Recht hebben versus recht krijgen

Bij de introductie van de AVG zette onze toezichthouder een flinke marketingcampagne in om duidelijk te maken welke rechten we hebben. En met succes, want steeds meer mensen weten de weg te vinden om hun gegevens in te zien, te laten wijzigen of te laten wissen. Een van de meest gebruikte gaat over inzage – wat hebben jullie van mij en wat doen jullie daarmee? En daar is al langere tijd wel wat om te doen. Zo blijkt ook uit recent onderzoek van de EDPB (European Data Protection Board). Het gaat namelijk niet bepaald lekker met de uitvoering in de praktijk.

Maar weinig organisaties hebben een eenduidige procedure ingericht. Het tijdig aanleveren van resultaten is een issue, de FG heeft ten onrechte een rol in het proces en er wordt nog steeds onnodig vaak naar een paspoort ter identificatie gevraagd. We hebben prachtige rechten op grond van de AVG, maar je recht ook ingewisseld krijgen, is nog geen uitgemaakte zaak.

Laat ik voorop stellen dat bij geen enkele organisatie waar ik gewerkt heb, een dergelijk proces vanaf het begin af aan vlekkeloos is verlopen. Maar er zijn wel een aantal zaken die je kunt oppakken die het beter kunnen maken. Mijn eerste advies is om het proces: ‘Rechten van betrokkenen’, eens helemaal uit te schrijven. Wie zijn betrokken in het proces en welke stappen moeten allemaal gevolgd worden? Juist door op te schrijven hoe de situatie nu is, zie je snel waar knelpunten zitten die je vervolgens weer kunt oppakken ter verbetering. Periodiek reviewen met alle betrokkenen is wel een absolute verplichting als je er het beste uit wilt halen.

Wat ook helpt voor een strakker verloop: Zorg dat je maar één ingang en één uitgang hebt. Dat kan al heel eenvoudig door maar één e-mailadres te hebben waarnaar gemaild kan worden en dat ook altijd te gebruiken voor communicatie met mensen die hun rechten uitoefenen. Het proces loopt verreweg het meest gesmeerd in organisaties waar een zogenaamde ‘desk’ achter deze ene in- en uitgang bestaat – een groep mensen die zorgdragen dat administratief gezien het hele proces doorlopen wordt. En, dump dat niet op het bureau van de (vaak kleine) Privacy Office, want hen heb je nodig voor advisering bij de complexe zaken en niet voor de administratieve afhandeling. Het is simpelweg zonde om de kostbare privacykennis daarvoor in te zetten.

De derde factor die onontbeerlijk is: de organisatie heeft de datahuishouding op orde. Dit is weliswaar niet iets waar je als privacy- of securityspecialist altijd zelf actief aan kan werken, maar je kunt hier wel een belangrijke rol spelen in de behoeftestelling. Die basisorde vereist bijvoorbeeld dat er beleid is voor bewaartermijnen (die kun je schrijven) en dat dit ook geïmplementeerd is (daar zit je behoeftestelling). Meer hulp nodig? Sla er vooral ook dat onderzoek van de EDPB op na [1] – die bevat namelijk een lijst met zaken die rondom de rechten van betrokkenen in de basis op orde moeten zijn en biedt daarmee een super praktisch houvast voor de praktijk.

Mr. Rachel Marbus

[1] 2024 Coordinated Enforcement Action Implementation of the right of access by controllers, Adopted on 16 January 2025

Deze column verscheen in IB2-2025.