icon

Naleving AVG: bedrijven negeren inzageverzoeken massaal

Afgelopen zaterdag publiceerde De Volkskrant de resultaten van een eigen onderzoek naar de naleving van de AVG. Het onderzoek betrof in het bijzonder het inzagerecht: het recht van elke natuurlijke persoon om bedrijven te vragen welke gegevens zij over hem of haar verwerken. De journalisten hadden een tiental bedrijven gevraagd om inzage in de gegevens die over hen werden verwerkt. Slechts drie van de tien aangeschreven bedrijven voldeden volledig, en binnen de daarvoor geldende termijnen, aan de wettelijke verplichtingen.

Toevallig heb ik zelf rond de invoering van de AVG een vergelijkbare test gedaan. In antwoord op een aantal van de vele mails die bedrijven eind mei stuurden (waarover wij eerder kritisch berichtten), heb ik zes bedrijven gevraagd welke gegevens zij over mij verwerkten. Het betrof onder meer een groot internationaal sportmerk, een van de grootste Nederlandse webwinkels en een ticketbedrijf. Slechts van twee bedrijven kreeg ik een reactie: het ticketbedrijf antwoordde mij dat ze naar aanleiding van mijn verzoek alle gegevens over mij verwijderd had; een recruitmentbureau stuurde mij inderdaad het gevraagde overzicht van persoonsgegevens. Helaas heb ik dat overzicht nooit kunnen openen, omdat het met een wachtwoord beveiligd was en mij een onjuist wachtwoord was gestuurd.

Met de mogelijkheden om het inzagerecht uit te oefenen is het dus droevig gesteld, terwijl (ook) deze verplichting niet nieuw is: ook de Wet bescherming persoonsgegevens gaf betrokkenen al een dergelijk recht. Hoe moet u dan wél omgaan met inzageverzoeken?

Artikel 15 van de AVG bepaalt dat iedere persoon het recht heeft om aan de verantwoordelijke te vragen of zij persoonsgegevens over hem verwerkt. Als dat het geval is, moet de verantwoordelijke een kopie van die gegevens verstrekken. Daarnaast moet de verantwoordelijke informatie verstrekken over onder meer de doeleinden van de verwerking, de ontvangers van de gegevens en de rechten van de betrokkene – kortom, alle informatie die in uw privacyverklaring staat.

Het inzagerecht geldt voor álle persoonsgegevens die over de betrokkene worden verwerkt. De kopie van de gegevens zal dus in veel gevallen niet beperkt kunnen worden tot de gegevens die de betrokkene zelf verstrekt heeft; ook gegevens die u over de betrokkene heeft verzameld of aangemaakt, zullen moeten worden verstrekt. Facebook moet dus ook alle informatie die uit andere bronnen (zoals via adverteerders) verzameld is opgeven, en een recruitmentbedrijf zal bijvoorbeeld ook verslagen van gesprekken over de kandidaat moeten verstrekken. Er is wel een grens: de verstrekking mag geen afbreuk doen aan de rechten en vrijheden van derden. Als de gegevens bijvoorbeeld óók betrekking hebben op andere natuurlijke personen, zoals bij de genoemde gespreksverslagen vaak het geval zal zijn, zouden de namen van gesprekspartners onleesbaar kunnen worden gemaakt. Ook mag verstrekking bijvoorbeeld niet leiden tot inbreuk op auteursrechten.

Inzageverzoeken moeten, evenals alle andere verzoeken van betrokkenen (zoals verzoeken om verwijdering en rectificatie), binnen een maand na ontvangst worden beantwoord. Die termijn mag met maximaal twee maanden worden verlengd indien het verzoek complex is of er veel verzoeken worden ingediend, maar die verlenging moet dan wel binnen een maand na ontvangst worden aangekondigd.

Als een betrokkene overdreven veel verzoeken indient of de verzoeken om een andere reden kennelijk ongegrond of buitensporig zijn, kan de verantwoordelijke een redelijke vergoeding rekenen ter dekking van de administratieve kosten. Ook kan op die gronden inzage geweigerd worden. Wel zal de verantwoordelijke moeten aantonen waarom het verzoek kennelijk ongegrond of buitensporig is. In theorie kan inzage ook om andere reden worden geweigerd, zolang opgave wordt gedaan van de redenen daarvoor, maar in de praktijk zal het dan lastig zijn te onderbouwen waarom geen inzage wordt gegeven.

De verantwoordelijke kan de betrokkene vragen om zijn identiteit te bevestigen indien daar twijfels over bestaan. Het moet natuurlijk worden voorkomen dat persoonsgegevens zomaar aan een derde worden verstrekt. De betrokkene kan zijn identiteit bijvoorbeeld door middel van een kopie van een legitimatiebewijs bewijzen. In dat geval moet natuurlijk ook van de verwerking van het legitimatiebewijs opgave worden gedaan!

U ziet dat er nogal wat komt kijken bij het naleven van de verplichtingen rond het recht op inzage. Het verdient daarom aanbeveling om de beantwoording van verzoeken van betrokkenen bij een of enkele medewerkers te beleggen. Dat kan de functionaris voor de gegevensbescherming zijn, een jurist of een willekeurige andere medewerker. De gegevens van deze medewerker, of van een functioneel mailadres als privacy@bedrijf.nl, kunt u opnemen in uw privacyverklaring, zodat verzoeken zoveel mogelijk direct bij de juiste medewerker terecht komen. Ook een duidelijk intern beleid (“wat te doen met inzageverzoeken”) helpt natuurlijk om wél op de juiste manier om te gaan met verzoeken van betrokkenen. Wij helpen u graag om dat beleid vorm te geven!

Heeft u vragen?

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Naleving AVG: bedrijven negeren inzageverzoeken massaal

Schrijf u in voor onze nieuwsbrief

Schrijf u in voor onze nieuwsbrief