09 augustus, 2019
Auteur: Karen Siemers
In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het recht van inzage. Wat zijn de spelregels vanuit de AVG en wat betekent dat voor uw organisatie?
Het is al langer bekend dat personen, waarvan gegevens worden verwerkt, beschikken over bepaalde ‘rechten van betrokkenen’. Na het recht op dataportabiliteit en gegevenswissing is het in deze blogreeks nu de beurt aan het inzagerecht.
Personen kunnen inzageverzoeken doen bij alle organisaties en instanties die hun gegevens gebruiken. In praktijk blijkt dat dit recht soms wordt gebruikt in context van een discussie die weinig te maken heeft met privacy. Daarbij heeft het gros van de organisaties vaak geen efficiënte manier om op dit soort verzoeken in te gaan. Dat leidt tot frustratie en veel extra werk.
Wat valt onder het inzagerecht?
In lijn met de AVG kan een persoon slechts informatie opvragen wanneer dit eigen persoonsgegevens zijn. Gaat het om gegevens van een kind? Dan mag totdat het kind 16 is de ouder(s) of wettelijke vertegenwoordiger een verzoek doen. Daaronder vallen in ieder geval alle persoonsgegevens die geautomatiseerd worden verwerkt. Voor de offline-gegevens geldt dat wanneer ze in een ‘bestand’ (artikel 4 lid 6 AVG) zitten of bedoeld zijn om daarin te worden opgenomen, ook vallen onder de reikwijdte van het inzagerecht.
Rechtspraak heeft in het verleden uitgewezen dat juridisch analyses of documenten waarin slechts sporadisch de naam van de persoon voorkomt niet beschikbaar gesteld hoeven te worden als iemand daar om vraagt via het inzagerecht. Persoonlijke interne notities die niet bestemd zijn om in een dossier te worden opgenomen vallen eveneens buiten het inzagerecht.
Is een samenvatting van alle gegevens die u van een persoon heeft in dossiers goed genoeg? Volgens de Autoriteit Persoonsgegevens niet. De toezichthouder heeft in lijn met rechtspraak aangegeven dat daarmee een belangrijk deel van de informatiewaarde verloren gaat.
Wat moet u precies laten inzien?
In uitbreiding van wat er in de huidige privacywet staat, geeft de AVG in artikel 15 een lijst van informatie die u moet verstrekken bij een inzageverzoek:
- doeleinden van verwerking;
- categorie persoonsgegevens;
- (categorie) van ontvangers;
- bewaartermijnen;
- dat de verzoeker het recht heeft gegevens te rectificeren of wissen en de verwerking te beperken of bezwaar te maken;
- dat de verzoeker het recht heeft een klacht in te dienen bij de toezichthouder;
- wanneer u de gegevens van een andere partij heeft verkregen, alle beschikbare informatie over deze bron;
- indien van toepassing, het bestaan van geautomatiseerde besluitvorming (incl. profilering) en nuttige informatie over de onderliggende logica, het belang en de verwachte gevolgen
Waar onder de huidige richtlijn lidstaten zelf nog mochten bepalen of een recht op kopie van persoonsgegevens bestond, is de AVG daar helder in. Artikel 15 lid 3 AVG geeft aan dat u een kopie dient te verstrekken.
Mag u inzage weigeren?
Jazeker. Er zijn twee scenario’s denkbaar waarbij u nee kunt verkopen richting personen die hun inzageverzoek indienen. Ten eerste wanneer u geen persoonsgegevens verwerkt van die persoon, of zo minimaal dat ze vallen onder de uitzonderingen zoals hierboven in deze blog geschetst.
Ten tweede geldt er een uitzondering voor het recht van kopie. In artikel 15 lid 3 AVG staat dat het recht om een kopie te verkrijgen geen afbreuk mag doen aan de rechten en vrijheden van anderen. Daarbij kunt u denken aan het recht van privacy (bescherming van persoonsgegevens) van een andere persoon, maar ook aan bedrijfsgeheimen of intellectueel eigendom. De weigering dient u wel goed te beargumenteren én te vertellen tegen degene die het inzageverzoek heeft gedaan.
In Nederlandse uitvoeringswet AVG is nog een extra uitzondering neergelegd voor archiefbescheiden. Het inzagerecht is niet van toepassing op archieven die in een archiefbewaarplaats zijn opgenomen. Voor de overige archiefbescheiden geldt dat wanneer de verzoeken zodanig ongericht zijn, deze mogen worden geweigerd.
Los van de vraag of u kúnt weigeren met een goede reden, moet u onverwijld maar in ieder geval binnen een maand reageren op het verzoek van uw klant of cliënt. Die termijn ligt vast in de AVG, dus daar zijn geen eigen ruimere termijnen voor mogelijk.
Maar: vergeet niet na te denken
Misschien wel het allerbelangrijkste van de praktische uitvoering van het recht op inzage is het volgende: de identificatie van de verzoeker. Voorkom dat de personen binnen uw organisatie gegevens delen met onbevoegde personen. Het is verleidelijk om klantgericht een persoon aan een balie of telefoon direct te willen helpen. Maar u zult de eerste niet zijn die daarmee onbewust een datalek veroorzaakt.
Zorg voor interne procedures
De AVG staat in lijn met het accountability-principe dat organisaties regelingen moeten treffen om het gemakkelijker te maken voor personen om hun de rechten van betrokkenen uit te oefenen. Daarbij hint de AVG op mechanismen voor recht op inzage, correctie en verwijdering. U kunt daarbij er vanuit gaan dat personen bij u ook digitaal een dergelijk verzoek moeten kunnen indienen. Heldere en bruikbare interne procedures kunnen hierbij helpen zonder de klantvriendelijkheid te ondermijnen.
Wil u eens met ons over dit onderwerp sparren? Neem dan gerust contact met ons op.