl