Betrokkenen hebben het recht op kennis van het al dan niet verwerken van op hen van toepassing zijnde persoonsgegevens. Dit betekent dat een betrokkene in beginsel het recht heeft om in te zien welke persoonsgegevens van hem of haar verwerkt worden. Dit wordt onder de Algemene Verordening Gegevensbescherming (AVG) het inzagerecht genoemd. Een betrokkene kan een dergelijk verzoek indienen bij de organisatie die als verwerkingsverantwoordelijke wordt aangemerkt. Het indienen van een inzageverzoek is relatief eenvoudig, maar het beantwoorden ervan levert organisaties in de praktijk vaak uitvoeringsproblemen op. Hoe moeten organisaties omgaan met een inzageverzoek? Lumen Group heeft hieronder de belangrijkste punten uit dit factsheet voor u op een rijtje gezet.
Wettelijke verplichtingen inzagerecht
Een verzoek om inzage is ongeclausuleerd. Dit houdt in dat het doel van het verzoek niet bekend gemaakt hoeft te worden. Verder ziet het recht op inzage op alle persoonsgegevens die een verwerkingsverantwoordelijke van een betrokkene kan hebben. Daarnaast kan een verzoek tot inzage per betrokkene met redelijke tussentijd steeds opnieuw worden ingediend.
Stappenplan behandeling inzageverzoek
De behandeling van een inzageverzoek kan worden onderverdeeld in een aantal stappen. Deze worden hieronder kort weergegeven, inclusief de belangrijkste aandachtspunten voor organisaties.
Stap 1: Bepaal ontvankelijkheid van het inzageverzoek
Allereerst zal u moeten nagaan of de betrokkene recht heeft op inzage van persoonsgegevens binnen uw organisatie. Is uw organisatie verwerkingsverantwoordelijke? Dan heeft de betrokkene in beginsel recht op inzage.
- Een verwerkingsverantwoordelijke mag een verzoek tot inzage van betrokkenen niet weigeren, tenzij hij aantoont dat hij helemaal niet in staat is om de betrokkene te identificeren (artikel 12 AVG). Dit betekent dat de verwerkingsverantwoordelijke de identiteit van de verzoeker moet vaststellen indien dat nog niet is gedaan.
- Verder moet de verwerkingsverantwoordelijke nagaan of het verzoek is gericht op het verkrijgen van persoonsgegevens. Dit betreft alle informatie waardoor een bepaald persoon identificeerbaar is, bijvoorbeeld in de vorm van documenten, e-mails, logboeknotities, logfiles, chatgesprekken, opgenomen telefoongesprekken.
- Vervolgens moet de vorm van het inzageverzoekworden gecontroleerd. Een inzageverzoek kan zowel mondeling als schriftelijk worden ingediend. Voor organisaties is het behandelen van een schriftelijk inzageverzoek makkelijker, daarom raden wij aan om alleen deze verzoeken te behandelen. Indien een betrokkene mondeling om inzage verzoekt, kunt u het best verwijzen naar een emailadres waar het verzoek naartoe kan worden gestuurd.
- Tenslotte moeten organisaties beoordelen of ze persoonsgegevens van betrokkenenal dan niet verwerken. Een verzoek tot inzage ziet alleen op eigen persoonsgegevens van de betrokkene. Persoonsgegevens van anderen mogen niet verstrekt worden zonder toestemming van die ander.
Stap 2: Controleer de strekking van het inzageverzoek
De AVG bepaalt welke informatie de verwerkingsverantwoordelijke moet verstrekken aan de betrokkene op grond van een inzageverzoek. Om onnodig werk te voorkomen, adviseren wij organisaties om te vragen aan betrokkenen om hun inzageverzoek af te bakenen.
Te algemeen geformuleerde inzageverzoeken kunnen namelijk misbruik van recht opleveren zo heeft de Rechtbank Amsterdam eerder geoordeeld. Een verzoek om alle verwerkte persoonsgegevens op te vragen zou “niet alleen welhaast praktisch ondoenlijk zijn, maar ook een veel te omvangrijke, en daarmee kostbare zoektocht met zich meebrengen”.
In een andere uitspraak van de Rechtbank Amsterdam is geoordeeld dat een inzageverzoek mag worden geweigerd indien het verzoek “niet strookt met het doel en de strekking van de AVG”, te weten: “controleren of zijn persoonsgegevens juist zijn en rechtmatig worden verwerkt”.
