Inleiding

De Algemene verordening gegevensbescherming (AVG) gaat over het rechtmatig omgaan met persoonsgegevens. De AVG is de Nederlandse implementatie van de Europese verordening GDPR (General Data Protection Regulation) en is vanaf 25 mei 2018 van toepassing. De belangrijkste regels voor omgang met persoonsgegevens zijn hierin vastgelegd. Deze regels zorgen voor een uitbreiding en versterking van de privacy-rechten van personen. 
Het verwerken van persoonsgegevens is alleen toegestaan op basis van verwerkingsgronden die in de AVG staan. Verwerkingsgronden zijn eisen waarom je iets met een gegeven mag doen.
Minimaal één van de gronden moet van toepassing zijn; een combinatie van gronden is ook mogelijk. De AVG werkt de volgende zes gronden uit: 

1. Toestemming
2. Uitvoering van een overeenkomst
3. Wettelijke plicht
4. Algemeen belang/openbaar gezag
5. Vitaal belang
6. Gerechtvaardigd belang

Onderstaande figuur geeft een overzicht wat onder het regiedomein wordt verstaan in het kader van de AVG. Het overzicht geeft de verschillende verwerkingsgronden en verwerkingen weer. In blauw staan de aspecten waar regie betrekking op heeft. 

Rechten voor consumenten

Rechten voor consumenten scheppen de ruimte voor regie. Hierna leggen we kort uit wat de diverse rechten voor consumenten volgens de AVG zijn.

Recht om toestemming te geven en in te trekken

Het is verplicht de consument te wijzen op het recht om de gegeven toestemming in te trekken. Het intrekken van toestemming moet net zo gemakkelijk zijn voor de consument als het geven ervan. Bijvoorbeeld wanneer toestemming digitaal is verleend, moet het ook mogelijk zijn deze toestemming digitaal in te trekken en niet via andere ingewikkeldere wegen zoals per post. 

Recht van inzage

Een consument heeft het recht om van de verwerkingsverantwoordelijke te horen als hij zijn persoonsgegevens verwerkt. De consument heeft recht op inzage in deze gegevens bij verwerking van zijn persoonsgegevens. Daarnaast heeft hij onder andere recht op informatie over:

• de doelen van de verwerking;
• de betrokken categorieën van persoonsgegevens;
• de ontvangers die de persoonsgegevens krijgen;
• de opslagperiode;
• het feit dat de consument het recht heeft op het indienen van een verzoek tot rectificatie en een verzoek tot het wissen of beperken van de gegevens;
• het feit dat de consument een klacht kan indienen.

De impact van dit recht op de systemen bij verzekeraars, volmachten en intermediairs is groot. De keten moet een adequate administratie voeren voor de verwerking van persoonsgegevens.

Recht om vergeten te worden

Een consument heeft soms het recht om zijn opgeslagen persoonsgegevens te laten verwijderen. Een verantwoordelijke moet een verzoek daarvoor inwilligen als één van de volgende gevallen van toepassing is:

• de opslag van de gegevens is niet langer nodig voor de doelen waarvoor zij zijn verzameld;
• de consument trekt de gegeven toestemming in en er is geen andere rechtsgrond voor de verwerking;
• de consument maakt bezwaar tegen de verwerking;
• de gegevens zijn onrechtmatig verwerkt;
• wissen van gegevens is nodig om te voldoen aan een wettelijke verplichting.

De verwerkingsverantwoordelijke moet redelijke maatregelen nemen om de gegevens te verwijderen, maar ook om iedere koppeling naar kopie of reproductie te wissen. Verder geldt hier natuurlijk wel dat wettelijke bewaartermijnen gelden voor gegevens die ze wettelijk moet bewaren.

Indien het verwerkingsverantwoordelijke besluit de gegevens te anonimiseren, mag ze deze bewaren, op voorwaarde dat ze niet tot een individu te herleiden zijn.