4
Oct
2018

Identificatie betrokkenen bij uitoefening AVG-rechten

Wie persoonsgegevens verwerkt dient rekening te houden met de rechten van betrokkenen. Op grond van de Algemene verordening gegevensbescherming (AVG) hebben betrokkenen meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt. Maar hoe weet je zeker dat het daadwerkelijk de betrokkene betreft die zijn rechten wil uitoefenen?

Op grond van de AVG hebben betrokkenen diverse mogelijkheden om voor zichzelf op te komen. Denk hierbij aan:

  • Het recht op dataportabiliteit;

  • Het recht op vergetelheid;

  • Het recht op inzage;

  • Het recht op rectificatie en aanvulling;

  • Het recht op beperking van de verwerking;

  • Het recht m.b.t. geautomatiseerde besluitvorming en profilering;

  • Het recht om bezwaar te maken.

Systemen, processen en de interne organisatie dient op bovenstaande rechten te worden ingericht zodat aan verzoeken gehoor kan worden gegeven. Maar hoe weet je zeker dat het daadwerkelijk de betrokkene betreft die zijn rechten wil uitoefenen en je de data wel aan de juiste persoon geeft?

Dit is een vraagstuk waar veel organisaties bij, de inrichting, stil moeten staan. De wijze waarop gegevens worden verzameld, maar bijv. ook de relatie tot betrokkene, heeft namelijk invloed op de wijze waarop je betrokkene kunt identificeren.

Een aantal manieren om je er als organisatie van te verzekeren dat degene die een recht probeert uit te oefenen ook echt de betrokkene is, zijn:

  • Identificatie op locatie

Indien er een fysieke vestiging is, is dit de meest betrouwbare optie. Identificatie kan dan worden gerealiseerd d.m.v. een geldig legitimatiebewijs. Medewerkers dienen uiteraard wel te weten hoe ze het legitimatiebewijs op echtheid kunnen controleren.

Het vragen om een kopie van een legitimatiebewijs is minder betrouwbaar. De echtheid en geldigheid van het legitimatiebewijs kan namelijk niet worden gecontroleerd doordat de betreffende kenmerken bij een kopie verloren gaan. Tevens kun je een kopie gemakkelijk aanpassen.

  • Een aanvraag formulier achter de inlogpagina

Dit is een goede manier van identificatie wanneer je een directe relatie met de betrokkene hebt. De betrokkene kan met zijn account inloggen. Identificatie geschiedt dan aan de hand van de inloggegevens.

  • Het verrichten van een betaling met het bij de verwerker bekende bankrekeningnummer

Denk aan een bedrag van € 0,01 welke later gestorneerd kan worden.

Uiteraard is bovenstaande lijst niet uitputtend. De wijze waarop betrokkene zich in een eerder stadium heeft geïdentificeerd biedt tevens mogelijkheden om betrokkene in een later stadium te identificeren.

  • iDIN

Met iDIN kunnen betrokkenen zich identificeren met hun gegevens die gecontroleerd zijn door de bank. De betrokkenen kan zelf bepalen welke gegevens hij of zij deelt. Denk hierbij aan voorletters, achternaam, geboortedatum, leeftijd, woonadres, e-mailadres, telefoonnummer enzovoort.

Mochten er binnen uw organisatie nog vragen zijn omtrent identificatie van betrokkenen bij uitoefening van de rechten dan denken wij uiteraard graag met u mee.