blog

    Inzageverzoeken onder de AVG: regels en tips

    Liesbeth Woolschot
    Liesbeth WoolschotPublicatiedatum: 3 september 2020Laatste update: 10 september 2020
    Inzageverzoeken onder de AVG: regels en tips

    Een ‘betrokkene’ is onder de Algemene Verordening Gegevensbescherming (AVG) de persoon wiens gegevens verwerkt worden, zoals een burger, klant, werknemer of websitebezoeker. De AVG kent aan betrokkenen een aantal rechten toe.

    Eén van de rechten van betrokkenen uit de AVG is het recht op inzage. Op grond hiervan kan een betrokkene aan een organisatie verzoeken om inzage te verkrijgen in de verwerkte persoonsgegevens en om aanvullende informatie over de verwerking.

    Regelmatig krijgen wij van organisaties de vraag hoe zij moeten reageren op zulke inzageverzoeken. Het is belangrijk om goed om te gaan met inzageverzoeken. Je kunt hiermee het risico op klachten en alle mogelijke gevolgen van dien, zoals onderzoek en handhaving door de Autoriteit Persoonsgegevens, verkleinen.

    In deze blog bespreek ik de basisregels voor het voldoen aan inzageverzoeken en geef ik een aantal praktische tips.

    1. Informeer betrokkenen

    Het is op grond van de AVG verplicht om betrokkenen te informeren over (onder meer) de rechten met betrekking tot de verwerking van hun persoonsgegevens, waaronder het recht op inzage. Dat kan bijvoorbeeld door middel van een privacyverklaring.

    Je kunt in je privacyverklaring een kopje ‘rechten van betrokkenen’ opnemen. Daarin kun je het beste ook contactgegevens opnemen van de persoon aan wie betrokkenen het inzageverzoek kunnen richten. Een voorbeeld van een tekst:

    “Je hebt het recht om bij ons een verzoek te doen tot inzage, verbetering, aanvulling of afscherming van jouw persoonsgegevens. Ook kun je ons om verwijdering van jouw persoonsgegevens verzoeken, bijvoorbeeld als wij jouw persoonsgegevens verwerken op grond van toestemming en je jouw toestemming hebt ingetrokken. Je kunt tot slot bezwaar aantekenen tegen de verwerking van jouw persoonsgegevens vanwege bijzondere persoonlijke omstandigheden. Je kunt jouw verzoeken, vragen of klachten per e-mail richten aan [e-mailadres]. Wij streven ernaar binnen een maand op jouw verzoek te reageren.”

    2. Zorg voor een protocol of vaste werkwijze

    Zorg ervoor dat intern een vaste werkwijze bestaat met betrekking tot het behandelen van inzageverzoeken en andere AVG-verzoeken. Zorg er ook voor dat deze werkwijze voor de medewerkers binnen jouw organisatie bekend is en gemakkelijk vindbaar is. Hiermee kun je waarborgen dat inzageverzoeken tijdig worden opgepakt en op consistente wijze in behandeling worden genomen.

    3. Let op de termijn van één maand

    Vanaf het moment dat je een inzageverzoek ontvangt dien je onverwijld en in ieder geval binnen één maand opvolging te geven aan het verzoek. Dat is bepaald in artikel 12 lid 3 AVG.

    In uitzonderlijke gevallen bestaat een mogelijkheid om de termijn met twee maanden te verlengen. Volgens de Autoriteit Persoonsgegevens is dit bijvoorbeeld mogelijk wanneer het een heel complex verzoek is of wanneer het aantal verzoeken van dezelfde persoon extreem hoog is.

    Je moet tijdig kunnen bepalen of het lukt om binnen de termijn te reageren, of dat je gebruik maakt van de mogelijkheid tot verlenging. Soms vergt het behandelen van een inzageverzoek veel uitzoekwerk en brengt dit een administratieve last met zich. Ook hiervoor is een vaste werkwijze zoals bedoeld in tip (2) essentieel.

    4. Controleer de identiteit van verzoeker

    Je mag er niet zonder meer vanuit gaan dat de verzoeker daadwerkelijk de persoon betreft wiens gegevens worden opgevraagd. Je bent verplicht om de identiteit van de verzoeker te controleren (artikel 12 lid 6 AVG). Denk bijvoorbeeld aan de situatie dat het verzoek per e-mail binnenkomt en dit e-mailadres binnen jouw organisatie niet bekend is. Of wanneer het verzoek telefonisch wordt gedaan.

    Je moet voorkomen dat je persoonsgegevens verstrekt aan iemand die deze helemaal niet mag ontvangen. Dan zou sprake zijn van een datalek én een onrechtmatige verstrekking van persoonsgegevens.

    Volgens de AP moet je altijd nagaan wat de minst ingrijpende manier is om de identiteit vast te stellen. Dat kan bijvoorbeeld door te vragen om aanvullende gegevens aan de hand waarvan je dit kunt controleren, zoals een klantnummer. Of door een verzoek dat telefonisch wordt gedaan te laten bevestigen via e-mail, zodat je kunt controleren of dat e-mailadres bekend is.

