Dankzij het inzagerecht kunnen betrokkenen inzage vragen en krijgen in alle gegevens die een organisatie over hen verwerkt. Op grond van artikel 15 AVG heeft iedereen het recht om te weten welke informatie een organisatie over hem of haar bezit. De EDPB, het Europese comité waarin de nationale privacy toezichthouders zijn verenigd, heeft onlangs nieuwe Guidelines vastgesteld over het inzagerecht. De belangrijkste punten lichten wij uit in deze bijdrage. Ook staan we kort stil bij de visie op het inzagerecht van de Autoriteit Persoonsgegevens (AP), aan de hand van haar boetebesluit inzake DPG Media van 24 februari jl.
Doel en werking van het inzagerecht
Het algemene doel van het inzagerecht is om betrokkenen (de personen wiens persoonsgegevens worden verzameld) te voorzien van transparante en toegankelijke informatie over de verwerking van hun persoonsgegevens, zodat zij een beeld hebben van de informatie die een organisatie over hen verwerkt. Daarnaast dient de juistheid van de gegevens en de rechtmatigheid van de verwerking te kunnen worden nagegaan. Dit zal het de betrokkene in veel gevallen ook gemakkelijker maken om andere rechten uit te oefenen, zoals het recht op rectificatie (art. 16 AVG) of gegevenswissing (art. 17 AVG).
Inzageverzoeken zijn vormvrij en de betrokkene hoeft zijn of haar verzoek niet te motiveren. Het is aan de organisatie die het inzageverzoek ontvangt (de verwerkingsverantwoordelijke) om te zorgen voor passende en gebruiksvriendelijke communicatiekanalen waarop betrokkenen inzageverzoeken kunnen indienen. De betrokkene kan het verzoek ook richten aan een algemeen e-mailadres van de organisatie (zoals een info-adres).
Wat indien u als verwerkingsverantwoordelijke een inzageverzoek ontvangt?
De verwerkingsverantwoordelijke moet in beginsel ieder verzoek in behandeling nemen (zonder voorafgaande beoordeling ervan), behalve wanneer duidelijk is dat het verzoek wordt gedaan op grond van andere regels dan de regels inzake gegevensbescherming (bijvoorbeeld een WOB-verzoek). Tenzij uitdrukkelijk anders vermeld, moet een inzageverzoek worden opgevat als betrekking hebbend op alle persoonsgegevens over de betrokkene. Gaat het om een aanzienlijke hoeveelheid persoonsgegevens? Dan kan de verwerkingsverantwoordelijke de betrokkene vragen om het verzoek te specificeren.
De verwerkingsverantwoordelijke zal in alle digitale en fysieke (archiverings)systemen naar de persoonsgegevens van betrokkene moeten zoeken, op basis van zoekcriteria die de manier weerspiegelen waarop de informatie is gestructureerd, op basis van zoekcriteria zoals naam en klantnummer.
Verzoek om aanvullende informatie of identificatie
Een inzageverzoek kan in principe enkel gericht zijn op persoonsgegevens van de persoon die het verzoek indient. Dit moet echter niet al te restrictief worden geïnterpreteerd. Het kan namelijk ook gegevens over andere personen betreffen, bijvoorbeeld wanneer het gaat om communicatiegeschiedenis van inkomende en uitgaande berichten.
Indien de verwerkingsverantwoordelijke niet in staat is om persoonsgegevens van betrokkene terug te vinden, informeert hij de betrokkene en kan hij inzage weigeren, tenzij de betrokkene aanvullende informatie verstrekt die dit toch mogelijk maakt.
Indien de verwerkingsverantwoordelijke betwijfelt of de betrokkene is wie hij beweert te zijn, kan de verwerkingsverantwoordelijke (zo beperkt mogelijk) aanvullende informatie verzoeken om de identiteit van de betrokkene vast te stellen.
Boete voor DPG Media vanwege onnodig opvragen kopie identiteitsbewijs
De op 24 februari jl. aangekondigde boete van de AP aan DPG Media betrof het opvragen van identificatiegegevens van betrokkenen naar aanleiding van inzage- en verwijderverzoeken. De AP ontving hierover in de periode van mei 2018 tot en met januari 2019 vijf klachten. De klagers hadden een verzoek ingediend door middel van een online contactformulier of per e-mail en ontvingen in reactie daarop van DPG het verzoek om een kopie van hun identiteitsbewijs te verstrekken, als voorwaarde voor het (verder) in behandeling nemen van de ingediende verzoeken. De klager die zich beriep op zijn inzagerecht stuurde DPG de gevraagde kopie toe, maar kreeg daarna alsnog geen inzage.
De AP merkt hierover in het boetebesluit het volgende op:
-
Een verwerkingsverantwoordelijke mag geen onnodige drempels opwerpen voor betrokkenen om het inzagerecht uit te oefenen. Beleid dat de uitoefening van de genoemde rechten belemmert en dit beleid actief uitdraagt, kan een overtreding van artikel 12 lid 2 AVG opleveren;
-
Bij het verifiëren van de identiteit van de verzoeker moeten de opgevraagde persoonsgegevens toereikend en effectief zijn en beperkt zijn tot wat, gelet op het doel noodzakelijk is. De opgevraagde gegevens moeten in verhouding staan tot het doel van de verwerking ervan (proportionaliteit) en dit doel moet niet op een minder nadelige, minder ingrijpende wijze kunnen worden verwezenlijkt (subsidiariteit);
-
Het is onevenredig om een kopie van een ID-bewijs te vragen wanneer de identiteit van de betrokkene op een andere manier kan worden geverifieerd. Bovendien vormt de verwerking van kopieën van ID-bewijzen een groot risico voor de veiligheid van persoonsgegevens. Daar komt bij dat de verwerkingsverantwoordelijke er niet zeker van kan zijn dat de kopie authentiek is en de eigenaar van de identiteitskaart daadwerkelijk de verzoeker is.
