Rechten van betrokkenen

Hoe documenteer je afgehandelde privacyverzoeken zodat je bewijs hebt bij een klacht?

Eva de Vries Eva de Vries
· · 6 min leestijd

Stel je voor: je krijgt een klacht over de afhandeling van een privacyverzoek. Misschien heeft iemand contact opgenomen met de Autoriteit Persoonsgegevens (AP) of dreigt ermee. Paniek?

Inhoudsopgave
  1. Waarom documentatie je beste vriend is
  2. Stap 1: De ontvangst en registratie
  3. Stap 2: De onderzoeksfase
  4. Stap 3: Communicatie met de verzoeker
  5. Stap 4: De beslissing en uitvoering
  6. Stap 5: Archivering en bewaartermijnen
  7. Stap 6: Tools voor efficiëntie
  8. Conclusie

Nee, niet als je je zaakjes op orde hebt. De manier waarop je privacyverzoeken documenteert, is je sterkste verdediging.

Het is het verschil tussen een hoofdpijndossier en een waterdichte case gesloten. In dit artikel leg ik je precies uit hoe je dat doet: vanaf het moment een verzoek binnenkomt tot het moment het dossier veilig wordt gearchiveerd. We gaan voor een systeem dat niet alleen voldoet aan de wet, maar ook voor jou werkt als het er echt op aankomt.

Waarom documentatie je beste vriend is

Laten we even helder zijn: documentatie is niet zomaar een vervelende verplichting. Het is je bewijslast.

De Algemene Verordening Gegevensbescherming (AVG) eist dat je kunt aantonen dat je verzoeken correct afhandelt.

Zonder goede documentatie sta je met lege handen. Je hebt geen poot om op te staan bij een klacht. Goede documentatie zorgt voor drie dingen: bewijs van naleving, volledige traceerbaarheid en een helder verhaal voor je verdediging.

Je bouwt een dossier op waarin elke stap logisch is en te herleiden is. Zo maak je het jezelf en eventuele toezichthouders makkelijk.

Stap 1: De ontvangst en registratie

Alles begint bij een ijzersterke registratie op het moment dat een verzoek binnenkomt. Dit is het startpunt van je bewijslast. Zorg dat je direct de volgende informatie vastlegt: Een simpele registratie kan er zo uitzien:

  • Uniek referentienummer: Geef elk verzoek een uniek nummer, bijvoorbeeld PRV-2024-05-21-001. Dit maakt het volgen en koppelen van documenten een stuk eenvoudiger.
  • Datum en tijd van ontvangst: Noteer niet alleen de datum, maar ook de tijd. De termijn van 30 dagen voor een reactie begint hier. Bij twijfel is een exact tijdstip je redding.
  • Identificatie van de verzoeker: Leg vast wie het verzoek heeft ingediend. Gebruik de gegevens die de verzoeker zelf aanlevert (naam, e-mailadres). Als het nodig is, controleer je deze gegevens via een betrouwbare bron, zoals een ID-bewijs. Dit voorkomt identiteitsfraude.
  • Type verzoek: Wees specifiek. Gaat het om inzage, correctie, verwijdering of beperking van verwerking? Elke categorie vraagt om een eigen aanpak.
  • Kanaal van binnenkomst: Noteer via welk kanaal het verzoek binnenkwam: e-mail, een online formulier, telefoon of per post. Dit zegt iets over de verwachtingen van de verzoeker.
  • De exacte formulering: Bewaar een kopie van het originele verzoek, inclusief eventuele bijlagen. Gebruik een screenshot of exporteer de e-mail. Je wilt geen discussie over wat er nu precies gevraagd is.
Referentienummer: PRV-2024-05-21-001
Datum Ontvangst: 21 mei 2024
Tijd Ontvangst: 10:15 uur
Verzoeker: Jan Jansen
E-mail: jan.jansen@voorbeeld.nl
Type Verzoek: Inzage persoonsgegevens
Kanaal: E-mail
Oorspronkelijke Formulering: "Ik wil een overzicht van alle gegevens die jullie over mij hebben."

Stap 2: De onderzoeksfase

Zodra het verzoek geregistreerd is, begint het echte werk: het onderzoek. Je moet uitzoeken welke persoonsgegevens relevant zijn en of de verwerking ervan rechtmatig is. Dit is vaak het meest complexe deel, vooral als je met grote hoeveelheden data werkt.

Data discovery en het zoeken naar gegevens

Gebruik tools voor data discovery om persoonsgegevens op te sporen in je systemen.

Denk aan CRM-systemen, e-mailboxen, cloudopslag en financiële applicaties. Een tool helpt je om data te vinden die je anders misschien over het hoofd ziet.

De juridische grondslag bepalen

Leg vast welke systemen je hebt doorzocht en wat je hebt gevonden. Dit toont aan dat je een grondig onderzoek hebt uitgevoerd. Elke verwerking van persoonsgegevens moet een juridische grondslag hebben.

Tijdens je onderzoek bepaal je welke grondslag van toepassing is: toestemming, uitvoering van een contract, wettelijke verplichting of een gerechtvaardigd belang.

Beperkingen identificeren

Leg deze grondslag vast. Het motiveert je beslissing en laat zien dat je de AVG begrijpt. Niet alle gegevens mag je zomaar verstrekken. Denk aan vertrouwelijke informatie over anderen of bedrijfsgeheimen.

