Wat houdt inzagerecht van de AVG in?

Wat houdt het inzagerecht in mijn verzamelde data in?

Mensen, klanten of andere relaties, hebben recht op inzage welke gegevens jij over hen hebt verzameld. Jij bent verplicht om ze die te geven, als ze daarom vragen. Maar je moet wel even controleren wie er om vraagt.

Algemene regel recht op inzage

Jij verwerkt persoonsgegevens van bijvoorbeeld je klanten, leerlingen, leden van je vereniging. De mensen die in jouw bestand staan hebben een aantal rechten. Die hebben ze op grond van de Algemene Verordening Gegevensbescherming (beter bekend als de AVG). Een van die rechten is het recht op inzage van de gegevens die je van de betreffende persoon verwerkt.

Wat valt allemaal onder het inzagerecht?

Naast inzage van de gegevens die je verwerkt, heeft degene ook recht op de volgende informatie:

  1. Wat het doel is van het vastleggen van de gegevens
  2. Of zijn gegevens worden overgedragen aan een derde partij. Als dit het geval is, de gegevens van die partij
  3. Waar komen de gegevens vandaan;
  4. Hoe lang sla je ze op;
  5. Is er sprake van zogenaamde geautomatiseerde besluitvorming of profilering.
  6. Zijn de gegevens doorgegeven aan een ander land of een internationale organisatie? Zo ja, welke maatregelen heb je getroffen om de veiligheid te garanderen

Hoe moet een verzoek ingediend?

De AVG kent geen verplichte vorm voor het verzoek. Dat betekent dat het verzoek per e-mail, brief of telefonisch kan worden ingediend. In alle gevallen dien je hier op te reageren.

Je kan natuurlijk een formulier ontwikkelen voor de aanvraag. Zeker voor grote organisaties is dat online een mogelijkheid. Je kan de verzoeker dan naar dat online formulier verwijzen.

Mag ik kosten berekenen?

Je mag geen kosten in rekening brengen voor de werkzaamheden die je moet verrichten om inzage in de gegevens te verschaffen.
Daarbij gelden voor de AVG uitzonderingen voor de volgende gevallen:

  • Als de aanvrager meerdere kopieën van de vastgelegde gegevens vraagt
  • Als het verzoek ongegrond of buitensporig is. Denk daarbij aan een persoon die continu gegevens bij jouw organisatie op vraagt.

Mag ik een verzoek weigeren?

Nee, een verzoek om inzage mag je nooit weigeren.
De enige grond waarop je een verzoek mag weigeren is als dit buitensporig is. Als eenzelfde persoon keer op keer binnen korte tijd om inzage vraagt, heb je voldoende grond om dat te weigeren.

Stappen voor inzage

Stappen bij een inzageverzoek

  1. Verifiëren van de identiteit van de aanvrager

    Allereerst moet je verifiëren of degene die het verzoek indient ook daadwerkelijk degene is van wie de gegevens zijn. Je wilt niet het risico lopen dat je de gegevens aan een ander verstrekt en daarmee een datalek hebt.
    Je kunt op verschillende manieren de identiteit controleren. Het meest voor de hand liggend is om een kopie identiteitsbewijs te vragen. Op de site geeft de toezichthouder op de AVG, de Autoriteit Persoonsgegevens, aan dat dit niet is toegestaan. In de praktijk echter vragen veel partijen bij een inzageverzoek toch om een kopie van het ID. Bij o.a. Albert Heijn en het Ministerie van volksgezondheid, Welzijn en Sport kwam ik dat tegen.
    Helemaal duidelijk is dit dus niet. Daarom raad ik je aan om eerst te bekijken of er andere mogelijkheden zijn om de identiteit te controleren. Denk daarbij aan het toesturen van een gegeven door de aanvrager dat je al in je database hebt, bijvoorbeeld een geboortedatum. Of laat degene na een telefonisch verzoek een e-mail sturen of vraag na een e-mail om een bevestiging met sms of app.
    Als dat niet mogelijk is dan vraag je om een kopie van het identiteitsbewijs.

  2. Bevestigingsbrief sturen

    Als je een verzoek tot inzage van de gegevens krijgt, stuur je een bevestigingsbrief (zie voorbeeld). Je hebt wettelijk gezien één maand de tijd om gevolg te geven aan het verzoek.

  3. Vraag eventueel om uitstel

    Als het verzoek complex is, bijvoorbeeld omdat de gegevens uit verschillende databases moeten komen of de gegevens door gegeven zij aan derde partijen, kun je nog een extra maand uitstel vragen. In je brief (zie voorbeeld) moet je wel aan geven wat de reden is van het uitstel.

  4. Stuur de gevraagde gegevens

    Als je de gegevens hebt uitgezocht dan kun je die toesturen. Het staat je vrij de methode van verzending te kiezen die je wenst.

Nico Mookhoek

Over de auteur

Nico Mookhoek is jurist en gecertificeerd privacy professional (CIPP/E). Hij helpt organisaties bij hun privacyvraagstukken: implementatie van de AVG, bewustwordingsprogramma’s voor medewerkers, ondersteuning bij het formuleren van privacy beleid en het uitvoeren van privacy audits.

mookhoek@nmla.nl
https://www.nmla.nl/

0
Je winkelmandje