Skip to main content

De European Data Protection Board (EDPB) heeft in januari 2022 richtlijnen gepubliceerd over hoe om te gaan met inzageverzoeken van betrokkenen. Op grond van artikel 15 van de Algemene Verordening Gegevensbescherming (AVG) hebben personen wiens persoonsgegevens worden verwerkt, het recht om inzage te vragen in de persoonsgegevens die door een verwerkingsverantwoordelijke worden verwerkt. In de praktijk betekent dit dat u inzage kunt vragen óf uw persoonsgegevens worden verwerkt, maar ook welke persoonsgegevens worden verwerkt. Op welke manier de verwerkingsverantwoordelijke vervolgens inzage dient te geven in uw persoonsgegevens, wordt in de richtlijnen van het EDPB verder toegelicht.

Inzagerecht

In de AVG is bepaald dat iedere betrokkene recht heeft op inzage in zijn/haar persoonsgegevens die door de verwerkingsverantwoordelijke worden verwerkt (artikel 15 AVG). De drempel voor het verkrijgen van inzage in eigen persoonsgegevens is laag. Een betrokkene hoeft hiervoor geen reden op te geven. Een verwerkingsverantwoordelijke mag ook niet de eis stellen dat de persoonsgegevens slechts worden verstrekt indien de betrokkene deze persoonsgegevens nodig heeft om uitvoering te geven aan een ander recht.

De verwerkingsverantwoordelijke dient na een verzoek binnen vier weken aan de betrokkene te laten weten of er persoonsgegevens van de betrokkene worden verwerkt, maar ook welke persoonsgegevens dit precies zijn. Indien inderdaad persoonsgegevens van de betrokkene worden verwerkt, dan moet de verwerkingsverantwoordelijke kosteloos een kopie van al deze persoonsgegevens aan de betrokkene verstrekken.

Uitzonderingen

Slechts in uitzonderlijke gevallen hoeft de verwerkingsverantwoordelijke geen inzage te verschaffen in de persoonsgegevens die worden verwerkt. Dit is het geval als inzage in de persoonsgegevens afbreuk doet aan de rechten en vrijheden van derden (bijvoorbeeld als daarmee inbreuk wordt gemaakt op bedrijfsgeheimen of intellectuele eigendomsrechten). In dat geval dient een belangenafweging plaats te vinden of inzage in de persoonsgegevens van de betrokkene moet worden gegeven. Ook als een inzageverzoek kennelijk ongegrond of buitensporig is, dan bestaat er geen verplichting om een kopie van de persoonsgegevens aan de betrokkene te verstrekken. Dit is bijvoorbeeld het geval indien dezelfde betrokkene steeds opnieuw inzage vraagt in zijn persoonsgegevens, terwijl er geen reden is om te denken dat in de tussentijd wijzigingen hebben plaatsgevonden in de verwerking. Onder zulke omstandigheden mag de verwerkingsverantwoordelijke ook kosten in rekening brengen bij de betrokkene voor het verstrekken van een nieuwe kopie van de persoonsgegevens.

Verplichting van de betrokkene om zich te identificeren

Voordat de verwerkingsverantwoordelijke de persoonsgegevens aan de betrokkene verstrekt, dient de verwerkingsverantwoordelijke zich te vergewissen van de identiteit van de betrokkene. Dit om te voorkomen dat de persoonsgegevens niet zomaar door een onbevoegd persoon worden opgevraagd. In de praktijk stellen verwerkingsverantwoordelijken daarom vaak de eis dat pas inzage kan worden verstrekt als de betrokkene zich identificeert door middel van een geldig identiteitsbewijs.

Bij de identificatie van een betrokkene geldt het uitgangspunt van dataminimalisatie. De verwerkingsverantwoordelijke mag niet meer gegevens opvragen dan noodzakelijk om de identiteit van de betrokkene vast te stellen. Het kan bijvoorbeeld volstaan om de betrokkene te vragen om in te loggen in de digitale omgeving van de verwerkingsverantwoordelijke. Ook kan er gebruik worden gemaakt van tweefactor-authenticatie. Als er minder bezwaarlijke manieren zijn om de identiteit van een betrokkene vast te stellen, dan mag een identiteitsbewijs niet worden opgevraagd.

Mocht er geen andere mogelijkheid bestaan dan toch het identiteitsbewijs van een betrokkene op te vragen, dan geldt dat de informatie op het identiteitsbewijs die voor identificatie niet relevant is (denk aan foto, BSN-nummer of documentnummer) door de betrokkene mag worden weggelakt. De verwerkingsverantwoordelijke dient de betrokkene hierover vooraf te informeren.

Hoe nu verder?

De EDPB geeft in de richtlijnen belangrijke handvatten voor verwerkingsverantwoordelijken over hoe om te gaan met inzageverzoeken van betrokkenen. Hoewel de richtlijnen op dit moment nog niet definitief zijn (belanghebbenden kunnen op dit moment nog zienswijzen indienen), is de verwachting dat nationale toezichthouders de richtlijnen tot uitgangspunt zullen nemen bij de beoordeling of bedrijven op een juiste manier uitvoering geven aan inzageverzoeken van betrokkenen.

Bent u benieuwd of u op de juiste manier uitvoering geeft aan inzageverzoeken of andere verzoeken tot uitoefening van de rechten van betrokkenen, neem dan contact op met Mayke Linssen of een van de andere specialisten van Team Privacy. Wij helpen u graag verder!

 

 

 

 

 

Februari