In de praktijk blijkt het bewijzen van misbruik van het recht erg lastig, onder andere omdat een betrokkene geen reden voor het verzoek tot inzage hoeft op te geven. De bewijslast dat de betrokkene het inzagerecht voor een ander doel gebruikt dan nagaan welke persoonsgegevens er van hem of haar worden verwerkt en op welke manier, ligt dan ook bij de organisatie die als verwerkingsverantwoordelijke wordt aangemerkt.
Stap 3: Bepaal de reikwijdte van het inzagerecht
Het inzagerecht kan gelden ten aanzien van documenten met vertrouwelijke (interne) correspondentie, persoonlijke gedachten en/of adviezen ten behoeve van intern overleg, beraad of besluitvorming (interne notities). Toch hoeven persoonsgegevens niet verstrekt te worden als dat evenredig en noodzakelijk is om de rechten en vrijheden van derden te waarborgen. Bijvoorbeeld, notities en aantekeningen hoeven niet verstrekt te worden indien daarin persoonsgegevens zijn opgenomen die zien op de interne oordeelsvorming van een derde (bijvoorbeeld een medewerker) en niet bepalend zijn voor de besluitvorming over de betrokkene.
Op het moment dat dergelijke notities en aantekeningen wel worden verstrekt aan anderen, of indien de documenten bepalend zijn voor de besluit- of oordeelsvorming over de betrokkene door de verwerkingsverantwoordelijke, heeft de betrokkene wel het recht op inzage.
Opgenomen telefoongesprekken vallen ook onder het inzagerecht, omdat ze worden aangemerkt als persoonsgegevens in de zin van de AVG. Ter inzage geldt dat betrokkenen de telefoongesprekken moeten kunnen beluisteren of dat er een transcriptie van moet worden verstrekt.
Stap 4: Verstrek de persoonsgegevens aan de betrokkene
Er dient met een aantal zaken rekening gehouden te worden op het moment dat uw organisatie (als verwerkingsverantwoordelijke) de betrokkene inzage geeft in zijn of haar persoonsgegevens:
- De informatie dient in een gangbare elektronische vorm verstrekt te worden indien de betrokkene het inzageverzoek elektronischheeft ingediend, tenzij de betrokkene anderszins verzoekt.
- In beginsel kunt u middels een overzichtvan alle persoonsgegevens van de betrokkene de betrokkene in staat stellen om te controleren of zijn of haar persoonsgegevens in overeenstemming met de AVG zijn verwerkt.
- Indien de context waarin de gegevens geplaatst moeten worden van belang is, dient te worden overwogen of een kopie van de documenten opgestuurd moet worden. Hierbij dient de privacy van derden gewaarborgd te worden, bijvoorbeeld door het onleesbaar maken van bepaalde onderdelen van de kopieën.
Overige belangrijke punten
Naast de besproken stappen zijn er nog een aantal belangrijke punten waar u rekening mee dient te houden bij de afhandeling van een inzageverzoek.
Termijn voor beantwoording van een inzageverzoek
In beginsel is de verwerkingsverantwoordelijke verplicht om onverwijld, én in ieder geval binnen één maand na ontvangst van het inzageverzoek, de informatie aan de betrokkene te verstrekken.
De verwerkingsverantwoordelijke heeft, afhankelijk van de complexiteit van het verzoek en het aantal verzoeken, de mogelijkheid om de termijn eenmalig met twee maanden te verlengen.
In overleg met de betrokkene zou eventueel nog een keer uitstel aangevraagd kunnen worden. Wees te allen tijde transparant richting de betrokkene.
Kosten van een inzageverzoek
Het verstrekken van een inzage dient kosteloos te geschieden. Een redelijke vergoeding mag alleen gevraagd worden op het moment dat een verzoek van een betrokkene kennelijk ongegrond of buitensporig is, mits goed onderbouwd.
Informatieplicht
Als verwerkingsverantwoordelijke bent u verplicht om betrokkenen te informeren over hun recht op inzage. Door bijvoorbeeld tijdig een privacy statement, privacyverklaring of privacyreglement over te leggen aan betrokkenen kunt u als verwerkingsverantwoordelijke voldoen aan de informatieplicht van de AVG.
