Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

Hoe ga je als bedrijf gepast om met inzageverzoeken onder GDPR?

22.02.2023 Leesduur: 9 minuten

Correct omgaan met de vraag van je klanten of prospects om inzage te krijgen in de gegevens die je over hen verwerkt of zelfs om daar kopie van te ontvangen ligt moeilijk bij heel wat bedrijven.  Betrokkenen hebben onder GDPR een fundamenteel recht op inzage en kopie en van dat recht kan maar in zeer beperkte gevallen afgeweken worden.  

Niet correct of niet tijdig reageren op een inzageverzoek kan verstrekkende gevolgen hebben.  Als je niet binnen de wettelijke termijn van 30 dagen kan antwoorden op de vraag van je klant of prospect, is de kans groot dat de persoon in kwestie een klachtenmailtje stuurt naar de Gegevensbeschermingsautoriteit.  Die laatste geeft meestal wel gevolg aan dit soort klachten en er zijn best wel wat beslissingen van de GBA waarbij bedrijven of organisaties gesanctioneerd worden omdat ze niet of niet tijdig konden reageren.  

Goed voorbereid zijn op zulke “Data Subject Access Requests” of DSAR’s is dus cruciaal voor elke onderneming.  Maar hoe doe je dat en wélke gegevens moet je eigenlijk precies meedelen aan de aanvrager?  We zetten alles even op een rij en houden daarbij ook rekening met een toch erg belangrijke zaak die nog steeds in behandeling is voor het Europees Hof voor Justitie.

Inzageverzoeken? 

Het recht op inzage en kopie is een van de belangrijkste rechten van betrokkenen onder de Algemene Verordening Gegevensbescherming (AVG), ook bekend als de General Data Protection Regulation (GDPR). Dit recht houdt in dat betrokkenen het recht hebben om te weten welke persoonsgegevens over hen worden verwerkt en om hiervan een kopie te ontvangen.

Het recht op inzage en kopie is bedoeld om betrokkenen meer controle te geven over hun persoonsgegevens en om transparantie te bevorderen in de manier waarop bedrijven en organisaties deze gegevens verwerken.

Volgens de GDPR moeten bedrijven en organisaties binnen één maand na ontvangst van een verzoek om inzage en kopie reageren. Deze termijn kan in bepaalde gevallen worden verlengd tot drie maanden, afhankelijk van de complexiteit van het verzoek en het aantal verzoeken dat het bedrijf of de organisatie ontvangt.

Als een betrokkene een verzoek om inzage en kopie indient, moet het bedrijf of de organisatie de betrokkene informeren over welke persoonsgegevens over hem of haar worden verwerkt en op welke manier deze gegevens worden verwerkt. Dit omvat onder meer de categorieën van gegevens, de doeleinden van de verwerking, de ontvangers van de gegevens en de bewaartermijnen.

Het bedrijf of de organisatie moet ook een kopie van de persoonsgegevens verstrekken die worden verwerkt. Als het verzoek elektronisch is ingediend, moet de kopie ook in elektronisch formaat worden verstrekt, tenzij de betrokkene anders verzoekt.

Het recht op inzage en kopie is een van de belangrijkste rechten onder de GDPR en betrokkenen moeten zich bewust zijn van hun recht om deze informatie op te vragen. Bedrijven en organisaties moeten zich er ook van bewust zijn dat zij verplicht zijn om te reageren op deze verzoeken en om ervoor te zorgen dat de persoonsgegevens die zij verwerken nauwkeurig en up-to-date zijn.

Hoe ga je als bedrijf gepast om met DSAR’s? 

Zorg voor controle over je data

Wie inzage in of kopie van persoonsgegevens moet kunnen geven, moet in de eerste plaats wéten welke persoonsgegevens in het bedrijf aanwezig zijn.  de eerste opdracht voor elk bedrijf is dus controle krijgen over je data: welke gegevens hebben we, waar komen die vandaan, met wie zijn die gedeeld en waar zijn ze opgeslagen zijn daarbij cruciale vragen.  Een goed en gedetailleerd dataregister zorgt voor de nodige transparantie en is dus een gouden hulpmiddel om grip te krijgen op je data.  Jammer genoeg slagen heel wat bedrijven er niet in om een goed register van verwerkingsactiviteiten of dataregister te onderhouden.

