Inzageverzoeken — De complete gids voor FG's

Een inzageverzoek (verzoek van een betrokkene) is een formeel verzoek van een betrokkene aan een verwerkingsverantwoordelijke, waarbij het recht onder Artikel 15 AVG wordt uitgeoefend om bevestiging te verkrijgen of persoonsgegevens worden verwerkt en, zo ja, toegang tot die gegevens samen met specifieke aanvullende informatie. Elke natuurlijke persoon van wie gegevens worden verwerkt kan een inzageverzoek indienen. Er zijn geen formele vereisten — het verzoek kan mondeling, per e-mail, via een webformulier of zelfs via sociale media worden gedaan. De identiteit van de verzoeker moet worden geverifieerd, maar de organisatie mag geen onredelijke drempels opwerpen voor het indienen van een verzoek. Inzageverzoeken zijn niet beperkt tot klanten. Werknemers, voormalige werknemers, sollicitanten, websitebezoekers en zelfs zakelijke contacten kunnen er een indienen. Voor organisaties met aanzienlijke HR-activiteiten zijn werknemersinzageverzoeken vaak het meest complex — met gegevens verspreid over salarissystemen, e-mailarchieven, beoordelingen en meer.

De standaardtermijn voor het reageren op een inzageverzoek is één maand vanaf ontvangst van het verzoek — niet één maand vanaf identiteitsverificatie of bevestiging, maar vanaf ontvangst. Deze termijn wordt berekend per kalendermaand: een verzoek ontvangen op 15 maart is verschuldigd op 15 april. Verlenging is mogelijk onder Artikel 12(3) AVG: als het verzoek bijzonder complex is of als de organisatie een groot aantal verzoeken ontvangt, kan de termijn met twee extra maanden worden verlengd. De verwerkingsverantwoordelijke moet de betrokkene echter binnen de oorspronkelijke termijn van één maand informeren over de verlenging, inclusief de redenen voor de vertraging. In de praktijk kijken de meeste toezichthouders met argwaan naar verlengingen die als standaardpraktijk worden gebruikt. Ze zijn bedoeld voor werkelijk complexe gevallen — niet als standaardbuffer. Als u regelmatig verlengingen nodig heeft, is dat een teken dat uw inzageverzoekproces verbetering behoeft. Voor externe FG's die 15 klanten beheren met gemiddeld 3 inzageverzoeken per klant per jaar, is dat 45 individuele deadlines om bij te houden. Handmatige tracking met agenda-items is foutgevoelig en schaalt niet. Eén gemiste deadline kan resulteren in een klacht bij de toezichthouder en reputatieschade voor zowel de klant als de FG.

Artikel 15 vereist dat verwerkingsverantwoordelijken de volgende informatie verstrekken in antwoord op een inzageverzoek: de doeleinden van de verwerking, de categorieën van betrokken persoonsgegevens, de ontvangers of categorieën ontvangers, de verwachte bewaartermijn of de criteria om deze te bepalen, het bestaan van het recht op rectificatie, wissing of beperking, het recht om een klacht in te dienen bij een toezichthouder, de bron van de gegevens (als deze niet direct bij de betrokkene zijn verzameld) en het bestaan van geautomatiseerde besluitvorming inclusief profilering. Naast deze metadata moet de verwerkingsverantwoordelijke een kopie verstrekken van de persoonsgegevens die worden verwerkt. De eerste kopie moet gratis worden verstrekt; voor extra kopieën mag een redelijke administratieve vergoeding worden gevraagd. Het antwoord moet worden verstrekt in een gangbaar elektronisch formaat als het verzoek elektronisch is gedaan. Het moet beknopt, transparant en in duidelijke, begrijpelijke taal zijn — met name als de betrokkene een kind is.

Niet elk inzageverzoek hoeft volledig te worden ingewilligd. Artikel 12(5) staat verwerkingsverantwoordelijken toe verzoeken te weigeren die "kennelijk ongegrond of buitensporig" zijn — bijvoorbeeld herhaalde verzoeken van dezelfde persoon zonder dat er nieuwe verwerking heeft plaatsgevonden. De bewijslast dat een verzoek kennelijk ongegrond is, ligt bij de verwerkingsverantwoordelijke. Juridisch privilege en bedrijfsgeheimen kunnen ook beperken wat moet worden verstrekt. Als het verstrekken van een volledige kopie van alle gegevens bedrijfseigen algoritmen, bedrijfsstrategieën of informatie over andere personen zou onthullen, mag de verwerkingsverantwoordelijke die specifieke informatie redigeren of achterhouden — maar moet nog steeds op het verzoek als geheel reageren. Inzageverzoeken van werknemers zijn bijzonder complex. Ze betreffen vaak gegevens die door meerdere afdelingen worden bewaard (HR, IT, financiën, management) en kunnen interne communicatie over de werknemer bevatten. Toezichthouders verwachten over het algemeen dat organisaties alle relevante systemen doorzoeken, inclusief e-mail, maar vertrouwelijke managementdiscussies over herstructurering of disciplinaire maatregelen kunnen onder bepaalde omstandigheden zijn uitgezonderd. Documenteer bij twijfel uw redenering voor eventuele beperkingen of uitzonderingen. Toezichthouders zijn veel begripvoller wanneer een verwerkingsverantwoordelijke een doordacht, gedocumenteerd besluitvormingsproces kan tonen dan wanneer ze stuiten op algemene weigeringen.