Maak gebruik van uw rechten - artikel 77 - dien een klacht in bij uw gegevensbeschermingsautoriteit!

Hebt u reeds uw rechten tegen een voor de verwerking verantwoordelijke uitgeoefend? Was u niet tevreden met het antwoord? Hebt u op een andere manier een GDPR-inbreuk ontdekt?

Zo ja, lees dan verder om te weten te komen hoe u uw recht om een klacht in te dienen kunt uitoefenen..

Deze pagina werd helaas alleen automatisch in het Nederlands vertaald. U kunt ook overschakelen op het Engelse origineel.

Uw recht om een klacht in te dienen bij een toezichthoudende autoriteit

Wat is het recht om een klacht in te dienen?

U kunt een klacht indienen bij een gegevensbeschermingsautoriteit (DPA) van uw keuze over een kwestie die volgens u inbreuk maakt op uw GDPR-gegevensbeschermingsrechten. Gegevensbeschermingsautoriteiten (DPA's) zijn de nationale of regionale overheidsinstanties die de bevoegdheid hebben om boetes of andere sancties op te leggen aan bedrijven, organisaties en andere entiteiten die gegevens verwerken.

Een klacht indienen bij een gegevensbeschermingsautoriteit belet u niet om bij andere instanties klachten over dezelfde kwestie in te dienen. Als u bijvoorbeeld kapotte schoenen koopt van een bedrijf en het bedrijf weigert u terug te betalen en verzamelt buitensporig veel van uw persoonsgegevens, dan kunt u een klacht indienen bij uw gegevensbeschermingsautoriteit over het buitensporig verzamelen en bij uw lokale consumentenrechtenautoriteit over de weigering om terug te betalen

Stap 1: zoek de contactgegevens van uw gegevensbeschermingsautoriteit

Stap 2: stel uw klacht op

Stap 3: antwoord van de gegevensbeschermingsautoriteit

Hoe weet ik of een voor de verwerking verantwoordelijke of verwerker mijn rechten heeft geschonden?

Er zijn twee belangrijke manieren waarop u waarschijnlijk een inbreuk ontdekt

Soms is er een voor de hand liggende inbreuk, zoals een luchtvaartmaatschappij die een verplichte heffing oplegt voor het wijzigen van uw gegevens of een bedrijf waar u nog nooit van hebt gehoord dat contact met u opneemt via uw e-mailadres.

Andere keren komt de inbreuk aan het licht wanneer u voor het eerst een van uw andere GDPR-rechten uitoefent en het antwoord van de voor de verwerking verantwoordelijke op uw verzoek ontvangt

Enkele mogelijke inbreuken zijn:

  • Een verzuim om binnen de termijn te antwoorden,
  • Een onvolledig antwoord, bijvoorbeeld door u informatie te verstrekken over sommige, maar niet al uw persoonsgegevens die zij verwerken, of door uw verzoek te erkennen maar u geen wezenlijke antwoorden te geven,
  • Weigeren uw verzoek uit te voeren,
  • Proberen u kosten in rekening te brengen voor het verzoek,
  • Het antwoord geeft aan dat de verwerkingsverantwoordelijke of de verwerker artikel 6 GDPR heeft geschonden, door uw gegevens te verwerken zonder rechtsgrondslag of met de onjuiste rechtsgrondslag,
  • Uit het antwoord blijkt dat de voor de verwerking verantwoordelijke of de verwerker artikel 5 GDPR heeft geschonden, door uw gegevens niet op transparante wijze, voor een voldoende beperkt doel of op een veilige en vertrouwelijke manier te verwerken, of door uw gegevens niet actueel te houden of langer dan nodig op te slaan,
  • Een inbreuk op de beveiliging heeft geleid tot de openbaarmaking van uw gegevens

Moet ik eerst contact opnemen met de voor de verwerking verantwoordelijke voordat ik een klacht indien?

Ja, dat moet u doen. In de meeste gevallen raden wij u aan eerst een van de andere rechten in deze reeks uit te oefenen voordat u een klacht indient bij een gegevensbeschermingsautoriteit, omdat u dan een duidelijker beeld krijgt van de manier waarop de entiteit die met uw gegevens omgaat uw rechten mogelijk heeft geschonden. Het kan er ook voor zorgen dat uw klacht sneller door een gegevensbeschermingsautoriteit wordt behandeld. Sommige gegevensbeschermingsautoriteiten eisen ook dat u eerst contact opneemt met de voor de verwerking verantwoordelijke voordat u een klacht indient

Hoe kan ik mijn zaak/verzoek efficiënt uitleggen aan de verantwoordelijke voor de verwerking?