Samengevat geeft de AP aan dat het beleid van een verwerkingsverantwoordelijke met betrekking tot de uitoefening van rechten van betrokkenen zo moet zijn ingericht, dat een betrokkene zich op de minst ingrijpende wijze moet identificeren. Het beleid moet zijn afgestemd op (onder meer) het risico voor de rechten en vrijheden van personen, mede gelet op de aard van en hoeveelheid gegevens waarop het verzoek is gerecht en de context waarbinnen het verzoek wordt gedaan. Dit geldt ook indien de verwerkingsverantwoordelijke redenen heeft om te twijfelen aan de identiteit van betrokkene.
Het handelen in strijd met deze uitgangspunten resulteerde voor DPG Media in een boete van € 525.000,-.
Gevolg geven aan het inzageverzoek
Naar aanleiding van een inzageverzoek moet de verwerkingsverantwoordelijke organisatie de volgende drie stappen nemen:
- Bevestiging geven of al dan niet persoonsgegevens van de betrokkene worden verwerkt;
- Inzage geven in deze persoonsgegevens – met inachtneming van het volgende:
- De belangrijkste manier om inzage te geven is door de betrokkene een kopie van zijn gegevens te verstrekken. Andere manieren (zoals mondelinge informatie en toegang ter plaatse) kunnen worden overwogen indien de betrokkene daar om verzoekt. De gegevens kunnen onder andere ook per e-mail worden toegezonden, mits alle nodige (beveiligings)waarborgen worden toegepast, rekening houdend met bijvoorbeeld de aard van de gegevens;
- De kopie van de gegevens en de aanvullende informatie (punt 3) moeten worden verstrekt in een permanente vorm, geschreven of elektronisch downloadbaar (bijvoorbeeld Excel, Word). De gegevens kunnen ook in een transcriptie of gecompileerde vorm worden verstrekt, zolang alle informatie wordt opgenomen en dit de inhoud van de informatie niet verandert;
- De mededeling van gegevens en andere informatie over de verwerking moet worden verstrekt in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, in duidelijke en eenvoudige taal; en
- De gegevens moeten compleet zijn. Zelfs gegevens die mogelijk onjuist of onrechtmatig zijn verwerkt, moeten worden verstrekt.
- Informatie geven over de verwerking van de gegevens, zoals het doel, de categorieën van gegevens en de ontvangers, duur van de verwerking, de rechten van de betrokkenen en passende waarborgen in geval van doorgifte naar derde landen. Deze informatie kan mede gebaseerd zijn op het verwerkingsregister en de privacyverklaring.
Beperkingen op het inzagerecht
De AVG staat de volgende beperkingen van het inzagerecht toe:
a) Het recht inzage te krijgen in de gegevens mag geen afbreuk doen aan de rechten en vrijheden van anderen (artikel 15 lid 4). Het is aan de verwerkingsverantwoordelijke om aan te tonen dat in een concrete situatie de rechten of vrijheden van anderen nadelig worden beïnvloed door het opvolgen van een inzageverzoek. en beroep op deze beperking mag er echter niet toe leiden dat het verzoek geheel terzijde wordt gelegd. Het kan slechts leiden tot het weglaten of het onleesbaar maken van de informatie die negatieve gevolgen zou kunnen hebben voor anderen;
b) Verzoeken die duidelijk ongegrond of buitensporig zijn mogen worden afgewezen of er mag een redelijke vergoeding gevraagd worden voor het opvolgen ervan (artikel 12 lid 5 AVG). Hoe vaker de databank van de verwerkingsverantwoordelijke wordt aangevuld of gewijzigd, hoe vaker de betrokkene om toegang kan verzoeken zonder dat dit buitensporig is; en
c) Het inzagerecht kan ook worden beperkt in de nationale wetgeving van de lidstaten, overeenkomstig artikel 23 AVG en de daarin opgenomen uitzonderingen.
Termijn voor opvolgen van het inzageverzoek
Aan een inzageverzoek moet zo spoedig mogelijk worden voldaan, in ieder geval binnen één maand na ontvangst van het verzoek. Deze termijn kan indien nodig met twee maanden worden verlengd, rekening houdend met de complexiteit en de hoeveelheid bij het verzoek betrokken gegevens. De betrokkene moet in dat geval wel op de hoogte worden gebracht van de reden voor de vertraging.
Boetes onjuist toepassen inzagerecht AVG
Het inzagerecht is een fundamenteel recht onder de AVG. Het niet of het niet op juiste wijze toepassen van dit recht staat op straffe van boetes, zo blijkt wel uit de recente boete voor DPG Media. De Autoriteit Persoonsgegevens heeft eerder het Bureau Krediet Registratie (BKR) een boete opgelegd omdat BKR ten onrechte kosten verbond aan inzageverzoeken.
Meer informatie omtrent het inzagerecht vindt u in de op 18 januari 2022 gepubliceerde (voorwaardelijke) Guidelines over het inzagerecht van de European Data Protection Board.
Heeft u vragen over het afhandelen van inzageverzoeken? Neem contact op met Julia Driessen via julia.driessen@vdb-law.nl of een van de andere leden van het privacy team van VDB Advocaten.