Recht op inzageRecht op inzage – wat en hoe

Door de komst van de AVG zijn de privacyrechten van klanten en medewerkers versterkt en uitgebreid. Een van die rechten is het recht op inzage. Wat houdt dit recht precies in en wat moet je (als bedrijf) doen als zo’n inzageverzoek wordt ingediend?

Wat is een inzageverzoek

Iedereen van wie je persoonsgegevens verwerkt (de betrokkene) heeft recht op inzage. Persoonsgegevens zijn bijvoorbeeld naam, adres of telefoonnummer. Op verzoek van de betrokkene moet je laten zien welke persoonsgegevens je bijhoudt. Het gaat zowel om persoonsgegevens die digitaal worden bijgehouden als op papier, voor zover de persoonsgegevens in een bestand zitten of bedoeld zijn om daarin te worden opgenomen. Het gaat daarbij alleen om de eigen persoonsgegevens van de betrokkene. Voor kinderen tot 16 jaar geldt dat de ouders of wettelijke vertegenwoordigers het verzoek mogen doen. 

 Wat moet ik doen?

Wanneer iemand een inzageverzoek heeft gedaan moet je voor die persoonsgegevens het volgende aangeven: 

– waarom je de persoonsgegevens verwerkt; 

– wat voor persoonsgegevens je verwerkt; 

– met wat voor soort partijen worden de persoonsgegevens gedeeld; 

– hoe lang worden de persoonsgegevens bewaard; 

– dat de betrokkene het recht heeft gegevens te laten aanpassen of verwijderen en de verwerking te beperken of bezwaar te maken; dat de betrokkene het recht heeft een klacht in te dienen bij de toezichthouder; 

– als de gegevens buiten de grenzen van EU/EER zijn gegaan, welke passende waarborgen zijn genomen. 

Indien je de gegevens niet direct van de betrokkene hebt gekregen, moet je alle beschikbare informatie over deze partij geven. Denk hierbij aan het inkopen van een adressenbestand voor marketingdoeleinden. 

Zijn er uitzonderingen?

Je bent verplicht een kopie te verstrekken van de persoonsgegevens zoals je die bijhoudt. In principe moet je altijd aan het inzageverzoek voldoen, maar er zijn enkele uitzonderingen. Zo hoef je uiteraard geen persoonsgegevens te verstrekken als je die van de betrokkene niet bijhoudt. En je mag alleen een kopie verstrekken als het verstrekken van de persoonsgegevens geen inbreuk doet op de privacy van anderen of hierdoor bedrijfsgeheimen of intellectueel eigendom moet worden prijsgegeven. Als laatste uitzondering is opgenomen dat wanneer de persoonsgegevens in een archief zitten dat in een archiefbewaarplaats is ondergebracht de persoonsgegevens niet verstrekt hoeven te worden. Of je nu wel of niet aan een inzageverzoek kunt voldoen, je zult altijd binnen 1 maand na het verzoek moeten reageren.

 Aandachtspunten 

– Om te zorgen dat je de persoonsgegevens aan de juiste persoon verstrekt moet je altijd zorgen dat je degene die het inzageverzoek indient op de juiste wijze identificeert. Zo voorkom je direct een datalek.  

– Daarnaast moet je aan betrokkenen duidelijk maken hoe ze een inzageverzoek bij je kunnen doen. Dit neem je bijvoorbeeld op in je privacyreglement. 

– Ook is het verstandig om interne procedures te hebben zodat personeel op de hoogte is hoe ze moeten omgaan met inzageverzoeken, je hebt immers maar 1 maand om te reageren.

 

Privacy Zeker is specialist op het gebied van de AVG en helpt MKB-ondernemers en zzp’ers om te kunnen voldoen. Meer weten? Kijk hier.