Stel, je krijgt op een dag een brief van iemand die graag wil weten welke gegevens je precies verzamelt over deze persoon. Deze persoon doet een beroep op zijn inzagerecht van de AVG.[1]
Een identiteitscheck
Het begint met de identificatie van die persoon. Dat is al een lastige. Inzage in het paspoort op afstand is vaak niet mogelijk., maar je mag zeker ook niet zomaar kopieën van bijvoorbeeld een paspoort of ander identificatiemiddel opvragen.
De Autoriteit Persoonsgegevens (AP) heeft hiervoor een boete opgelegd aan DPG Media van EUR 525.000.[2] Aangezien er zoveel gegevens op een paspoort staan, is een kopie opvragen een te zwaar middel, aldus de AP. Dit mag alleen indien er een wettelijke verplichting is en er moet dan goed geïnformeerd worden.
DPG Media heeft het vervolgens opgelost door een verificatiemail te sturen naar de verzoeker. De persoon kan wellicht ook op een andere manier worden geïdentificeerd, met minder vergaande manieren. Denk bijvoorbeeld aan de gegevens die er al zijn in de bedrijfssystemen: een klant- of relatienummer. Mocht er toch een kopie van het paspoort nodig zijn, laat dan de privacygevoelige gegevens afschermen.
Het beantwoorden van zo’n verzoek
Het is belangrijk om aan een inzageverzoek te voldoen en op een correcte wijze, zo liet de AP vorig jaar zien. Uber Technologies Inc. en Uber B.V. (Uber) kregen een boete opgelegd van EUR 10 miljoen van de AP[3], omdat zo’n 170 chauffeurs een klacht hadden ingediend over het inzagerecht. Uber had het de chauffeurs onnodig ingewikkeld gemaakt om een verzoek in te dienen. Daarnaast werden de verzoeken slordig en ongestructureerd afgehandeld.
Voor een inzageverzoek gelden strikte termijnen. Zo moet binnen 30 dagen schriftelijk gereageerd worden. Het wil niet per definitie zeggen dat je binnen dit termijn ook meteen alle gegevens moet aanleveren, tenzij dit zonder al te veel inspanning wel kan. Vaker is het echter niet mogelijk vanwege de reikwijdte van het verzoek.
Ten eerste kun je in die eerste schriftelijke reactie eenmalig om extra tijd van 2 maanden verzoeken. Meld in je brief dat je deze tijd nodig hebt om de informatie te verzamelen. Dat geeft wat lucht.
Ten tweede is het belangrijk om de informatie af te bakenen. Een onschuldig verzoek als ‘welke gegevens verzamelen jullie van mij’ kan enorme bergen werk inhouden. Het is belangrijk dat het verzoek gespecificeerd wordt, anders kan het teveel worden en kan hetgeen je aanlevert niet relevant zijn voor het doel waarvoor de persoon inzage verlangt. Daarnaast is het een tijdrovend en kostbaar proces om alle data in je organisatie boven water te halen[4]. Het loont om eerst met de verzoeker contact op te nemen. Wellicht zit er iets anders achter, een klacht of frustratie, en kan dit eenvoudig anders worden opgelost.
Wat ga je het aanleveren?
Wanneer het een relevant inzageverzoek is, dan helpt het enorm wanneer het register op orde is. Dan zie je in ieder geval waar de categorie gegevens (klant, leverancier, werknemer) zich bevinden. Anders is het een kwestie van alle bestaande IT en niet-IT systemen te doorzoeken naar de gevraagde persoonsgegevens. Hoe beter je weet wat er en waarom het gevraagd wordt, hoe gerichter je kunt zoeken.
In eerste instantie is het voldoende een overzicht van welke persoonsgegevens in welke systemen aan te leveren. Dit mag een Excel-bestand zijn. Het antwoord dient gegeven te worden op de wijze zoals het verzoek binnenkwam. Dit wil zeggen dat als het verzoek is gedaan per brief, het antwoord per brief terug moet gaan. Indien daarom wordt verzocht, lever je de persoonsgegevens die je hebt gevonden in kopie aan. Let er bij de aanlevering wel op dat de nodige beveiligingsmaatregelen in acht worden genomen.
Interne notities en persoonlijke aantekeningen kunnen hier ook onder vallen[5], maar de inzage moet wel beperkt worden voor zover noodzakelijk ter bescherming van de rechten en vrijheden van anderen. Dit wil zeggen dat kopieën moeten worden gegeven als deze bepalend waren voor de besluitvorming van de verzoeker. Als deze echter niet bepalend waren voor de verzoeker, maar voor de besluitvorming van een derde, dan mogen er geen kopieën worden gegeven.
Wat als de betrokkene de informatie al eerder heeft ontvangen? Bekendheid met gegevens is in beginsel geen uitzonderingsgrond[6]. Echter hoe vaak mag iemand een herhalingsverzoek indienen? Je mag een dergelijk verzoek gaan weigeren als deze buitensporig gaat zijn vanwege het repetitieve karakter en iemand op deze manier misbruik maakt van zijn inzageverzoek.
En wat kost dat allemaal?
Het verstrekken van de persoonsgegevens is onder normale omstandigheden kosteloos[7], dus dat betekent dat alle gemaakte kosten helaas niet verhaald kunnen worden op de verzoekende persoon.
Het is anders wanneer de persoon extra kopieën opvraagt. In dat geval is het geen probleem om hiervoor een redelijke vergoeding (niet meer dan een paar honderd euro max.) te vragen, welke de administratieve kosten enigszins dekken.
Kortom, inzageverzoeken zijn en blijven lastig. Zorg ervoor dat de organisatie goed op de hoogte is, zodat de verzoeken snel en op een juiste manier worden opgepikt en afgehandeld.
[1] Neergelegd in artikel 15 AVG. Zie ook Guidelines 01/2022 on data subject rights – Right of access, 18 jan. 2022 (EDPB).
[2] AP Besluit tot het opleggen van een boete (DPG Media), 14 januari 2022.
[3] AP besluit tot oplegging bestuurlijke boete (Uber), 22 juli 2024.
[4] Aldus overweging 63 AVG.
[5] Aldus het Gerechtshof Den Haag, uitspraak van 17 september 2019.
[6] Aldus artikel 41 van de Uitvoeringswet AVG (UAVG).
[7] Zo staat in artikel 12 lid 5 AVG.