Rechten van betrokkenen

Wat moet je meesturen bij een inzageverzoek: een praktisch overzicht

Eva de Vries Eva de Vries
· · 4 min leestijd

Stel je voor: je krijgt een e-mail. Iemand vraagt om een overzicht van alle persoonsgegevens die jij of je bedrijf van hem of haar heeft. Geen paniek!

Inhoudsopgave
  1. De basis: wat is het doel?
  2. Hoe presenteer je de informatie?
  3. Technische hulpmiddelen voor een soepel proces
  4. Uitzonderingen en specifieke situaties
  5. Verantwoordelijkheid en training
  6. Conclusie

Dit heet een inzageverzoek, of in juridisch jargon: een ‘Right to Access’ verzoek onder de Algemene Verordening Gegevensbescherming (AVG). Het is niet iets om bang voor te zijn, maar iets om goed te doen. Het correct afhandelen van zo’n verzoek is cruciaal.

Het gaat niet alleen om het voldoen aan de wet, maar ook om het bouwen van vertrouwen. In dit artikel lees je precies wat je moet meesturen en hoe je dit slim en snel aanpakt.

De basis: wat is het doel?

Voordat we in de details duiken, even de kern: de AVG geeft mensen het recht om te weten welke data jij van hen hebt.

De minimale set: wat moet er in?

Je moet binnen een maand reageren. Je levert niet alleen een lijstje gegevens, maar geeft ook een heldere uitleg over hoe die gegevens worden gebruikt. Het draait allemaal om transparantie.

Een overzicht van de verwerkte gegevens

Er is een aantal onderdelen dat eigenlijk nooit mag ontbreken in je antwoord. Dit is de basis van je reactie.

  • Geboortedatum, e-mailadres en telefoonnummer.
  • IP-adressen en locatiegegevens van een app of website.
  • Betaalgegevens en aankoopgeschiedenis.
  • Interacties via sociale media of klantenservice.

Dit is het hart van je reactie. Je moet een compleet overzicht geven van alle persoonsgegevens die je hebt.

De rechtvaardiging en ontvangers

Denk niet alleen aan naam en adres, maar bijvoorbeeld ook aan: Het is slim om niet alleen te noemen wat je hebt, maar ook waar het staat (bijvoorbeeld in je CRM-systeem of e-maildatabase) en hoe het wordt gebruikt. Geef aan voor welke specifieke doeleinden de data wordt verwerkt, zoals het uitvoeren van een bestelling of het sturen van een nieuwsbrief. Vergeet niet de bewaartermijn te noemen: hoe lang bewaar je de data en waarom?

  • Toestemming van de persoon.
  • Uitvoering van een overeenkomst.
  • Een wettelijke verplichting.
  • Een gerechtvaardigd belang.

Je moet uitleggen waarom je de gegevens verwerkt. Dit doe je door te verwijzen naar een juridische grondslag uit de AVG:

Kopieën van relevante documenten

Daarnaast moet je duidelijk maken met wie de data wordt gedeeld. Noem de namen van derde partijen, zoals cloud-diensten (bijvoorbeeld Amazon Web Services of Microsoft Azure), marketingbureaus of betaalproviders. Als er sprake is van geautomatiseerde besluitvorming (zoals een algoritme dat prijzen bepaalt), moet je dat uitleggen en aangeven dat er menselijke tussenkomst mogelijk is.

Soms is een overzicht niet genoeg. Je moet soms ook documenten meesturen. Denk aan:

  • Je privacyverklaring.
  • Algemene voorwaarden.
  • Toestemmingsformulieren (als die de basis zijn voor de verwerking).
  • Contracten met derde partijen (voor zover relevant voor de gevraagde data).

Hoe presenteer je de informatie?

De inhoud is belangrijk, maar de vorm is minstens zo cruciaal. Je antwoord moet:

  • Duidelijk en begrijpelijk zijn: vermijd vakjargon.
  • Gestructureerd zijn: gebruik koppen en subkoppen.
  • Toegankelijk zijn: zorg dat de ontvanger de informatie makkelijk kan vinden.
  • In een leesbaar formaat: bijvoorbeeld PDF of HTML.

Een tip: gebruik een sjabloon. Zo weet je zeker dat je niets vergeet en ziet je antwoord er professioneel uit.

Technische hulpmiddelen voor een soepel proces

Handmatig zoeken naar data is tijdrovend. Gelukkig zijn er tools die dit proces versnellen.

  • Data Discovery: het scannen van systemen op persoonsgegevens.
  • Data Extraction: het ophalen van data in een leesbaar formaat.
  • Data Masking: het anonimiseren van gevoelige informatie.
  • API-integratie: het automatisch uitleveren van data.

Denk aan platforms zoals OneTrust, BigID of PrivacyCloud. Deze systemen helpen bij: Deze tools zijn vooral handig bij grote hoeveelheden data of complexe systemen.

Uitzonderingen en specifieke situaties

Soms mag je niet alles geven. Er zijn uitzonderingen op de inzageplicht, ook als je de wettelijke termijn voor inzageverzoeken in acht neemt. Bijvoorbeeld:

  • Als het delen van data de privacy van anderen schendt.
  • Als de data nodig is voor een lopend juridisch onderzoek.
  • Als de data onderdeel is van interne bedrijfsprocessen die niet openbaar mogen zijn (zoals strategische plannen).

In deze gevallen mag je gegevens weigeren of anonimiseren. Leg altijd goed uit waarom je iets niet deelt.

Verantwoordelijkheid en training

Zorg dat je organisatie klaar is voor inzageverzoeken. Wijs een verantwoordelijke aan, train je team en richt een intern proces in. Medewerkers moeten weten:

  • Hoe een verzoek binnenkomt.
  • Hoe het wordt geregistreerd.
  • Hoe de data wordt opgezocht.
  • Hoe het antwoord wordt geformuleerd.

Goede training voorkomt fouten en zorgt voor een snelle afhandeling.

Conclusie

Een inzageverzoek correct afhandelen is een kans om transparant te zijn en vertrouwen op te bouwen.

Door een gestructureerde aanpak en de juiste tools te gebruiken, voldoe je niet alleen aan de AVG, maar laat je ook zien dat je serieus omgaat met de privacy van je klanten. Houd het simpel, duidelijk en altijd met respect voor de persoon achter de data.

Lees ook
Welke privacyrechten hebben mensen van wie jij gegevens verwerkt? Wat is een inzageverzoek en hoe handel je dat correct af als klein bedrijf? Binnen hoeveel tijd moet je reageren op een inzageverzoek en wat zijn de gevolgen als je dat niet doet? Hoe identificeer je de persoon achter een inzageverzoek zonder te veel extra gegevens te vragen? Hoe stel je een intern proces in voor het afhandelen van inzageverzoeken? Wat is het recht op vergetelheid en wanneer moet je gegevens echt verwijderen?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Rechten van betrokkenen

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Welke privacyrechten hebben mensen van wie jij gegevens verwerkt?
Lees verder →