Weten welke persoonsgegevens binnen je organisatie aanwezig zijn, is echter niet voldoende.  Je zorgt er best ook voor dat je enkel die informatie bijhoudt die echt noodzakelijk is en dat je ze niet langer bewaart dan nodig is.  Bovendien zorg je er best voor dat die informatie op zo weinig mogelijk plaatsen verspreid raakt in je organisatie.  Zorg dus voor goede interne policies en richtlijnen rond opslag van gegevens, zorg voor duidelijkheid over het gebruik van e-mail en chatapplicaties, het gebruik van lokale opslag op laptops en andere devides, het afdrukken en bewaren van papieren dossiers, het gebruik van cloudopslagdiensten, thuiswerk en het meenemen van documenten naar huis, etc…  Hoe meer controle je hebt over je data, hoe groter de kans dat je accuraat en snel kan reageren op inzageverzoeken.

Zorg voor een duidelijk beleid of policy in je bedrijf

Om te beginnen zorg je best voor een duidelijk intern beleid hebben voor het omgaan met inzageverzoeken. Dit beleid moet de procedure beschrijven die het bedrijf volgt om een inzageverzoek te beantwoorden, evenals de termijnen waarbinnen het bedrijf moet reageren. Volgens de GDPR heeft een bedrijf één maand de tijd om te reageren op een inzageverzoek, maar deze termijn kan worden verlengd tot maximaal drie maanden in bepaalde situaties.

Een goed beleid bepaalt verantwoordelijkheden, zorgt voor duidelijke scenario’s en standaard antwoorden en laat de nodige documentatie en controle in opvolging van inzageverzoeken toe.  Een goed beleid bepaalt ook welke gegevens wel en niet gedeeld moeten worden met de aanvragen, of bepaalde documenten al dan niet geanonimiseerd moeten worden alvorens er inzage in te verschaffen, in welke omstandigheden een inzageverzoek of verzoek tot kopie geweigerd zal worden, … 

Tot slot moet een bedrijf ervoor zorgen dat het inzageverzoek wordt gedocumenteerd en dat alle communicatie met de betrokkene wordt bewaard. Dit is belangrijk voor het geval er in de toekomst een geschil ontstaat.

Met andere woorden, een goed beleid laat zo weinig mogelijk aan het toeval over.

Verifieer de identiteit van de aanvrager

Het is vervolgens belangrijk om de identiteit van de betrokkene die het inzageverzoek indient te kunnen verifiëren en om ook daarvoor een vaste policy of procedure te voorzien. Dat kan door de betrokkene te vragen om een kopie van zijn identiteitsbewijs te verstrekken (al mag dat niet de standaard werkwijze zijn volgens de GBA), of door het inzageverzoek te laten ondertekenen en te laten verklaren dat het verzoek door de betrokkene zelf is ingediend.

Welke gegevens moet je dan verstrekken?

Je bent nu klaar om snel en gepast te reageren op inzageverzoeken.  Maar de volgende vraag is welke gegevens je wel en niet zal moeten meedelen als zo’n verzoek effectief ingediend wordt.  

Het principe is eenvoudig: het bedrijf moet alle persoonsgegevens verstrekken die betrekking hebben op de betrokkene en die door het bedrijf zijn verwerkt. Dit omvat niet alleen de gegevens zelf, maar ook informatie over de bron van de gegevens, het doel van de verwerking, de categorieën van gegevens die zijn verwerkt en de ontvangers van de gegevens. Het bedrijf moet deze informatie verstrekken in een duidelijke en begrijpelijke vorm.

Als bedrijf wil je echter niet altijd zomaar kopie verstrekken van alle mogelijke interne documenten, verslagen mails, formulieren, etc… waar toevallig de naam van de aanvrager in voorkomt. De vraag rijst dan al snel welke gegevens je wél moet meedelen en welke niet en of je bijvoorbeeld echt kopie van alle documenten moet afleveren waarin persoonsgegevens voorkomen.

