Rechten van betrokkenen

Hoe identificeer je de persoon achter een inzageverzoek zonder te veel extra gegevens te vragen?

Eva de Vries Eva de Vries
· · 7 min leestijd

Stel je voor: je krijgt een e-mail. Iemand vraagt om inzage in hun gegevens.

Inhoudsopgave
  1. De valkuil van te veel vragen
  2. Stap 1: Lees het verzoek aandachtig
  3. Stap 2: Check wat je al weet
  4. Stap 3: Strategische vragen stellen
  5. Stap 4: Multi-factor authenticatie (MFA) als bewijs
  6. Stap 5: Documentatie en transparantie
  7. Speciale gevallen vereisen extra focus
  8. Conclusie: Slim en veilig identificeren

Misschien wil diegene weten welke informatie jouw bedrijf heeft opgeslagen, of misschien vraagt iemand anders om gegevens van een familielid.

Het klinkt als een simpele vraag, maar het is eigenlijk een heel delicate operatie. Je moet zeker weten met wie je praat, want je wilt natuurlijk geen gegevens sturen naar de verkeerde persoon. Tegelijkertijd wil je niet zomaar om een paspoortfoto of een heel adres vragen.

Dat voelt te opdringerig en het is vaak niet eens nodig. Dit is de balans tussen beveiliging en privacy. In dit artikel lees je hoe je die identiteit vaststelt, zonder ongemakkelijke vragen te stellen of te veel data te verzamelen.

De valkuil van te veel vragen

Veel organisaties zijn bang om fouten te maken. Als reactie daarop vragen ze bij een inzageverzoek soms om té veel.

Ze vragen een kopie van een ID-bewijs, een bewijs van adres, en soms zelfs meer. Maar wist je dat het opvragen van een identiteitskaart voor een simpele inzagevraag vaak disproportioneel is?

Onder de Algemene Verordening Gegevensbescherming (AVG) mag je alleen gegevens vragen die echt nodig zijn voor het doel. Een paspoortkopie is een zwaar middel. Het risico op identiteitsfraude neemt toe als je zulke gevoelige documenten onnodig verzamelt en opslaat. De kunst is daarom om slim te werken: gebruik wat je al hebt en vraag alleen het allernoodzakelijkste.

Stap 1: Lees het verzoek aandachtig

Voordat je überhaupt nadenkt over identificatie, moet je het verzoek zelf scannen.

Wat wil de persoon precies? Een algemeen verzoek om "alle gegevens" is vaak vaag, terwijl een verzoek om "alle e-mails van januari 2023" heel specifiek is. De context helpt bij de identificatie. Is de toon van het verzoek zakelijk of emotioneel?

Komt het via een officieel kanaal, zoals een e-mailadres dat al bekend is in je systeem, of via een anoniem contactformulier? Een verzoek vanuit een bekend e-mailadres is vaak al half geïdentificeerd.

Een verzoek namens een ander (bijvoorbeeld een ouder die vraagt naar gegevens van een kind) vraagt om extra voorzichtigheid, maar dat betekent niet direct dat je om een ID-bewijs moet vragen.

Je zoekt eerst naar aanwijzingen in de tekst zelf.

Stap 2: Check wat je al weet

Voordat je een extra vraag stelt, kijk je eerst naar de data die je al hebt.

Accountgegevens en e-mailadressen

Dit is de minst invasieve manier van identificeren. Je hoeft niet te vragen om nieuwe gegevens als je de identiteit kunt bevestigen met bestaande informatie. Heeft de verzoeker een account bij jouw organisatie? Dan is het e-mailadres of de gebruikersnaam vaak al een sterke identifier.

Als iemand mailt vanaf het adres waarmee hij of zij geregistreerd staat, is de kans groot dat het de juiste persoon is. Je kunt een bevestigingsmail sturen naar dat adres om zekerheid te krijgen.

Logboeken en metadata

Dat werkt sneller en veiliger dan om een ID-bewijs vragen. Soms helpt techniek.

Logbestanden van je website of app kunnen IP-adressen of apparaat-informatie tonen. Hoewel een IP-adres niet direct een persoon identificeert, kan het wel helpen bij het vaststellen van de herkomst. Als iemand vanaf een bekend IP-adres een verzoek indient, sluit dat onbekende partijen uit.

Eerdere communicatie

Let wel: dit is geen direct bewijs, maar het helpt als aanvullende context bij je beslissing. Heeft deze persoon eerder contact opgenomen?

Kijk in je CRM-systeem of e-mailarchief. Een eerder support-ticket of een chatgesprek kan genoeg informatie bevatten om de persoon te herkennen. Vaak is een uniek klantnummer of een specifieke referentie uit een eerdere mail al voldoende om te zeggen: "Ja, dit is de juiste persoon."

Stap 3: Strategische vragen stellen

Als bestaande data niet genoeg is, moet je vragen stellen. Maar hoe stel je een vraag die veilig is en niet te veel privacy-inbreuk oplevert? Gebruik hiervoor een gestructureerd privacyverzoek-formulier op je website.

Vraag naar een uniek, maar niet persoonlijk kenmerk

Je wilt geen open vragen stellen die leiden tot het delen van gevoelige data. Kies voor specifieke, maar lichte verificatievragen. In plaats van te vragen naar een volledig adres, vraag je naar een deel daarvan.