Identificeer deze beperkingen en leg uit waarom je bepaalde gegevens eventueel niet verstrekt. Dit voorkomt teleurstelling en juridische discussies.

Documenteer je bevindingen

Leg alle stappen van je onderzoek vast. Welke systemen zijn geraadpleegd?

Welke gegevens zijn gevonden? Welke juridische grondslag is van toepassing? Hoe zit het met beperkingen? Dit vormt de basis voor je uiteindelijke beslissing.

Stap 3: Communicatie met de verzoeker

Transparante communicatie is essentieel. Het bouwt vertrouwen op en voorkomt misverstanden.

Zorg dat je de volgende momenten vastlegt:

  • Bevestiging van ontvangst: Stuur direct na binnenkomst een bevestiging met het referentienummer en een inschatting van de verwerkingstijd. De wettelijke termijn is 30 dagen, maar een realistische inschatting helpt.
  • Statusupdates: Als het verzoek complex is, houd de verzoeker dan op de hoogte. Leg vast dat je een update hebt gestuurd.
  • Afwijzingen uitleggen: Als je een verzoek moet afwijzen, leg dan duidelijk uit waarom. Verwijs naar de desbetreffende artikelen in de AVG. Zorg dat deze uitleg schriftelijk is.
  • Contactgegevens: Geef de verzoeker een contactpersoon. Leg vast wie dit is en hoe deze persoon bereikbaar is.

Stap 4: De beslissing en uitvoering

Na het onderzoek en de communicatie volgt de beslissing. Deze moet gebaseerd zijn op de AVG en moet schriftelijk worden gecommuniceerd.

  • Datum van de beslissing: Wanneer is de beslissing genomen?
  • Motivatie: Waarom is de beslissing genomen? Verwijs naar de juridische grondslag en eventuele beperkingen.
  • Uitvoering: Wat heb je concreet gedaan? Bij inzage: hoe en wanneer zijn de gegevens verstrekt? Bij verwijdering: uit welke systemen zijn de gegevens verwijderd? Bij correctie: welke aanpassingen zijn gedaan?

Leg de volgende elementen vast: Zorg dat de uitvoering beveigd en begrijpelijk is.

Stuur gegevens bijvoorbeeld via een versleutelde e-mail, of gebruik een gebruiksvriendelijk privacyverzoek-formulier op je beveiligde portaal.

Stap 5: Archivering en bewaartermijnen

Als het verzoek is afgehandeld, is het tijd voor archivering. Alle documentatie moet worden bewaard voor een periode die voldoet aan wettelijke bewaartermijnen.

  • De registratie van het verzoek.
  • De onderzoeksbevindingen.
  • De communicatie met de verzoeker.
  • De beslissing en uitvoering.

Dit kan per geval verschillen, maar een veilige vuistregel is minimaal vijf jaar na afhandeling. Gebruik een georganiseerd systeem, zoals een digitaal documentbeheersysteem, waarin je eenvoudig kunt terugvinden: Een goede archivering zorgt ervoor dat je altijd kunt aantonen dat je het verzoek correct hebt afgehandeld, ook jaren later.

Stap 6: Tools voor efficiëntie

Manueel werken kan, maar het is tijdrovend en foutgevoelig. Er zijn tools die je helpen bij het documenteren en beheren van privacyverzoeken, zoals een verzoek om inzage in het personeelsdossier:

  • Data discovery tools: Zoals OneTrust of BigID helpen bij het identificeren van persoonsgegevens in je systemen.
  • Case management systemen: Tools zoals TrustArc of PrivacyPerfect zorgen voor een gestructureerde afhandeling en volgen van verzoeken.
  • Documentbeheersystemen: Gebruik systemen zoals SharePoint of Google Workspace om documenten veilig op te slaan en te organiseren.
  • Workflow automatisering: Tools zoals Zapier of Microsoft Power Automate kunnen repetitieve taken automatiseren, zoals het versturen van bevestigingen.

Kies tools die passen bij de grootte en complexiteit van je organisatie. Een goede tool bespaart tijd en vermindert het risico op fouten.

Conclusie

Goed gedocumenteerde privacyverzoeken zijn je beste verdediging tegen klachten. Door een intern proces voor inzageverzoeken te volgen, van registratie tot archivering, zorg je voor transparantie, traceerbaarheid en bewijslast.

Gebruik de juiste tools om het proces te stroomlijnen en fouten te minimaliseren.

Zo voldoe je niet alleen aan de AVG, maar bouw je ook aan een reputatie van betrouwbaarheid en professionaliteit. Het is een investering die zich dubbel en dwars terugbetaalt.

Lees ook
Welke privacyrechten hebben mensen van wie jij gegevens verwerkt? Wat is een inzageverzoek en hoe handel je dat correct af als klein bedrijf? Binnen hoeveel tijd moet je reageren op een inzageverzoek en wat zijn de gevolgen als je dat niet doet? Hoe identificeer je de persoon achter een inzageverzoek zonder te veel extra gegevens te vragen? Wat moet je meesturen bij een inzageverzoek: een praktisch overzicht Hoe stel je een intern proces in voor het afhandelen van inzageverzoeken?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Rechten van betrokkenen

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Welke privacyrechten hebben mensen van wie jij gegevens verwerkt?
Lees verder →