Laatst maakte ik het weer mee. Een klant belde, lichtelijk in paniek: een klant van mij wil inzage in zijn gegevens wat moet ik nou doen? Wat moet je doen bij een inzageverzoek?

In art. 15 AVG wordt het recht van inzage geregeld. De betrokkenen, degene van wie persoonsgegevens worden verwerkt, hebben het recht om van de verwerkingsverantwoordelijke uitsluitsel te krijgen of die persoonsgegevens van de betrokkene verwerkt en als dat het geval is om inzage te krijgen in de gegevens die verwerkt worden.

Het inzagerecht is niet onbeperkt

Realiseer je dat het inzagerecht niet onbeperkt is. Volgens de Autoriteit Persoonsgegevens moet het inzagerecht wel ruim opgevat worden. Persoonsgegevens uit e-mails, opgenomen telefoongesprekken en correspondentie vallen allemaal onder het inzagerecht.

In haar uitspraak uit mei 2019 (dus al na de inwerkingtreding van de AVG) heeft de Rechtbank Noord-Holland een handvatten gegeven voor de reikwijdte van het inzagerecht. De Rechtbank geeft onder meer aan dat een inzageverzoek:

  • Niet automatisch recht geeft op, inzage van alle bestanden waarin persoonsgegevens voorkomen
  • Niet geldt voor bestanden waar de betrokkene al over beschikt
  • Niet absoluut is, er kunnen uitzonderingsgronden van toepassing zijn

Zaken zoals interne notities en gedachtevormingen vallen niet onder het inzagerecht.  Een rapport dat op basis van die notities is gemaakt valt wel weer onder het inzagerecht.

Ook het volledige document waarin de persoonsgegevens van betrokkenen zijn verwerkt vallen niet onder het inzagerecht. De documenten zelf hoeven dus niet integraal te worden verstrekt. Het voldoet om een begrijpelijk overzicht van de persoonsgegevens die in de documenten zijn opgenomen te verstrekken. Aldus een uitspraak van het Hof van Justitie.

Het Hof Den Bosch heeft verder invulling aan dit criterium gegeven. Per geval dient bekeken te worden of een document persoonsgegevens bevat. Daarnaast dient het verzoek tot een overzicht van de persoonsgegevens van de betrokkene concreet te zijn. Het verzoek mag voor de organisatie niet een veel te omvangrijke en daarmee kostbare zoektocht met zich meebrengen.

Meer recent, september 2019 deed het Hof in Den Haag uitspraak in een zaak waarin een kerklid bij de kerk een verzoek heeft ingediend om inzage te krijgen over haar gegevens. Deze uitspraak geeft meer invulling aan de uitzonderingsgronden die kunnen gelden. Daarin bepaalde het Hof onder meer dat de inzage in vertrouwelijke documenten ook mag worden beperkt als dit noodzakelijk is om de privacy rechten van anderen, in dit geval andere kerkleden, te waarborgen. Je mag dan de documenten anonimiseren. Het vrijgeven van privacygegevens van derden is immers niet relevant voor de beoordeling of de verwerking van de persoonsgegevens van de betrokkene die het verzoek indient, rechtmatig is.

In hetzelfde arrest bepaalde het Hof ook dat het niet uitmaakt of het om objectieve of subjectieve informatie zoals meningen of oordelen gaat, beide soorten vallen onder het inzagerecht. Een verzoek om inzage kan niet zonder meer worden afgewezen op grond dat het gaat om vertrouwelijke, interne notities.

Wat moet je doen bij een inzageverzoek? Eerst scherp kijken welke gegevens onder het inzagerecht vallen en voor welke een uitzonderingsgrond geldt.

 

Organiseer op voorhand het proces

Wat moet je doen bij een inzageverzoek?

De belangrijkste tip is om op voorhand hiervoor een werkproces te hebben. Immers je moet binnen één maand voldoen aan het inzageverzoek. Als het een complex verzoek is, kun je nog een maand extra tijd winnen door de betrokkene dit te melden.

Voor het maken van je werkproces is je Register van verwerkingsactiviteiten een goed vertrekpunt. Op basis van dat register stel je een proces op wat je in gang zet als je een inzageverzoek krijgt. In dat proces beschrijf je de verschillende stappen die genomen moeten worden bij een inzageverzoek. Je kijkt ook waar de gegevens aanwezig (kunnen) zijn en op wie je dus een beroep moet doen.

Uiteindelijk valideer je de gegevens en kijk je of ze onder het inzagerecht, of er uitzonderingsgronden zijn etc. Daarna kun je kopieën naar de betrokkene sturen.

Meer weten hoe je werkprocessen in de privacy praktijk organiseert. In mijn boek “Lean Privacy, efficiënt werken met de AVG” lees je er alles over. Of volg één van de online trainingen.

 

Gerelateerd