Voor het Europees Hof voor Justitie is al geruime tijd een zaak hangende die precies daarover meer duidelijkheid moet scheppen.  In deze zaak (Österreichische Datenschutzbehörde en CRIF – Zaak C-487/21) is de vraag waarop het Hof antwoord moet geven of de betrokkene recht heeft op een “kopie” van het document dat zijn persoonsgegevens bevat, of dat het voldoende is om een ​​uittreksel te overleggen.

Op het arrest is het nog even wachten, maar het advies van de Advocaat-Generaal (het Openbaar Ministerie van het Europees Hof dus eigenlijk) dat recent publiek gemaakt werd, verschaft alvast heel wat duidelijkheid.  Volgens de Advocaat-Generaal heeft de betrokkene recht op een kopie van zijn persoonsgegevens in een begrijpelijke vorm, maar niet noodzakelijk van de documenten waar die gegevens in verwerkt zijn.  Dat laatste is enkel nodig als het voor de betrokkenen noodzakelijk is om de context van die documenten mee te krijgen om zich een correct beeld te vormen van de verwerking en om de juistheid en rechtmatigheid van de verwerking te verifiëren.

Concreet betekent dit voor jouw bedrijf het volgende:

  • Het uitgangspunt is dat het inzagerecht een betrokkene niet het recht geeft op een kopie van alle documenten die zijn persoonsgegevens bevatten, maar enkel een kopie van de persoonsgegevens zélf.
  • Dit moet echter per geval worden bekeken om ervoor te zorgen dat de verstrekking van het uitgebreidere document niet vereist is om de betrokkene in staat te stellen te begrijpen hoe zijn persoonsgegevens worden verwerkt en zijn rechten uit te oefenen.

Kan je weigeren?

In principe is het recht van de betrokkene om inzage of kopie te krijgen absoluut.  De uitzonderingen zijn zeer beperkt en de tekst in de GDPR die deze uitzonderingen beschrijft is eerder vaag.

Buitensporig verzoek

Ten eerste kan een inzageverzoek worden geweigerd als het verzoek buitensporig of ongegrond is. Bijvoorbeeld, als een individu meerdere malen dezelfde informatie heeft opgevraagd zonder enige reden, of als het verzoek onredelijk complex is, kan een organisatie weigeren het verzoek te honoreren.

Gevaar voor de privacy van anderen (bvb collega’s)

Een organisatie kan ook weigeren om persoonsgegevens te verstrekken als de openbaarmaking van de gegevens de privacy van andere personen zou schenden. Als de persoonsgegevens die worden opgevraagd ook persoonlijke informatie bevatten van andere personen, zoals namen of contactgegevens, kan de organisatie deze informatie mogelijk niet verstrekken.

Bedrijfsbelangen

Een ander scenario waarin een inzageverzoek kan worden geweigerd, is als de persoonsgegevens vertrouwelijke commerciële of bedrijfsinformatie bevatten of nog als de gegevens alleen voor intern gebruik bestemd zijn en openbaarmaking schade kan toebrengen aan de organisatie of de personen die bij de verwerking van de gegevens zijn betrokken.

Rechtsmisbruik

Interessant is de opinie van de Advocaat-Generaal bij het Europees Hof voor Justitie vorig jaar in een andere zaak, waarin gesteld werd dat inzageverzoeken een vorm van rechtsmisbruik kunnen uitmaken als het doel ervan niet is om de eigenlijke verwerking van persoonsgegevens te controleren, maar wel om bewijs te verzamelen ten behoeve van lopende of geplande rechtszaken.  Dat advies maakt duidelijk dat elk inzageverzoek moet worden beoordeeld aan de hand van de transparantiedoelstelling van de GDPR en dat misbruik van het recht voor andere doeleinden gesanctioneerd moet kunnen worden met een weigering om inzage te geven.

Als je weigert…

Als je besluit om geen inzage te verstrekken of als het niet mogelijk is om de inzage te verstrekken, moet je dit duidelijk uitleggen aan de betrokkene. Je moet ook uitleggen welke rechten de betrokkene heeft, zoals het recht om een klacht in te dienen bij de toezichthoudende autoriteit.

Hulp nodig bij (de voorbereiding op) inzageverzoeken of bij GDPR compliance in het algemeen?

Wij helpen je graag verder. Contacteer ons via info@siriuslegal.be of boek via de link hiernaast een gratis kennismakingsgesprek in. 

Maak hier een gratis afspraak