ICT Trends en Ontwikkelingen
E-book GDPR: De vier vragen die iedere organisatie zich moet stellen Download

GDPR: wat als iemand inzage in zijn persoonsgegevens wil?

Je hebt je verdiept in de GDPR en je houdt je aan alle onderdelen van de wet. Maar dan vraagt iemand hoe je zijn persoonsgegevens hebt opgeslagen. Hoe geef je daar gehoor aan? Op welke manier moet je dat doen en mag je er kosten voor rekenen?

Dat je persoonsgegevens gebruikt om zaken te kunnen doen, is logisch. Dat je niet zomaar met die gegevens mag doen wat je wilt, is ook een begrijpelijke gedachte. Toch zullen veel organisaties het nodige moeten doen om aan de richtlijnen van de Europese GDPR te voldoen.

Zo mag je vanaf 25 mei 2018 gegevens alleen opslaan en verwerken wanneer de gebruiker daar toestemming voor geeft of wanneer de gegevens nodig zijn om de klant van dienst te kunnen zijn. Daarnaast kan een klant om inzage in zijn persoonsgegevens vragen.

Welke gegevens mogen mensen inzien?

Je klanten of relaties mogen volgens de GDPR vragen of je persoonsgegevens hebt vastgelegd en zo ja welke. Ook hebben mensen het recht om te vragen aan welke organisaties je de gegevens eventueel doorgeeft en hoe lang je de persoonsgegevens bewaart. Ze hoeven niet aan te geven waarom ze deze gegevens willen inzien.

Overigens geldt dit niet voor persoonlijke interne notities die niet in een dossier worden verwerkt. Slaat de organisatie de aantekeningen op in een dossier of verstrekt de organisatie ze aan anderen? Dan heeft degene om wie het gaat wél het recht om die aantekeningen in te zien.

Hoe kan een klant een verzoek om inzage doen?

De GDPR schrijft voor dat je duidelijk moet laten weten hoe iemand een inzageverzoek kan doen. Dat kun je het best in je privacyverklaring opnemen. De Autoriteit Persoonsgegevens adviseert mensen schriftelijk (per brief of per e-mail) het verzoek te doen. Is de klant van mening dat niet aan zijn verzoek wordt voldaan, dan kan hij bij de rechter aantonen welke stappen hij heeft ondernomen. Een voorbeeldbrief van de Autoriteit Persoonsgegevens toont hoe zo’n verzoek er in de praktijk uit kan zien.

Waar is het overzicht voor bedoeld?

Je bent verplicht binnen vier weken schriftelijk of per e-mail te reageren op een inzageverzoek. Het overzicht van gegevens dat je verstuurt, moet begrijpelijk zijn. Dat houdt in dat de klant moet kunnen controleren:

  • of zijn gegevens kloppen;
  • of je zijn gegevens op de juiste manier verwerkt (bijvoorbeeld of je geen gegevens verwerkt die niet ter zake doen of de gegevens in strijd met de wet gebruikt);
  • of het mogelijk is de gegevens te corrigeren of te verwijderen.

Als je er zeker van wilt zijn dat de persoon is wie hij zegt dat hij is, kun je vooraf om een (kopie van) het identiteitsbewijs vragen.

Gaat het om een klant die één keer een bestelling bij je heeft gedaan, dan zal het vrij makkelijk zijn de juiste gegevens te verstrekken. Lastiger wordt het als je een compleet dossier van iemand bijhoudt. Heb je veel informatie over een klant? Dan kun je vragen om aan te geven welke gegevens hij precies wil inzien.

Hoe ziet het overzicht eruit?

Je kunt op drie manieren inzage geven in de persoonsgegevens.

  1. Volledig overzicht: een overzicht waarin in begrijpelijke taal staat welke gegevens je bewaart, waarom je dat doet, welke organisaties deze gegevens ontvangen en hoe je aan de gegevens bent gekomen.
  2. Kopieën of afdrukken: in plaats van een overzicht kun je ervoor kiezen kopieën of afdrukken verstrekken van de stukken die over de persoon in kwestie gaan.
  3. Inzage ter plekke: gaat het om een dik dossier en zou het je te veel moeite kosten om het dossier af te drukken of te kopiëren, dan kun je iemand vragen ter plekke zijn gegevens in te komen zien.

Mag ik de inzage in persoonsgegevens weigeren?

Alleen bij hoge uitzondering mag je een inzageverzoek weigeren. Bijvoorbeeld als de staatsveiligheid in het geding is. Ook als je aan kunt tonen dat de administratieve lasten door het verzoek zo hoog worden dat je organisatie in zijn rechten en vrijheden wordt aangetast, kun je een verzoek weigeren. Ook mag je informatie in het dossier afschermen die over iemand anders gaat.

Mag ik kosten in rekening brengen voor het verzoek?

Voor het verstrekken van kopieën mag je een vergoeding van 23 cent per pagina vragen met een maximum van 5 euro. Je mag daarnaast een vergoeding vragen van hooguit €22,50 als het gaat om meer dan 100 pagina’s, de gegevensverwerking moeilijk toegankelijk is of je een of meer röntgenfoto’s moet afdrukken.

Weten hoe jouw organisatie zich het beste kan voorbereiden op de komst van de GDPR? Download ons e-book!

E-book GDPR: De vier vragen die iedere organisatie zich moet stellen

Reacties (0)

Gelieve in te loggen

Je moet inloggen om een reactie te kunnen plaatsen.