Vertrouwen is goed, controle is beter. China kan daarover meepraten, zo wordt nog eens pijnlijk duidelijk in dit geweldige artikel. Als inwoners van de EU hebben we het zo bekeken maar goed. Hier kun je immers wettelijk controle uitoefenen over wie welke informatie over jou heeft. Goed, er mogen dan bedrijven zijn die zonder toestemming biometrische gegevens van iedereen verzamelen. En onze eigen overheid heeft ook nog wat aan vertrouwen te winnen, bijvoorbeeld als het op verboden zwarte lijsten of datagedreven werken in gemeenteland aankomt. Maar we hebben dus wettelijk het recht om te weten wat men van ons weet, door het doen van een inzageverzoek. Wat is het en (hoe) werkt het? Een inkijkje in alle inzichten over het inzagerecht.
Het recht op inzage in de persoonsgegevens die een organisatie verwerkt, is één van de zogenaamde rechten van betrokkenen in de Algemene verordening gegevensbescherming (AVG). Het is meteen het meest fundamentele recht, omdat andere rechten, zoals op correctie en vergetelheid, vaak pas kunnen worden uitgeoefend nadat de betrokkene weet wát er te corrigeren of vergeten valt. In de privacyverklaring wordt de betrokkene geïnformeerd over dit recht en hoe een verzoek kan worden ingediend. Er moet bijvoorbeeld een duidelijk contactpunt zijn waar men terecht kan. De verzoeker moet zich legitimeren, maar wel op een privacyvriendelijke manier. Zodra het verzoek is ontvangen, begint de wettelijke termijn van één maand te lopen. Alleen bij heel ingewikkelde verzoeken, kan de organisatie maximaal twee maanden extra tijd nemen. Naast een overzicht of een kopie van de persoonsgegevens moet ook allerlei andere informatie over de verwerking worden aangeleverd, zoals het verwerkingsdoel en de bron van de persoonsgegevens. En oh ja, dit alles mag niets kosten.
Voor de organisatie die als verwerkingsverantwoordelijke aan de slag moet met zo’n verzoek, is het van belang te begrijpen wat het verzoek precies inhoudt. Zoveel mensen (of inzageverzoek-generators), zoveel manieren om om inzage te vragen. De ene dag belt er iemand die zegt: “Ik wil alles weten wat u over mij heeft verzameld!” De volgende dag mailt een ander: “Ik verzoek u hierbij op grond van artikel 15 eerste lid onder a, b, c, etc. AVG, mij binnen de voor u geldende wettelijke termijn per aangetekende post van inzage in mijn dossier te voorzien.” Zo’n verzoek moet dus worden geïnterpreteerd om er op de juiste manier aan te kunnen voldoen. Soms is daar de hulp van de betrokkene bij nodig: als het verzoek te vaag is, is het raadzaam om na te vragen wat er precies wordt bedoeld.
Veel organisaties worstelen met het tijdig voldoen aan inzageverzoeken, zelfs als deze duidelijk geformuleerd zijn. In welke systemen moeten we zoeken, hoe maken we kopieën van al die documenten, moet er misschien informatie worden weggelakt? Alleen met een goed doordachte procedure, waarin de verantwoordelijkheden juist zijn belegd en de keuzes duidelijk uitgelegd, verloopt dit proces soepel. Een bedrijf kan zich natuurlijk veel administratieve last besparen door geautomatiseerd, met één druk op de knop, een kopie van alle persoonsgegevens beschikbaar te maken. Zulke oplossingen zien we nu vooral nog bij grote softwarebedrijven en social media-platforms, waar de ontwikkeling zichzelf al snel terugverdient tegenover het alternatief: een leger dure inzage-medewerkers.
Zoals zo vaak bij het voldoen aan de privacywet, is inzage voor betrokkenen niet een onderwerp op zichzelf. Als organisatie moet je bijvoorbeeld grip hebben op je datastromen, en dus het verwerkingsregister compleet hebben, om snel inzage te kunnen bieden. Een inzageverzoek zal ook pijnlijk blootleggen wanneer informatie eigenlijk langer wordt bewaard dan nodig, dus bewaartermijnen en dataminimalisatie moeten op orde zijn. Omdat het recht op inzage zo centraal staat bij de controle over de eigen persoonsgegevens, is de Autoriteit Persoonsgegevens ook niet zachtzinnig bij een overtreding, zoals de eerder aangehaalde BKR en DPG Media hebben gemerkt.
Meer lezen over dit onderwerp? Lees verder:
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.