    Het is in de meeste gevallen niet noodzakelijk om hiervoor een kopie ID op te vragen. Dat kan alleen wanneer er écht geen andere manier is, bijvoorbeeld omdat je niet over aanvullende gegevens van betrokkene beschikt. Zorg er dan voor dat in ieder geval het BSN is afgeschermd. De Kopie ID app van Rijksoverheid kan daarvoor uitkomst bieden.

    5. Ga met verzoeker in gesprek

    In sommige gevallen specificeert de verzoeker zijn inzageverzoek niet, zoals van welke gegevens hij inzage verlangt en waarom. Het kan dan raadzaam zijn om hierover nadere informatie op te vragen bij verzoeker.

    Het doel van het inzagerecht uit de AVG is om de verzoeker in staat te stellen om te controleren welke persoonsgegevens je van hem verwerkt, of deze correct zijn en op rechtmatige wijze zijn verwerkt. Houd dit doel voor ogen wanneer je een inzageverzoek ontvangt. Het kan zijn dat iemand een ander doel heeft bij het inzageverzoek, bijvoorbeeld om in het kader van een gerechtelijke procedure de beschikking over bepaalde documenten te krijgen. Dan zou je moeten nagaan of het verzoek wel onder het inzagerecht uit de AVG valt.

    Daarnaast kan het zijn dat verzoeker alleen inzage verlangt van gegevens betreffende een specifieke verwerking. Denk aan een burger die graag inzage wil tot gegevens die in het kader van een Wmo-traject worden verwerkt door de gemeente. Door hierop door te vragen kun je de verzoeker het meest efficiënt helpen en de administratieve last voor jouw organisatie beperken.

    6. Regel op welke wijze je inzage kunt bieden

    De AVG verplicht om “een kopie van de persoonsgegevens die worden verwerkt” te verstrekken na een verzoek op inzage. Tevens heeft de betrokkene recht op aanvullende informatie, waaronder de verwerkingsdoeleinden en bewaartermijnen.

    De wijze waarop je inzage verleent volgt niet concreet uit de AVG. Je kunt inzage bieden door een kopie van de documenten waarin de persoonsgegevens zijn opgenomen te verstrekken, maar je bent daartoe niet verplicht. Je kan volstaan met een overzicht van de persoonsgegevens.

    De AP heeft op haar website een voorbeeldoverzicht geplaatst. Let op: dit overzicht is niet compleet. Mocht je dit overzicht als model willen gebruiken dan is het aan te raden om de ontbrekende onderdelen daaraan toe te voegen, zoals de informatie:

    • dat betrokkene het recht heeft om te verzoeken om rectificatie, beperking van de verwerking en gegevenswissing of bezwaar kan maken;
    • dat betrokkene het recht heeft om een klacht in te dienen bij de AP;
    • het bestaan van geautomatiseerde besluitvorming of profilering, indien daarvan sprake is.

    Een andere manier om inzage te verlenen is door de verzoeker fysiek inzage te bieden door hem uit te nodigen op kantoor. De wijze waarop je inzage geeft dit kun je eveneens vastleggen in een protocol of vaste werkwijze.

    7. Je mag (meestal) geen kosten in rekening brengen

    Als uitgangspunt geldt dat je geen kosten in rekening mag brengen voor behandeling van het inzageverzoek (artikel 12 lid 5 AVG). Alleen wanneer een inzageverzoek “kennelijk ongegrond” of buitensporig is mag je een redelijke vergoeding van de kosten in rekening brengen voor de administratieve afhandeling. Bijvoorbeeld wanneer één persoon heel vaak een inzageverzoek indient. Ook mag je administratieve kosten in rekening brengen wanneer de betrokkene om meer dan één kopie van zijn persoonsgegevens verzoekt (artikel 15 lid 3 AVG).

    Het niet voldoen aan deze regel kan je duur komen te staan. De AP heeft in juli 2019 een forse boete van € 830.000,- opgelegd aan het BKR. Betrokkenen konden tegen betaling van een abonnementsprijs online inzage verkrijgen in hun persoonsgegevens. Dat achtte de AP in strijd met de regel om kosteloos inzage te geven. Het was weliswaar ook mogelijk om per post kosteloos om inzage te verzoeken, maar dat kon maar één keer per jaar. Dat vond de AP in strijd met de verplichting om het recht op inzage te faciliteren.

    8. Zorg voor interne vastlegging

    Onder de AVG geldt de ‘verantwoordingsplicht’ (artikel 5 lid 2 AVG). Dat betekent dat je door middel van documenten moet kunnen aantonen dat je aan de AVG voldoet. Het is dan ook belangrijk om van inzageverzoeken vast te leggen hoe deze zijn afgehandeld. Mocht het nodig zijn, dan kun je op een later moment altijd aantonen dat je hebt voldaan aan de AVG.

    Conclusie

    Hoewel de basisregels voor het voldoen aan inzageverzoeken simpel lijken, kan de toepassing in de praktijk lastig zijn. Een protocol of vaste werkwijze met betrekking tot het omgaan met verzoeken van betrokkenen kan hierbij helpen.

    Mocht je vragen hebben over het behandelen van inzageverzoeken neem dan gerust contact op met Liesbeth Woolschot.