  • Neem zo snel mogelijk contact op met de controller om uw bezorgdheid te uiten en uw verzoek in te dienen (hoe sneller u gaat, hoe sneller u een reactie en een antwoord op uw vraag zult krijgen. Bedenk ook dat uw zaak moeilijker op te lossen kan zijn als u uw bezorgdheid pas na enkele jaren deelt)
  • Neem contact op met de juiste persoon binnen de organisatie (vraag de organisatie vooraf waar u uw verzoek naartoe kunt sturen. Sommige voor de verwerking verantwoordelijken hebben een functionaris voor gegevensbescherming ("een DPO"): zij zijn het best geplaatst om uw verzoek te behandelen)
  • Schrijf duidelijk en leg eenvoudig aan de persoon uit wat er is gebeurd. Wees je ervan bewust dat de persoon die je klacht leest misschien net de dag voordien bij de organisatie is komen werken)
  • Wees specifiek en kort. Ga alleen in op het punt van gegevensbescherming dat u aan de orde wilt stellen. Alle andere zaken (conflicten met de organisatie, frustratie met de dienst na verkoop) zullen u niet helpen om uw rechten uit te oefenen. Bewaar je energie voor later!
  • Wees volledig. Ons advies: gebruik opsommingstekens in uw verzoek.
  • Blijf redelijk en beleefd. Maak er geen persoonlijke zaak van en blijf beleefd tegen het personeel van de organisatie. Het zijn mensen zoals u en hen beledigen zal u niet helpen om uw rechten sneller afgedwongen te krijgen
  • Vraag om een redelijk tijdsbestek. Eis geen antwoorden op dezelfde dag. Laat de organisatie je zaak onderzoeken en kom bij je terug met de volledige informatie. Als een antwoord uitblijft, stuur dan gewoon een vriendelijke herinnering
  • Voeg al het relevante bewijsmateriaal bij. Stuur kopieën van alle documenten die u hebt om uw klacht te ondersteunen. Stuur niet te veel informatie: alleen wat u denkt dat nodig is om uw bezorgdheid of verzoek te begrijpen en te behandelen
  • Houd gegevens bij. Vermeld altijd de data op uw correspondentie, en bewaar kopieën van alles.

Als het "definitieve" antwoord van de voor de verwerking verantwoordelijke uw probleem niet oplost, kunt u besluiten een klacht in te dienen bij een gegevensbeschermingsautoriteit.

Waar kan ik een klacht indienen?

Als u niet tevreden bent met het antwoord (of het gebrek aan antwoord) van de voor de verwerking verantwoordelijke, geeft de GDPR u de vrijheid om te kiezen in welk EU-land u uw klacht kunt indienen. Wij raden u echter aan te kiezen voor de gegevensbeschermingsautoriteit van het land van:

  • Uw gewone verblijfplaats (bijv. als u de klacht in uw eigen taal wilt indienen),
  • De plaats waar u werkt (bv. als u voor uw werk naar een ander land pendelt en het praktischer voor u is om daar uw klacht in te dienen)
  • De plaats van de inbreuk (als u bijvoorbeeld in Slowakije woont en uw gegevens in Spanje worden verwerkt, wilt u misschien rechtstreeks naar de Spaanse gegevensbeschermingsautoriteit gaan)

De gegevensbeschermingsautoriteit waar u uw klacht indient, zal niet altijd de gegevensbeschermingsautoriteit zijn die uw klacht onderzoekt en daarover beslist. De GDPR staat de gegevensbeschermingsautoriteiten toe om klachten in bepaalde omstandigheden naar andere gegevensbeschermingsautoriteiten door te verwijzen, bijvoorbeeld wanneer de verwerking in een ander EU-land plaatsvindt of wanneer de voor de verwerking verantwoordelijke zijn hoofdvestiging in een ander land heeft

Hoe dien ik een klacht in?

Stap 1: zoek de contactgegevens van uw gegevensbeschermingsautoriteit

Bepaal aan de hand van bovenstaande richtsnoeren bij welke gegevensbeschermingsautoriteit u de klacht moet indienen. De contactgegevens en websites van elke gegevensbeschermingsautoriteit vindt u hier

De specifieke indieningsprocedure verschilt per gegevensbeschermingsautoriteit; veel gegevensbeschermingsautoriteiten hebben hun eigen onlineformulieren of portaalsites voor het indienen van klachten. Klik hier voor meer informatie over de specifieke indieningsprocedure van verschillende gegevensbeschermingsautoriteiten in verschillende landen.

Stap 2: stel uw klacht op


De GDPR schrijft geen specifiek proces voor dat u moet volgen bij het indienen van een klacht. Zo kunt u overzicht houden over uw klacht en eventuele verwarring of fouten bij de behandeling ervan voorkomen. Verscheidene gegevensbeschermingsautoriteiten hebben hun eigen sjablonen of online formulieren die u kunt gebruiken voor het indienen van klachten; de links naar deze bronnen vindt u in stap 1

Ongeacht het specifieke indieningssysteem van een gegevensbeschermingsautoriteit kunt u de onderstaande lijst gebruiken om u te helpen de details van uw klacht te structureren. Hoewel de gegevensbeschermingsautoriteit uw klacht zelf moet onderzoeken, zal het opnemen van onderstaande informatie nuttig zijn om zoveel mogelijk van uw inbreng in het onderzoek te geven.

Bij het opstellen:

  • Vermeld dat uw rechten op grond van de GDPR zijn geschonden. Bevestig dat de inbreuk die u meldt betrekking heeft op de verwerking van uw gegevens
  • Geef enige informatie over de bijzonderheden van de klacht, waaronder:
    • De naam en contactgegevens van de verwerkingsverantwoordelijke of de verwerker die de inbreuk heeft gepleegd;
    • Een samenvatting van de feiten met bewijsmateriaal is beschikbaar (screenshots, e-mails van de verwerkingsverantwoordelijke, kopie van uw gegevens, etc...),
    • Wat volgens u de inbreuk is (zie onze lijst hierboven). U kunt ook het artikel van de GDPR vermelden dat volgens u werd geschonden,
    • Hoe u de inbreuk hebt ontdekt (bv. reactie op een verzoek, onverwachte communicatie ontvangen van een bron die u niet herkent, kennisgeving van de verantwoordelijke voor de verwerking, lezen van het nieuws)
    • Hoe de inbreuk u negatief heeft beïnvloed (bv. financieel verlies, aantasting van uw reputatie, vernedering, vrijgave of verlies van vertrouwelijke informatie zonder uw toestemming of tegen uw wil).

Stap 3: Antwoord van de gegevensbeschermingsautoriteit

De gegevensbeschermingsautoriteit waar u de klacht indient, moet onverwijld de ontvangst van uw klacht bevestigen

De gegevensbeschermingsautoriteit is wettelijk verplicht u op de hoogte te houden van de voortgang en het resultaat van uw klacht, ook als deze naar een andere gegevensbeschermingsautoriteit wordt doorverwezen of nader moet worden onderzocht. Deze update moet ten laatste om de 3 maanden gebeuren

Voor sommige gegevensbeschermingsautoriteiten geldt een strikte termijn om een besluit te nemen (zoals de Oostenrijkse gegevensbeschermingsautoriteit - de DSB - die binnen 6 maanden een besluit moet nemen in nationale zaken). Helaas zijn de meeste gegevensbeschermingsautoriteiten niet verplicht om binnen een bepaalde termijn een besluit te nemen of zelfs maar actie te ondernemen

Als u geen besluit van de gegevensbeschermingsautoriteit ontvangt binnen de wettelijke termijn die is vastgesteld in de wet die op de gegevensbeschermingsautoriteit van toepassing is, hebt u het recht om een zaak bij de rechter aanhangig te maken

Zelfs als de nationale wetgeving niet voorziet in een strikte termijn waarbinnen de gegevensbeschermingsautoriteit moet handelen, betekent dit niet dat u niets kunt doen. Als u vindt dat de gegevensbeschermingsautoriteit er te lang over doet om uw klacht te behandelen, moet u een rechtbank kunnen vragen de gegevensbeschermingsautoriteit te dwingen actie te ondernemen of uw rechten af te dwingen

Als u niet tevreden bent met het antwoord van de gegevensbeschermingsautoriteit, kunt u in elk geval de rechter in het land waar de gegevensbeschermingsautoriteit is gevestigd om genoegdoening of schadevergoeding vragen

Als u hulp nodig hebt bij het indienen van een klacht of als u vindt dat de gegevensbeschermingsautoriteit uw klacht niet naar behoren behandelt, kunt u contact met ons opnemen viainfo@noyb.euom verdere stappen te bespreken.

Terug naar Uw rechten uitoefenen