fbpx

Secured by

Winkelmand

Klanten of medewerkers van jouw organisatie hebben, zoals je hopelijk weet, verschillende rechten waarmee zij controle kunnen hebben op de verwerking van hun persoonsgegevens. Eén van die rechten betreft het recht op inzage. De European Data Protection Board (hierna: EDPB) heeft in januari 2022 nieuwe richtlijnen voor inzageverzoeken op grond van de Algemene Verordening Gegevensbescherming (hierna: AVG) gepubliceerd. Lex legt uit wat dit betekent zodat jij weer helemaal up-to-date bent!

Wat houdt het recht op inzage in?

In artikel 15 van de AVG is bepaald dat mensen (betrokkene) recht op inzage hebben in al de persoonsgegevens die jij van hen verwerkt. Onder betrokkenen valt in principe iedereen waarvan jij de persoonsgegevens verwerkt. Dit kunnen bijvoorbeeld klanten of werknemers zijn, maar ook leveranciers. 

Het zogeheten inzageverzoek is bedoeld om betrokkenen in staat te stellen in te zien welke persoonsgegevens van hen zijn verwerkt, of de persoonsgegevens correct zijn en om te controleren of de persoonsgegevens rechtmatig zijn verwerkt. Een betrokkene hoeft echter geen reden te geven waarom hij het inzageverzoek doet. Vervolgens dien je binnen vier weken gehoor te geven aan het verzoek tot inzage. Indien gewenst door de betrokkenen, ben je verplicht om kosteloos een kopie te verstrekken met de desbetreffende persoonsgegevens die verwerkt worden.

Wanneer mag een inzageverzoek geweigerd worden?

Het recht op inzage hadden betrokkenen natuurlijk al sinds de invoering van de AVG, maar wat is er nou nieuw aan deze richtlijn? De nieuwe richtlijnen geven antwoord op de vraag in welke gevallen je een verzoek om inzage mag weigeren. Wanneer het inzageverzoek afbreuk doet aan de rechten en vrijheden van derden, dan hoef jij geen inzage te verschaffen. Denk hierbij aan wanneer inbreuk wordt gemaakt op intellectuele eigendomsrechten of bedrijfsgeheimen. Er dient dan altijd een belangenafweging gemaakt te worden. Dit geldt ook als het inzageverzoek buitensporig is. Een voorbeeld hiervan is als een betrokkene steeds opnieuw een beroep doet op zijn inzagerecht, terwijl het onvoldoende aannemelijk is dat er wijzigingen hebben plaatsgevonden in de verwerking. Volgens de richtlijnen mag je als verwerking verantwoordelijke zelfs een vergoeding vragen wanneer er buitensporig wordt verzocht tot het verstrekken van een nieuwe kopie!

Heeft de betrokkene hiermee het recht om originele documenten in te zien?

Het EDPB heeft in de richtlijnen vermeld dat de verplichting tot het verstrekken van een kopie van persoonsgegevens niet is bedoeld om de reikwijdte van het recht van inzage te verbreden. Volgens de richtlijn verwijst dit enkel naar een kopie van persoonsgegevens die wordt verwerkt, en niet naar een reproductie van originele documenten. De betrokkene heeft met het inzageverzoek dus niet het recht om originele documenten in te zien of te ontvangen.

In hoeverre mag je om een kopie van een ID vragen om de identiteit van de betrokkene vast te stellen?

Wanneer een betrokkene inzage wil in zijn persoonsgegevens, dien je als verwerking verantwoordelijke eerst zijn identiteit vast te stellen. Hierbij geldt het uitgangspunt van dataminimalisatie. Dataminimalisatie houdt in dat je niet meer gegevens mag opvragen dan nodig is voor het beoogde doel: identificatie van de betrokkene. Op basis van de richtlijnen mag een identiteitsbewijs niet worden opgevraagd als er minder bezwaarlijke middelen zijn om de identiteit te bevestigen. Bij minder bezwaarlijke middelen kun je bijvoorbeeld denken aan een webshop die meestal genoeg heeft aan een klantnummer, eventueel in combinatie met de naam en het adres van de klant om de betrokkene te identificeren. Indien er geen andere minder ingrijpende mogelijkheden zijn, dan mag het identiteitsbewijs alsnog worden opgevraagd, maar let wel op dat de betrokkene altijd de mogelijkheid moet hebben om niet-relevante informatie onzichtbaar te maken op het identiteitsbewijs. Voorbeelden hiervan zijn de foto, het Burgerservicenummer of het documentnummer.

De nieuwe richtlijnen over het inzagerecht zijn nog niet definitief. Daar gaat namelijk eerst nog een periode van zes weken aan vooraf dat mensen die er belang bij hebben, zienswijzen kunnen indienen. Toch wordt er verwacht dat deze richtlijnen als uitgangspunt gaan dienen bij de beoordeling of organisaties op een juiste wijze gehoor geven aan het inzageverzoek.

Gehoor geven aan klanten of medewerkers die een beroep doen op hun privacy rechten zoals het recht op inzage, is onderdeel van een goed privacybeleid. Wil jij zeker zijn dat jouw privacybeleid bijdraagt aan het vertrouwen van mensen in en rondom jouw organisatie? Doe dan makkelijk, en gratis, de Legal Blueprint van Lex! 👉