21 november 2018

AVG: Wat te doen bij een inzageverzoek?

hangslot op toetsenbord

Als een klant aan je vraagt “Welke persoonsgegevens heb je eigenlijk van mij in je bezit?”, dan heet dit een inzageverzoek. Via een inzageverzoek kan iemand een organisatie verplichten om te vertellen welke persoonsgegevens de organisatie van hem in bezit heeft. Het recht van inzage is geen nieuw recht; onder de Wet Bescherming Persoonsgegevens bestond dit recht ook al, maar door de AVG zullen jouw klanten zich wel bewuster zijn geworden van hun rechten met betrekking tot privacy.

Een inzageverzoek is ook een relatief eenvoudige methode voor een buitenstaander om te controleren of een organisatie aan de AVG voldoet. De Volkskrant heeft bijvoorbeeld onderzoek gedaan naar de manier waarop organisaties omgaan met inzageverzoeken. Een aantal leden van Thuiswinkel.org (waaronder Bijenkorf en Coolblue) slaagden met vlag en wimpel voor dit onderzoek. We raden alle leden aan om processen rondom inzageverzoeken goed te stroomlijnen en te controleren of iemand een juiste reactie krijgt als hij beroep doet op zijn privacyrechten.

Bits of Freedom, een vrijwilligersorganisatie met als doel de veiligheid op het internet te stimuleren, heeft een tool ontwikkeld voor consumenten om gemakkelijk verzoeken tot inzage en verwijdering van persoonsgegevens te genereren. Dit kan in de komende periode leiden tot meer inzageverzoeken.

Onder andere hierdoor wil ik jullie graag wat informatie geven over hoe er op een inzageverzoek moet worden gereageerd.

Recht op inzage

Als iemand het recht op inzage uitoefent, betekent dit dat je als organisatie aan diegene moet melden welke persoonsgegevens je van hem/haar hebt vastgelegd. Vraagt iemand om inzage, dan moet je diegene op een duidelijke en begrijpelijke manier laten weten of je zijn persoonsgegevens gebruikt, en zo ja:
  • om welke gegevens het gaat;
  • wat het doel is van het gebruik;
  • aan wie de organisatie de gegevens eventueel heeft verstrekt;
  • wat de herkomst is van de gegevens, als deze bekend is;
  • wat de rechten zijn van de klant en dat hij het recht heeft een klacht in te dienen bij de AP;
  • of er sprake is van geautomatiseerde besluitvorming inclusief profilering;
  • of je persoonsgegevens doorgeeft aan andere landen buiten de Europese Unie of aan internationale organisaties. 

Over deze zaken dien je je klant ook te informeren in je privacy statement. In principe zou je hier de meeste informatie dan ook uit moeten kunnen halen.

Verstrekken overzicht

Als organisatie zijn er drie manieren om je klanten inzage te geven in de persoonsgegevens:
  1. Een volledig overzicht verstrekken

    De wet zegt dat je een ‘volledig’ overzicht aan je klanten moet verstrekken. Het overzicht dient de klant in staat te stellen te controleren of de verwerkte gegevens juist zijn. In principe moet je deze gegevens kunnen terugvinden in je verwerkingsregister. Het is niet noodzakelijk om de e-mailcorrespondentie mee te sturen maar wel noodzakelijk om te laten weten welke persoonsgegevens je hebt en hoe je hieraan bent gekomen. Bijvoorbeeld: ‘via een e-mail hebben wij uw nieuwe adres (Marialaan 12, te Amsterdam) ontvangen’

  2. Kopieën of afdrukken van originele documenten en een overzicht verstrekken

    Naast het verstrekken van het overzicht kunnen ook kopieën van alle originele documenten, zoals e-mails, worden verstrekt. Dit is echter niet verplicht en vaak ook niet aan te bevelen, omdat er ook persoonsgegevens van anderen (zoals de klantenservicemedewerker) in kunnen zijn verwerkt.

  3. Inzage ter plekke

    Je kunt de klant uitnodigen voor een inzage ter plekke. Dit is aan te bevelen als een klant bijvoorbeeld verzoekt om inzage te krijgen in de audiologs die van hem zijn opgenomen in geval van een telefoongesprek. 

Het ligt er dus per verwerking aan op welke wijze de gegevens aan de klant verstrekt moeten worden. Als dit bijzondere persoonsgegevens zijn, kan aan de klant worden gevraagd om fysiek langs te komen. Als het bijvoorbeeld gaat om alleen naam en telefoonnummer lijkt me dit niet noodzakelijk.

Controleren identiteit aanvrager

Alvorens je een inzageverzoek inwilligt, is het noodzakelijk om de identiteit van de verzoeker (de klant) vast te stellen. Dit natuurlijk om te voorkomen dat iemand door het gebruik van de naam van een ander gegevens over deze persoon kan krijgen. De identiteit van de aanvrager vaststellen kan op verschillende manieren. De meest privacyvriendelijke manier is om een knop te maken in de account van de klant. Als de klant moet inloggen om via een knop een inzageverzoek te doen, kan je er redelijk zeker van zijn dat de persoon is wie hij zegt dat hij is. Daarnaast kun je ook vragen aan de persoon om zich te legitimeren via een veilige kopie van zijn identiteitsbewijs. In andere gevallen zal de verzoeker eventueel in persoon moeten verschijnen.

Tip: Test jezelf

Dit soort verzoeken onder de AVG zullen in de toekomst hoogstwaarschijnlijk vaker voor gaan komen. Is jouw organisatie hier klaar voor? Test zelf eens wat je ontvangt als je een inzageverzoek doet. Als de media of een consumentenorganisatie bij webwinkels gaan onderzoeken of zij voldoen aan de AVG,  is het doen van dit soort verzoeken een makkelijke manier om te controleren of een organisatie AVG-compliant is. Zorg er daarom voor dat consumenten die een verzoek doen op tijd de juiste informatie ontvangen.

Meer informatie?

 Heb je nog verdere vragen over de AVG of andere privacygerelateerde onderwerpen? Neem dan contact op met Vincent Romviel (), gespecialiseerd jurist in consumentenrecht en e-commerce bij Thuiswinkel.org.