Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

Ons aanbod
Blog > Eén klacht is genoeg. Hoe inzageverzoeken je volledige GDPR-compliance kunnen blootleggen.
Bart Van den Brande

Eén klacht is genoeg. Hoe inzageverzoeken je volledige GDPR-compliance kunnen blootleggen.

07.01.2026 Leesduur: 6 minuten

Deel dit op sociale media

LinkedIn

Veel organisaties vertrekken nog altijd van de veronderstelling dat een klacht bij de Gegevensbeschermingsautoriteit noodzakelijk beperkt blijft tot het concrete probleem dat een betrokkene aankaart. Een discussie over een inzageverzoek of DSAR, een conflict over gegevenswissing of een ontevreden ex-werknemer die een dossier opent bij de GBA wordt dan gezien als een geïsoleerd incident, dat ook als dusdanig zal worden behandeld.

Een vrij recente beslissing van de Geschillenkamer van de GBA bevestigt nog maar eens dat die redenering gevaarlijk kort door de bocht is. In beslissing 91/2025 van 5 juni 2025 wordt expliciet benadrukt dat één specifieke klacht perfect aanleiding kan geven tot een bredere en diepgaande controle van de volledige GDPR-naleving van een organisatie, inclusief verwerkingen en verplichtingen die initieel geen deel uitmaakten van de klacht. Dit sneeuwbaleffect is intussen vaste praktijk en wordt ook gedragen door de rechtspraak van het Marktenhof.

Wie dit risico blijft onderschatten, komt in de praktijk vaak bedrogen uit. 

Een individuele klacht wordt al snel een volledige bedrijfsinspectie…

De beslissing van de Geschillenkamer van 5 juni 2025 is hiervan een bijzonder duidelijk voorbeeld. Het dossier startte met een klacht over de verwerking van persoonsgegevens in het kader van een foutieve schuldinvordering en een daaropvolgend verzoek tot gegevenswissing. Op het eerste gezicht ging het om een beperkt, feitelijk afgelijnd probleem tussen een betrokkene en een verwerkingsverantwoordelijke.

In de loop van het onderzoek beperkte de Inspectiedienst zich echter niet tot die ene verwerking. Ook de privacyverklaring, het register van verwerkingsactiviteiten en de organisatorische invulling van gegevensbescherming binnen de betrokken ondernemingen werden onderzocht. De Geschillenkamer bevestigt daarbij expliciet dat de onderzoeksbevoegdheden van de GBA zich niet hoeven te beperken tot de inhoud van de klacht, maar net dienen om de naleving van de GDPR in haar geheel te beoordelen.

Dat standpunt sluit aan bij eerdere rechtspraak van het Marktenhof, waarin wordt benadrukt dat ondernemingen er rekening mee moeten houden dat één incident aanleiding kan geven tot een integrale inspectie van hun gegevensbeschermingspraktijken. Wie een klacht benadert als een geïsoleerd probleem, miskent fundamenteel hoe de GBA haar rol vandaag invult.

Waarom klachten zo vaak ontstaan uit inzageverzoeken of DSAR’s

In de praktijk zien we dat klachten bij de GBA zelden voortkomen uit uitzonderlijke of technisch complexe verwerkingen. Ze ontstaan meestal uit frustratie over de manier waarop organisaties omgaan met de rechten van betrokkenen. Inzageverzoeken die te laat worden beantwoord, antwoorden die onvolledig blijven of verzoeken tot wissing die intern blijven hangen zonder duidelijke opvolging vormen klassieke aanleidingen voor klachten.

Daarbij gaat het niet alleen om klanten of prospects. Ook personeelsleden en ex-werknemers nemen steeds vaker hun toevlucht tot de GBA, net omdat zij goed weten welke gegevens een organisatie bijhoudt en hoe interne processen lopen. Een inzageverzoek dat intern niet correct wordt opgevolgd, kan in dat geval bijzonder snel escaleren naar een formele procedure.

Een uitgeschreven DSAR-procedure volstaat dan niet. De GBA kijkt niet naar intenties of goede wil, maar naar de concrete werking in de praktijk.

DSAR-processen die alleen op papier bestaan, houden geen stand

Bij inspecties focust de GBA in toenemende mate op aantoonbaarheid. Worden verzoeken systematisch geregistreerd en opgevolgd? Zijn verantwoordelijkheden duidelijk toegewezen en gekend binnen de organisatie? Is het helder waar persoonsgegevens zich bevinden en hoe ze binnen de wettelijke termijnen kunnen worden verzameld en meegedeeld? En kan gegevenswissing technisch en organisatorisch ook effectief worden uitgevoerd?

In beslissing 91/2025 speelt precies dat element een cruciale rol. Een onvolledig register van verwerkingsactiviteiten leidt tot een afzonderlijke vaststelling van een inbreuk, los van de oorspronkelijke klacht. Het argument dat men werkte met een bestaand model of te goeder trouw handelde, wordt uitdrukkelijk verworpen. De verantwoordelijkheid om te voldoen aan de GDPR en dat ook te kunnen aantonen, rust onverkort bij de organisatie zelf.

Ook datalekken blijven een structurele trigger voor controles

Naast DSAR’s vormen datalekken een tweede belangrijke toegangspoort tot inspecties door de GBA. Niet zozeer het incident op zich, maar wel de manier waarop een organisatie daarmee omgaat, bepaalt vaak het verdere verloop. Onduidelijke meldpunten, incidenten die intern blijven circuleren zonder registratie, of laattijdige en defensieve meldingen aan de GBA verhogen de kans op een bredere controle aanzienlijk.

