Nieuws

januari 03, 2019

Help! Ik krijg een inzageverzoek!

De Algemene Verordening Gegevensbescherming (AVG) is inmiddels al meer dan een half jaar (sinds 25 mei 2018) in werking getreden. Deze privacywetgeving schept aan de ene kant nieuwe verplichtingen voor bedrijven die persoonsgegevens werkenen biedt aan de andere kant (nieuwe) rechten aan personen waarvan de gegevens worden verwerkt. Een van deze rechten vloeit voort uit artikel 15 van de AVG, het zogenaamde inzageverzoek. Dit recht houdt in dat betrokkenen, zoals klanten, leden of leveranciers aan een organisatie kunnen vragen of er persoonsgegevens van betrokkenen worden verwerkt en als dit het geval is, welke gegevens dit precies zijn. De organisatie heeft in beginsel 1 maand de tijd om op een verzoek te reageren.

Wat moet er in de reactie staan?
Een inzageverzoek is onderdeel van de ‘rechten van betrokkene’. Naast het inzagerecht heeft de betrokkene ook het recht om gegevens over te kunnen dragen (dataportabiliteit), het recht om vergeten te worden, het recht op verbetering en aanvulling van gegevens, het recht om minder gegevens te verwerken en het recht om bezwaar te maken tegen gegevensverwerking. De betrokkene die een inzageverzoek indient heeft het recht op een document te ontvangen waarin de organisatie de volgende zaken dient te benoemen:

    • Informatie over het doel waarvoor de persoonsgegevens worden gebruikt;
    • Welke categorieën van persoonsgegevens er gebruikt worden;
    • Aan wie de persoonsgegevens zijn of worden verstrekt;
    • Hoelang de persoonsgegevens worden bewaard en de criteria die zijn vastgesteld om de bewaartermijn te bepalen;
    • Of er op basis van de persoonsgegevens automatische besluiten (profilering) worden genomen en als dit het geval is, wat de achterliggende logica is;
    • Of er gegevens worden doorgegeven aan landen buiten de Europese Unie en als dit het geval is, welke (veiligheids)waarborgen zijn genomen om de persoonsgegevens te beschermen;
    • Welke rechten de betrokkene – naast het inzagerecht – heeft en dat de betrokkene een klacht in kan dienen bij de toezichthouder, de Autoriteit Persoonsgegevens.

De organisatie mag geen kosten rekenen voor het behandelen van dit verzoek. De enige reden op basis waarvan een verzoek mag worden geweigerd is als deze kennelijk ongegrond zijn of als deze verzoeken buitensporig van aard zijn. Een verzoek is kennelijk ongegrond als je op basis van de AVG een verzoek in zou dienen voor een andere persoon. Een verzoek is bijvoorbeeld buitensporig als herhaaldelijk verzoeken tot inzage worden ingediend.

Eigen ervaringen
Ik besloot om zelf de proef op de som te nemen en enkele inzageverzoeken te versturen. Dit ging zacht gezegd niet helemaal volgens plan. Mijn eerste inzageverzoek, voorzien van een kopie van mijn rijbewijs, verstuurde ik naar Sanoma, het bedrijf achter de nieuwssite nu.nl. Het bedrijf reageerde op mijn verzoek door een brief aan mijn moeder te sturen, waarin werd aangegeven dat mijn verzoek niet in behandeling werd genomen, omdat mijn rijbewijs ‘te onduidelijk was om de identiteit te verifiëren’.

Mijn tweede inzageverzoek stuurde ik per brief naar de NS. Ook de NS weigerde dit verzoek omdat ik het verzoek in de vorm van een brief stuurde in plaats van het formulier op de website. Een praktijk die naar mijn mening niet helemaal conform de AVG is. Een inzageverzoek is immers vormvrij en kan niet worden afgewezen omdat je het in een briefvorm hebt ingediend. Ik heb desalniettemin een nieuw inzageverzoek ingediend bij de NS. Dit verzoek hebben zij binnen de termijn afgehandeld.

Wat als je de verzoeken naast je neerlegt?
Organisaties zijn verplicht om opvolging te geven aan inzageverzoeken van betrokkenen. Als het verzoek niet of niet-tijdig in behandeling wordt genomen, kan de betrokkene een klacht in dienen bij de Autoriteit Persoonsgegevens. Als na onderzoek van de Autoriteit Persoonsgegevens blijkt dat de rechten van de betrokkene worden geschonden, kunnen zij een boete opleggen van maximaal €20.000.000,- of 4% van de jaaromzet als dit bedrag hoger is dan €20.000.000,- (artikel 83 lid 5 sub b AVG). De praktijk leert dat de Autoriteit niet direct overgaat tot het opleggen van een boete, maar een redelijke termijn geeft om de overtreding (van de AVG) te beëindigen. Een recent voorbeeld is de last onder dwangsom die is opgelegd aan Theodoor Gilessen Bankiers, een zakenbank die geen gehoor gaf aan een inzageverzoek.

Conclusie
Wees u zich ervan bewust en voorbereid op het feit dat uw klanten, leden of leveranciers inzageverzoeken bij u kunnen indienen. Doordat u in beginsel maar 1 maand de tijd heeft om te reageren op een inzageverzoek, is het van groot belang om snel en efficiënt hierop te reageren. De Functionaris heeft samen met haar IT-partners een digitale omgeving ontwikkeld die het mogelijk maakt om het inzagerecht en de andere rechten van betrokkenen stapsgewijs te inventariseren, categoriseren en af te handelen. Wij raden u daarom ook graag het gebruik van ons Privacy Portaal aan voor uw organisatie.