Gebruik verificatiecodes (OTP)

Bijvoorbeeld: "Kunt u de laatste vier cijfers van uw postcode bevestigen?" of "In welke stad bevindt zich uw hoofdkantoor?" Dit soort vragen bevestigt dat de persoon kennis heeft van de details, zonder dat je een heel nieuw adres in je systeem hoeft op te nemen. Dit is een gouden standaard.

Stuur een One-Time Password (OTP) naar het e-mailadres of het telefoonnummer dat bij het dossier hoort.

De 'controlevraag' met mate

De vraag is simpel: "Voer de code in die we zojuist hebben gestuurd." Dit bewijst dat de verzoeker toegang heeft tot dat specifieke kanaal. Het is anoniem, snel en vereist geen extra persoonlijke gegevens. Diensten zoals Google Authenticator of een simpele SMS-code werken hier perfect voor. Een vraag stellen over een specifieke, bekende gebeurtenis kan helpen.

Denk aan: "Wat was het bedrag van de laatste factuur?" of "Op welke datum is het account aangemaakt?" Dit werkt goed, maar wees voorzichtig. De vraag mag niet te persoonlijk zijn of vragen om gegevens die je eigenlijk niet mag weten. Het doel is identificatie, geen ondervraging.

Stap 4: Multi-factor authenticatie (MFA) als bewijs

Als je systeem MFA (multi-factor authenticatie) ondersteunt, is dat een krachtig hulpmiddel.

Als de verzoeker al is ingelogd met MFA, hoef je eigenlijk niets meer te vragen. De combinatie van wachtwoord en een tweede factor (zoals een app op de telefoon) is al een sterke identificatie. Heeft de verzoeker geen MFA ingesteld?

Dan kun je vragen om dit tijdelijk te activeren of om een verificatielink te klikken. Dit is veiliger dan het opsturen van documenten. Het dwingt de gebruiker actief deel te nemen aan de beveiliging, wat het vertrouwen in het proces versterkt.

Stap 5: Documentatie en transparantie

Wat je ook doet, zorg voor een sluitende verslaglegging. Als je een verzoek ontvangt, moet je vastleggen hoe je de identiteit hebt vastgesteld.

Bijvoorbeeld: "Identiteit bevestigd via OTP naar e-mailadres X" of "Klantnummer Y bevestigd via bestaand CRM-record." Waarom is dit belangrijk? Omdat je moet kunnen aantonen dat je zorgvuldig hebt gehandeld. Als er later een klacht komt of een controle door de Autoriteit Persoonsgegevens, toon je aan dat je geen onnodige gegevens hebt gevraagd.

Wees ook transparant naar de verzoeker toe. Leg uit waarom je een bepaalde vraag stelt: "We vragen alleen om de laatste vier cijfers van uw rekeningnummer om uw identiteit te bevestigen zonder gevoelige data op te slaan."

Speciale gevallen vereisen extra focus

Sommige verzoeken zijn complexer en vragen om een andere aanpak. Hieronder bespreken we een paar situaties waarin je extra alert moet zijn.

Verzoeken via een advocaat of gemachtigde

Als een advocaat namens een cliënt een inzageverzoek indient, hoef je niet de identiteit van de cliënt te controleren via een ID-bewijs. Je controleert de legitimatie van de gemachtigde. Vraag om een schriftelijke machtiging of een inschrijving bij een gerechtshof.

Verzoeken vanuit overheid of instanties

De advocaat is dan de contactpersoon, en jij communiceert via die veilige, professionele lijn. Overheidsinstanties hebben vaak specifieke protocollen.

Verzoeken na overlijden (erfrecht)

Een verzoek van de politie of een belastingdienst komt meestal via een officieel kanaal met een duidelijk stempel of referentienummer.

Hier hoef je zelden extra identificatie voor te vragen; het verzoek zelf is al de verificatie. Een verzoek om gegevens van een overleden persoon is gevoelig. Hier vraag je om een officieel document, zoals een testament of een verklaring van erfrecht. Dit is weliswaar een extra document, maar het is noodzakelijk om de privacy van de overledene te waarborgen en alleen de juiste erfgenamen toegang te geven. Dit is een uitzondering op de regel om zo min mogelijk te vragen, maar hier is het wettelijk verplicht.

Conclusie: Slim en veilig identificeren

Het identificeren van een verzoeker achter een inzageverzoek hoeft geen strijd te zijn tussen veiligheid en privacy. Door eerst te kijken naar wat je al weet, en daarna strategische, lichte vragen te stellen, kom je een heel eind.

Gebruik verificatiecodes, check bestaande logboeken en vraag alleen om specifieke, niet-persoonlijke details als het echt niet anders kan. Door deze aanpak houd je de datastroom minimaal, voldoe je aan de AVG en bouw je vertrouwen op met je gebruikers. Je laat zien dat je hun privacy serieus neemt, zonder in te leveren op beveiliging. Het resultaat? Een soepel proces dat zowel voor jou als voor de verzoeker prettig werkt.

Lees ook
Welke privacyrechten hebben mensen van wie jij gegevens verwerkt? Wat is een inzageverzoek en hoe handel je dat correct af als klein bedrijf? Binnen hoeveel tijd moet je reageren op een inzageverzoek en wat zijn de gevolgen als je dat niet doet? Wat moet je meesturen bij een inzageverzoek: een praktisch overzicht Hoe stel je een intern proces in voor het afhandelen van inzageverzoeken? Wat is het recht op vergetelheid en wanneer moet je gegevens echt verwijderen?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Rechten van betrokkenen

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Welke privacyrechten hebben mensen van wie jij gegevens verwerkt?
Lees verder →