De rechten van personen zijn onder de Algemene Verordening Gegevensbescherming uitgebreid en versterkt. Dat betekent dat zij meer controle houden over de persoonsgegevens. Een van deze privacyrechten is het recht op inzage. Met dit recht kunnen betrokkenen bij organisaties een verzoek indienen om de persoonsgegevens in te zien. Organisaties zijn verplicht om hier gehoor aan te geven. Tenzij er sprake is van een uitzonderingssituatie. Met het in werking treden van de AVG moeten organisaties goed voorbereid zijn op eventuele verzoeken. Zodoende is een procedure voor het uitoefenen van privacy rechten onderdeel van een goed privacybeleid.  

Recht op inzage AVG Artikel 15

Artikel 15 van de AVG geeft een betrokkene (degene van wie de organisatie persoonsgegevens verwerkt):
” Het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens (…)”.

Door dit recht uit te oefenen kan een betrokkene controleren welke categorieën van persoonsgegevens worden verwerkt en of de gegevens correct zijn. Bovendien moet u de betrokkene, voorafgaand aan de verwerking, informeren over het gebruik van de persoonsgegevens. Zo moet u de betrokkene onder andere laten weten voor welk doel de gegevens worden verwerkt en hoe lang ze worden bewaard. Veel organisaties nemen dit soort informatie op in een privacyverklaring of privacy statement.

Een betrokkene kan met de verkregen informatie de persoonsgegevens controleren, en indien nodig gebruik maken van de overige privacyrechten. Zoals bijvoorbeeld het recht op rectificatie of recht op vergetelheid.

Wat houdt het recht op inzage in?

Het recht op inzage geeft betrokkenen meer grip op hun persoonsgegevens. Daarnaast kan met dit recht gecontroleerd worden of jouw bedrijf zich aan de regels houdt. Bij een inzage verzoek geeft u de volgende informatie. In de eerste plaats verstrek je een kopie van de persoonsgegevens. In de tweede plaats geef je informatie over de verwerkingen.

Mag een organisatie inzageverzoeken weigeren?

Organisaties kunnen alleen bij uitzonderingen een inzageverzoek weigeren. Dit mag bijvoorbeeld als een betrokkene heel veel verzoeken indient bij dezelfde organisatie. Daarnaast staan er een aantal uitzonderingen in de wet waarin een organisatie inzageverzoeken mag weigeren.

Ten eerste mag een organisatie bij herhaalde verzoeken van een en dezelfde betrokkene weigeren hier gehoor aan te geven. In dit geval moet de organisatie wel kunnen aantonen dat deze verzoeken leiden tot hoge administratieve lasten.

Daarnaast mag een organisatie in de volgende gevallen inzage tot persoonsgegevens weigeren. Bijvoorbeeld als dat noodzakelijk is:

  • voor de openbare veiligheid;
  • om strafbare feiten te voorkomen of op te sporen;
  • om de rechten en vrijheden van anderen te beschermen.
Recht op inzage AVG termijn

Een organisatie is verplicht om binnen één maand per brief of e-mail te reageren op een verzoek om persoonsgegevens in te zien. Maar bij ingewikkelde verzoeken, of in het geval de organisatie meerdere verzoeken van één betrokkene in behandeling heeft. Mag de organisatie er twee maanden langer over doen. Wel moet de organisatie binnen één maand laten weten dat het verzoek langer gaat duren en waarom.

Recht op inzage AVG kosten, mag een organisatie kosten in rekening brengen?

Een organisatie mag geen geld vragen voor het verlenen van inzage in de persoonsgegevens. Tenzij de betrokkene vraagt om extra kopieën. In dit geval mag een organisatie een redelijke vergoeding vragen. Denk hierbij aan de gemiddelde administratieve kosten die doorgaans in rekening worden gebracht. Bovendien mag dit ook als een verzoek tot inzage duidelijk ongegrond of buitensporig is. Dit is bijvoorbeeld het geval als een betrokkene heel veel verzoeken bij hetzelfde bedrijf indient. Daarnaast mag een organisatie bij dit soort gevallen een inzageverzoek afwijzen.

Recht op inzage AVG procedure

Het is verstandig om een procedure in te richten zodat betrokkene van wie u persoonsgegevens verwerkt, hun privacy rechten kunnen uitoefenen. Daardoor kan de organisatie adequaat reageren op eventuele verzoeken. Een betrokkene moet met het inzageverzoek kunnen controleren of de persoonsgegevens kloppen. En ook of de gegevens op een correcte manier zijn verwerkt.

Hieruit volgt dat een organisatie de volgende informatie verstrekt bij een inzageverzoek:

Kopie persoonsgegevens

In het geval iemand inzage wilt in de persoonsgegevens dan heeft diegene daar recht op. Dat betekent dat u een kopie vertrekt van alle persoonsgegevens. Inclusief persoonsgegevens uit e-mails, telefoongesprekken en andere correspondentie. Hieronder valt ook communicatie tussen u en derden. Daarnaast mag iemand ook informatie opvragen over een specifieke verwerking of deel van de persoonsgegevens. Zodoende kan men controleren of u dataminimalisatie toepast.

Informatie over de verwerking

De volgende informatie verstrekt u ook bij een inzage verzoek. Ten eerste verteld u meer over het doel van de verwerking. Ten tweede geeft u informatie over de categorie van de persoonsgegevens. Daarnaast vertelt u of die gegevens worden gedeeld. En wordt het bewaartermijn toegelicht. En ten slotte wijst u de betrokkenen op hun rechten. Veel van deze informatie staat ook al in uw privacyverklaring.

Recht op inzage personeelsdossier AVG

Veel organisaties verwerken niet alleen persoonsgegevens van zakelijke relaties, maar ook van medewerkers. Werkgevers verwerken veel persoonsgegevens van hun medewerkers. Veelal kiezen werkgevers ervoor om deze informatie op te slaan in een personeelsdossier. Maar dit mag alleen als dat noodzakelijk is om een arbeidsovereenkomst op te stellen en uit te voeren. Bovendien moeten organisaties daarbij rekening houden met de privacy van hun medewerkers.

Onder welke voorwaarden mag een personeelsdossier worden bijgehouden?

De Algemene verordening gegevensbescherming en de Uitvoeringswet Algemene verordening gegevensbescherming stellen strikte voorwaarden voor het aanleggen van personeelsdossiers. Zo zijn werkgevers verantwoordelijk voor de correctheid van de gegevens in het dossier. Daarnaast worden er niet meer persoonsgegevens vastgelegd dan nodig is. Bovendien verstrekt de werkgever informatie over de verwerking, de doelen en rechtsgronden. Maar dat is nog niet alles. De werkgever is verantwoordelijk voor de gegevens en moet deze ook op een passende wijze beveiligen. Ten slotte mag een werkgever de persoonsgegevens niet langer bewaren dan noodzakelijk is, of wettelijk is toegestaan.

Mag een medewerker een personeelsdossier inzien?

Met het recht van inzage kan een medewerker het personeelsdossier in zien. Daarnaast kunnen medewerkers een verzoek indienen om gegevens in het personeelsdossier te laten corrigeren, beperken of verwijderen.

Recht op inzage voorbeeldbrief

Voor betrokkene die een beroep willen doen op artikel 12 en 15 van de AVG heeft de toezichthouder een recht op inzage voorbeeld opgesteld. Deze voorbeeldbrief kan gebruikt worden om inzage te krijgen in uw persoonsgegevens. De brief kunt u hier downloaden.

Recht op inzage AVG