Ook hier geldt dat procedures alleen waarde hebben als ze in de praktijk functioneren. Personeel moet weten waar het een incident meldt, incident response-processen moeten effectief worden toegepast en incidentregisters moeten correct en actueel worden bijgehouden. Organisaties die tijdig, transparant en goed gedocumenteerd handelen, beperken doorgaans de impact van een incident. Wie dat niet doet, vergroot onnodig het risico op escalatie.

Wanneer de GBA controleert, primeert documentatie

Wanneer een organisatie effectief met een inspectie of procedure wordt geconfronteerd, verschuift de aandacht vrijwel volledig naar wat zij kan voorleggen. Registers van verwerkingsactiviteiten moeten actueel zijn en onmiddellijk beschikbaar. Verwerkersovereenkomsten moeten inhoudelijk correct zijn en effectief worden toegepast. Interne processen moeten niet alleen bestaan, maar ook aantoonbaar worden nageleefd.

Ook de rol van de DPO krijgt daarbij steeds meer gewicht. Geschreven adviezen, verslagen van overlegmomenten, jaarverslagen en een duidelijke afbakening van taken zijn geen formaliteiten, maar essentiële elementen om te tonen dat gegevensbescherming structureel is ingebed in de organisatie. De recente beslissing illustreert bovendien dat de GBA ook buiten de oorspronkelijke klacht aandacht heeft voor de positionering en onafhankelijkheid van de DPO.

Wat betekent dit concreet voor jouw organisatie?

Wie inspecties en sancties wil vermijden, doet er goed aan verder te kijken dan juridische teksten en policies. Inzageverzoeken en datalekken zijn terugkerende operationele risico’s die een organisatie perfect onder controle kan houden, op voorwaarde dat processen niet alleen zijn uitgeschreven, maar ook effectief worden toegepast en opgevolgd in de praktijk. Concreet betekent dit onder meer het volgende:

  • Zorg voor een duidelijk en werkbaar DSAR-proces dat niet alleen bestaat op papier, maar ook effectief wordt nageleefd, met vaste interne meldpunten, duidelijke verantwoordelijkheden en actieve opvolging van termijnen.
  • Weet waar persoonsgegevens zich bevinden binnen de organisatie en bij externe verwerkers, zodat inzage, rechtzetting en wissing niet afhangen van ad-hocopzoekingen op het moment dat een verzoek binnenkomt.
  • Hou je registers van verwerkingsactiviteiten en je DSAR- en incidentregisters voortdurend up-to-date, en niet pas wanneer de Inspectiedienst er expliciet naar vraagt.
  • Investeer in een goed datalekproces met gekende meldpunten voor personeel, een duidelijke incident response-aanpak en een consequente documentatie van elk incident, ook wanneer het uiteindelijk niet meldingsplichtig blijkt.
  • Zorg ervoor dat de rol en werking van de DPO aantoonbaar zijn, met geschreven adviezen, verslagen van overlegmomenten en een duidelijke afbakening van taken en verantwoordelijkheden.
  • Voorzie gepaste professionele ondersteuning bij je GDPR-compliancetraject, hetzij intern via een DPO of jurist, hetzij extern, zodat processen niet alleen juridisch correct zijn, maar ook praktisch werkbaar blijven en consistent worden toegepast.

Organisaties die deze basis op orde hebben, staan niet alleen sterker bij een inspectie, maar vermijden vaak al dat klachten of incidenten überhaupt escaleren tot een formeel GBA-dossier.

Heb jij vragen rond GDPR of heb je hulp nodig bij inzageverzoeken, datalekken of inspectiedossiers?

Wordt jouw organisatie geconfronteerd met een inzageverzoek, een datalek of een lopend of dreigend dossier bij de Gegevensbeschermingsautoriteit, of wil je preventief nagaan hoe stevig je huidige processen vandaag staan? Bij Sirius Legal ondersteunen we bedrijven niet alleen bij procedures en inspecties, maar ook bij het uitbouwen en onderhouden van hun GDPR-compliance, onder meer via gerichte compliancebegeleiding, DPO-as-a-service en GDPR-Helpdeskabonnementen ter ondersteuning van interne privacyverantwoordelijken en DPO’s.

Via de link naast dit artikel kan je een gratis kennismakingsgesprek inplannen via videocall. We bekijken samen jouw situatie en geven helder aan waar de risico’s zitten en hoe je ze beheersbaar houdt.

Plan hier je afspraak

Naar onze agenda
Relevante tags Privacy en gegevensbescherming GDPR compliance
Sirius Shop

Interessant voor jou in onze webshop

GDPR Helpdesk
3000 excl. btw
  • GDPR Helpdesk
  • Kickoff meeting of videocall
  • Razendsnel advies binnen de 2 werkdagen

Een permanente hulplijn voor ál je vragen over gegevensbescherming en GDPR door échte specialisten met jarenlange ervaring.

meer

GDPR audit
3500 excl. btw
  • GDPR audit
  • 1 dag ter plaatse
  • Onderbouwd auditverslag

Een pragmatische audit die aangeeft waar je staat op vlak van GDPR compliance, en welke jouw prioritaire to do’s zijn. 

meer

Eerste hulp bij een datalek
2500 excl. btw
  • Eerste hulp bij een datalek
  • Crisisoverleg via videocall

Snelle en professionele on the spot eerste hulp bij datalekken door échte specialisten met jarenlange ervaring.

meer