De betrokkene heeft het recht om van de verwerkingsverantwoordelijke bevestiging te krijgen over de vraag of er al dan niet persoonsgegevens over hem of haar worden verwerkt, en, indien dat het geval is, toegang tot de persoonsgegevens.
Een Subject Data Access Request (SAR), waarnaar wordt verwezen in de GDPR geeft een individu, als recht op toegang, het recht om te bekijken welke informatie een organisatie over hem of haar heeft. Dit soort persoonlijke gegevens en aanvullende informatie die toegankelijk moeten zijn, omvat de volgende scenario's.
'de doeleinden van de verwerking'
Wat heb je, of wat ben je van plan te doen met de persoonlijke gegevens van de betrokkene gegevens? Is het voor marketingdoeleinden?
'waar mogelijk, de beoogde periode gedurende welke de persoonsgegevens worden bewaard, of, indien niet mogelijk, de criteria die zijn gebruikt om die periode te bepalen'
Hoe lang bent u van plan deze informatie te bewaren? Bewaart u persoonsgegevens voor onbepaalde tijd of worden deze bewaard en na een bepaalde periode vernietigd?
'het bestaan van het recht om van de voor de verwerking verantwoordelijke te verzoeken rectificatie of verwijdering van persoonsgegevens of beperking van de verwerking van persoonsgegevens betreffende de betrokkene, of om bezwaar te maken tegen een dergelijke verwerking'
In geval van een fout kan de betrokkene verzoeken dat de opgeslagen gegevens worden gecorrigeerd.
ISMS.online bespaart u tijd en geld bij het behalen van de ISO 27001-certificering en maakt het eenvoudig te onderhouden.
Informatiebeveiligingsmanager, Honeysuckle Health
Volgens de Het bureau van de informatiecommissaris (ICO), een van de grootste veranderingen die de AVG met zich mee heeft gebracht, is de tijdsduur die een organisatie heeft om op de SAR te reageren. De huidige Data Protection Act (DPA) biedt u 40 dagen de tijd om hieraan te voldoen. De AVG geeft u nu een maand de tijd om de informatie te verzamelen en dienovereenkomstig te reageren.
In bepaalde omstandigheden heeft een organisatie het recht om het verzoek te weigeren op grond van het feit dat het ‘kennelijk ongegrond of buitensporig’ is. Het weigeren van een verzoek mag niet lichtvaardig gebeuren. Het in praktijk brengen van de AVG betekent dat u uw redenering moet toelichten en dat u de betrokkene het recht moet geven om een klacht in te dienen en in beroep te gaan. Ook dit moet binnen een maand gebeuren.
Zoals bij een groot deel van de AVG zijn planning en voorbereiding de sleutel tot een leven lang leven en betere gegevensbescherming. Zelfs kleine organisaties kunnen te maken krijgen met een aantal toegangsverzoeken van subjecten, wat soms tijdrovend kan zijn. Daarom is een geoefend SAR-plan essentieel om uw bedrijf in beweging te houden.
Identificeer de personeelsleden die het proces van toegangsverzoeken van betrokkenen zullen beheren. Zorg ervoor dat ze de juiste training krijgen en zorg ervoor dat ze de processen die u heeft opgezet volledig begrijpen.
Zorg ervoor dat u documenteert dat de training heeft plaatsgevonden en wat deze inhoudt. De volgende stap zou dan zijn het bedenken van een methode om nieuwe verzoeken aan die personen toe te wijzen wanneer ze bij het bedrijf komen.
Voer privacy-impactscreening en -beoordelingen uit, wat een manier is voor organisaties om privacyrisico's te identificeren en te minimaliseren. Ze zijn een manier om problemen vroegtijdig te onderkennen en het vertrouwen in uw merk te behouden.
Zoals we eerder hebben gezegd, is het bijhouden van al het werk en de acties, inclusief uw planning en eventuele fouten of vergissingen die zich voordoen, een essentieel onderdeel van GDPR naleving. Integreren uw AVG-werk in een breder informatiebeveiligingsbeheersysteem zal dat veel gemakkelijker voor u maken. Als u uw personeel een duidelijke werkstroom biedt waar zij hun werk kunnen volgen, is de kans groter dat u slaagt.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering