De Autoriteit Persoonsgegevens controleert organisaties de komende tijd op het naleven van de regels rondom het recht op inzage. De toezichthouder laat weten regelmatig klachten te krijgen over organisaties die niet of te laat reageren op een inzageverzoek van een betrokkene. Hoe zit het ook alweer met het inzagerecht én heeft uw organisatie het inzageproces helemaal op orde?
Autoriteit Persoonsgegevens start onderzoek
Samen met andere Europese toezichthouders, verenigd in de European Data Protection Board (EDPB), start de Autoriteit Persoonsgegevens (AP) dit jaar een onderzoek naar de naleving van het inzagerecht.
Wat houdt het onderzoek concreet in?
De AP meldt op haar site dat het de komende tijd diverse organisaties zal benaderen met een vragenlijst. Op die manier wil de toezichthouder ontdekken hoe organisaties het recht op inzage in de praktijk vormgeven.
Blijkt dat er mogelijke overtredingen zijn?
Dan kan de AP deze verder onderzoeken en indien nodig handhaven.
Zeker weten dat u het recht op inzage goed geregeld heeft binnen uw organisatie? Wij zetten hieronder de belangrijkste AVG-regels op een rij en laten u zien hoe u volgens de AP dient om te gaan met een inzageverzoek.
Wat houdt het recht op inzage in?
De AVG geeft betrokkenen het recht om inzage te krijgen in persoonsgegevens die door een organisatie worden verwerkt.
Uit artikel 15 van de AVG volgt dat betrokkenen mogen vragen naar:
de verwerkingsdoeleinden;
de betrokken categorieën van persoonsgegevens;
de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
wanneer de persoonsgegevens niet direct bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
het bestaan van geautomatiseerde besluitvorming en indien van toepassing nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
De betrokkene heeft overigens niet alleen het recht op inzage. Er kan ook een verzoek worden gedaan tot het rectificeren of verwijderen van de door u verzamelde persoonsgegevens.
Extra aandachtspunt!
Betrokkenen hebben ook het recht om te weten wie binnen uw organisatie toegang heeft gehad tot hun gegevens. Dus als hierom gevraagd wordt bij een inzageverzoek, dan dient u een overzicht van (categorieën van) medewerkers te verstrekken.
Hoe gaat uw organisatie om met het recht op inzage?
De Autoriteit Persoonsgegevens benoemt op haar website een aantal stappen die organisaties dienen te nemen als ze een inzageverzoek ontvangen.
1. Controleer de identiteit van de aanvrager
U dient te checken of de aanvrager echt is wie hij zegt te zijn, zodat aangevraagde persoonsgegevens niet in verkeerde handen terecht komen.
Het is de bedoeling dat u de minst ingrijpende manier kiest om iemands identiteit vast te stellen. Een kopie van een ID is in de meeste gevallen te ingrijpend. Gedacht kan worden aan identificatie via een bestaand inlogsysteem of door een vorm van meerfactorauthenticatie (denk aan e-mail in combinatie met SMS). Indien een kopie van een ID toch noodzakelijk is, dan mag de betrokkene zijn BSN afschermen en bijvoorbeeld een watermerk aanbrengen.
2. Reageer binnen 1 maand
U heeft 1 maand de tijd om het verzoek af te handelen. U stuurt binnen die maand een mail of brief, waarin u laat weten of u aan het verzoek voldoet. Is het antwoord ja? Dan moet u het verzoek ook binnen 1 maand uitvoeren.
In sommige gevallen (bijvoorbeeld bij ingewikkelde verzoeken) heeft u 3 maanden de tijd om een verzoek af te handelen. Ook dan moet u binnen een maand reageren en laten weten dat u meer tijd nodig hebt.
3. Eventueel: weiger het verzoek
In sommige gevallen mag u het verzoek (deels) weigeren. Bijvoorbeeld als het noodzakelijk is voor de openbare veiligheid. U dient wel uit te leggen aan de betrokkene waarom u het verzoek (deels) weigert.
4. Reken geen kosten
In principe mag u geen kosten rekenen voor het afhandelen van een inzageverzoek. Doet iemand heel veel aanvragen tegelijkertijd bij u of worden er extra kopieën van de persoonsgegevens opgevraagd? Dan mag u een redelijke administratieve vergoeding vragen.
2 manieren om kopieën van persoonsgegevens te verstrekken
Voldoet u aan een inzageverzoek? Dan zijn er 2 manieren om de betrokkene zijn of haar persoonsgegevens te overhandigen.
Ten eerste kan het noodzakelijk zijn de volledige documenten waarin de persoonsgegevens staan met hem of haar te delen. Hiertoe bent u verplicht als de volledige documenten voor de betrokkene noodzakelijk zijn om de context te kunnen begrijpen waarin de persoonsgegevens verwerkt zijn.
Is dit niet noodzakelijk?
Dan kunt u af met een compleet overzicht, waarin u alle persoonsgegevens kopieert die u van iemand verwerkt. Zie hiervoor ook het voorbeeldoverzicht bij inzageverzoek van de AP.
Meer weten over de AVG?
Bekijk dan onze uitgebreide pagina over de AVG en ontdek een overzicht met andere, relevante AVG-blogs.
Zeker weten dat u niks mist?
Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.