Stel, je krijgt op een dag een brief van iemand die graag wil weten welke gegevens je precies verzamelt over deze persoon. Deze persoon doet een beroep op zijn inzagerecht van de AVG (1). Weet jij wat je moet doen en heb je alle gegevens paraat?
Een identiteitscheck. Het begint met de identificatie van die persoon. Dat is al een lastige. Inzage in het paspoort op afstand is vaak niet mogelijk. Maar zodra je kopieën van bijvoorbeeld een paspoort of ander identificatiemiddel opvraagt, krijg je onmiddellijk weer te maken met de verwerkingsregels.
De Autoriteit Persoonsgegevens (AP) heeft hiervoor onlangs een boete opgelegd aan DPG Media van EUR 525.000 (2). Aangezien er zoveel gegevens op een paspoort staan, is een kopie opvragen een te zwaar middel, aldus de AP. Dit mag alleen indien er een wettelijke verplichting is en er moet dan goed geïnformeerd worden.
Hoe kan en moet het anders?
* DPG Media heeft het opgelost door een verificatiemail te sturen naar de verzoeker.
* de persoon kan wellicht op een andere manier worden geïdentificeerd, met minder vergaande manieren. Denk bijvoorbeeld aan de gegevens die er al zijn in de bedrijfssystemen: een klant- of relatienummer.
* Mocht er toch een kopie van het paspoort nodig zijn, laat dan de privacygevoelige gegevens afschermen.
Hoe vlieg je zo'n verzoek nu aan?
Voordat je iets gaat aanleveren, is het belangrijk om de termijn in de gaten te houden. Op een inzageverzoek moet binnen 30 dagen schriftelijk gereageerd worden. Het wil niet per definitie zeggen dat je binnen dit termijn ook meteen alle gegevens moet aanleveren. Vaak kan dit niet eens vanwege de reikwijdte van het verzoek.
Ten eerste kun je in die eerste schriftelijke reactie eenmalig extra tijd van nog eens 2 maanden verkrijgen. Meld in je brief dat je deze tijd nodig hebt. Dat geeft wat lucht.
Ten tweede is het belangrijk om de informatie af te bakenen. Een onschuldig verzoek als ‘welke gegevens verzamelen jullie van mij’ kan enorme bergen werk inhouden. Het is belangrijk dat het verzoek gespecificeerd wordt, anders kan het teveel worden en kan hetgeen je aanlevert niet relevant meer zijn voor het doel waarvoor de persoon inzage verlangt. Daarnaast is het een tijdrovend en kostbaar proces om alle data in je organisatie boven water te halen (3).
Waar begin je met zoeken? Het helpt als je je register op orde hebt. Dan zie je in ieder geval waar de categorie gegevens (klant, leverancier, werknemer) zich bevinden. Anders is het een kwestie van alle bestaande IT en niet-IT filing systemen doorzoeken naar de gevraagde persoonsgegevens. Hoe beter je weet wat er en waarom het gevraagd wordt, hoe gerichter je kunt zoeken.
Hoe en wat ga je het aanleveren?
De persoonsgegevens die je hebt gevonden, lever je in kopie aan. Dit kan meestal wel per e-mail, afhankelijk van de hoeveelheid en het gevraagde, waarbij er wel de nodige beveiligingsmaatregelen in acht dienen te worden genomen.
Interne notities en persoonlijke aantekeningen kunnen hier ook onder vallen (4), maar de inzage moet wel beperkt worden voor zover noodzakelijk ter bescherming van de rechten en vrijheden van anderen. Dit wil zeggen dat kopieën moeten worden gegeven als deze bepalend waren voor de besluitvorming van de verzoeker. Als deze echter niet bepalend waren voor de verzoeker, maar voor de besluitvorming van een derde, dan mogen er geen kopieën worden gegeven.
Wat als de betrokkene de informatie al eerder heeft ontvangen? Bekendheid met gegevens is in beginsel geen uitzonderingsgrond (5). Echter hoe vaak mag iemand een herhalingsverzoek indienen? Je mag een dergelijk verzoek gaan weigeren als deze buitensporig gaat zijn vanwege het repetitieve karakter en iemand op deze manier misbruik maakt van zijn inzageverzoek.
En wat kost dat allemaal?
Het verstrekken van de persoonsgegevens is onder normale omstandigheden kosteloos (6), dus dat betekent dat alle gemaakte kosten helaas voor jouw bedrijf zijn en niet verhaald kunnen worden op de verzoekende persoon.
Het is anders wanneer de persoon extra kopieën opvraagt. In dat geval is het geen probleem om hiervoor een redelijke vergoeding te vragen, welke de administratieve kosten enigszins dekken.
Kortom, inzageverzoeken zijn en blijven lastig. Er zijn wat aanknopingspunten en grenzen van wat er aangeleverd moet worden, maar het hangt helaas toch grotendeels af van de praktijk en (het doel en omvang van) een specifiek verzoek.
(1) Neergelegd in artikel 15 AVG. In januari 2022 zijn er nieuwe draft richtlijnen gepubliceerd voor zienswijzen door de European Data Protection Board (EDPB). Het gaat om inzageverzoeken en hoe hiermee om te gaan.
(2) Boetebesluit AP d.d. 14 januari 2022.
(3) Aldus overweging 63 AVG.
(4) Volgens het Gerechtshof Den Haag, uitspraak van 17 september 2019.
(5) Aldus artikel 41 van de Uitvoeringswet AVG (UAVG).
(6) Zo staat in artikel 12 lid 5 AVG.
Add comment
Comments