Een inzageverzoek: niet laten liggen!
Geplaatst op: 20 september 2022
Met de invoering van de AVG hebben betrokkenen het recht om in te zien welke persoonsgegevens van hen worden verwerkt. De AVG duidt dit aan als het “recht van inzage”. Maar wat kan en moet je doen als jouw klant bij je aanklopt met een inzageverzoek?
Wat is het inzagerecht?
Het inzagerecht biedt niet alleen de mogelijkheid voor de betrokkene om in te zien of de organisatie zijn of haar persoonsgegevens verwerkt, maar ook welke persoonsgegevens én de reden van de verwerking. De betrokkene kan daarmee zijn of haar persoonsgegevens inzien en controleren. Het inzagerecht vergemakkelijkt dan ook de uitoefening van andere rechten in de AVG, zoals het recht om de persoonsgegevens te rectificeren en/of te verwijderen. Een inzageverzoek kan behoorlijk nieuw zijn voor een organisatie. In deze blog geef ik je daarom graag handvatten over hoe je moet omgaan met een dergelijk verzoek
Inzageverzoek ontvangen: wat nu?
1. Controleer het verzoek
Het is niet zo dat je altijd in alle gevallen aan een inzageverzoek hoeft te voldoen. De AVG geeft twee gevallen waarbij je als organisatie een inzageverzoek mag weigeren, maar hier moet je wel voorzichtig mee zijn.
Ten eerste mag het verstrekken van gegevens geen afbreuk doen aan de rechten en vrijheden van anderen. In dat geval moet je een belangenafweging maken. Ten tweede kan je als organisatie een inzageverzoek weigeren als dit verzoek kennelijk ongegrond of buitensporig is. Hiervan is sprake als de betrokkene bijvoorbeeld heel veel inzageverzoeken indient en daarbij uitdrukkelijk aangeeft dat hij hiermee de organisatie wil verstoren. Onder omstandigheden moet je bij beide gevallen de gegevens wel verstrekken, maar in aangepaste vorm.
Algemene inzageverzoeken, waarmee de betrokkene bijvoorbeeld vraagt naar veel persoonsgegevens, zijn geen reden om een inzageverzoek te weigeren. Wel mag je de betrokkene vragen om het inzageverzoek te specificeren voordat je alle informatie verstrekt.
2. Stel de identiteit van de betrokkene vast
Een inzageverzoek moet over de persoonsgegevens gaan van degene die het inzageverzoek doet. Daarom is het belangrijk dat je als organisatie de identiteit van de betrokkene controleert. Bij enige twijfel over de identiteit van de betrokkene mag je aanvullende informatie opvragen, zodat je zijn of haar identiteit kan bevestigen. Benieuwd hoe je dit het beste kunt doen in jouw situatie? Neem gerust contact op met onze privacyrecht specialisten.
Tip: maak na het controleren van de identiteitskaart een aantekening dat je de identiteit van die betrokkene hebt gecontroleerd. Op die manier voorkom je dat je als organisatie onnodig een identiteitskaart kopieert, maar kan je wel aantonen dat je aan je verplichtingen hebt voldaan.
3. Verstrek de gegevens
Binnen een maand na ontvangst van het verzoek moet je kenbaar maken aan de betrokkene of je het verzoek uitvoert. Ook een eventuele weigering moet je gemotiveerd kenbaar maken. Daarbij is het belangrijk dat je vermeldt dat de betrokkene een klachtrecht heeft bij de Autoriteit Persoonsgegevens (AP).
Op het moment dat je het verzoek toewijst, moet je de persoonsgegevens volledig, correct en up-to-date verstrekken aan de betrokkenen door middel van een gratis kopie. Maar de organisatie kan er ook voor kiezen om de relevante persoonsgegevens bij elkaar te zetten in een (compleet) overzicht. Zorg ervoor dat de betrokkene de kopie of het overzicht kan bewaren; een kopie/overzicht op papier of in elektronische vorm volstaat daarom, maar een mondelinge toelichting niet. Als de betrokkene meerdere kopieën of overzichten wenst te ontvangen met betrekking tot hetzelfde inzageverzoek, dan mag je hiervoor wél een redelijke vergoeding vragen. Deze redelijke vergoeding moet je van tevoren bekend maken aan de betrokkene, zodat hij of zij zelf kan beslissen om het inzageverzoek al dan niet in te trekken.
Onderschat het inzageverzoek niet
Dat je als ondernemer zorgvuldig moet omgaan met het recht van inzage, blijkt wel uit eerder opgelegde boetes van het AP. Begin 2022 heeft de AP een organisatie een boete van €525.000 opgelegd, omdat betrokkenen eerst hun identiteitsbewijs moesten uploaden voordat zij hun gegevens konden inzien. Deze organisatie vroeg op die manier teveel gegevens op van betrokkene voordat aan het verzoek werd voldaan. Ga daarom altijd zorgvuldig om met een inzageverzoek en laat deze ook niet even ‘links’ liggen.
Heeft jouw organisatie te maken met een inzageverzoek en weet je niet goed wat je hiermee moet? Neem gerust contact op met één van onze privacy specialisten.