Betrokkenen hebben recht op inzage van hun persoonsgegevens. Dit volgt uit artikel 15 van de Algemene verordening gegevensbescherming (AVG). Met dit recht op inzage kan een betrokkene controleren welke persoonsgegevens door een organisatie worden verwerkt en of deze persoonsgegevens wel kloppen. Als organisatie dien je binnen 30 dagen op verzoek van de betrokkene informatie te verschaffen over het gebruik van zijn of haar persoonsgegevens. De betrokkene moet onder meer geïnformeerd worden over het doel waarvoor de gegevens worden verwerkt, aan wie de gegevens worden verstrekt en hoe lang deze worden bewaard.

De reikwijdte van het inzageverzoek kan per geval nogal verschillen. Er bestaan grofweg twee smaken: een verzoek om een overzicht van de categorieën van persoonsgegevens, en een verzoek om een kopie van alle persoonsgegevens, die worden verwerkt.

Nadat je als organisatie aan het verzoek om inzage hebt voldaan, kan de betrokkene natuurlijk ook gebruik maken van andere in de AVG opgenomen privacyrechten, zoals het recht om de persoonsgegevens te laten wijzigen of wissen. Bijvoorbeeld als men erachter komt dat de gegevens niet kloppen of deze onrechtmatig gebruikt worden.

Gezien het belang van controle over je eigen persoonsgegevens, is het niet verwonderlijk dat de Autoriteit Persoonsgegevens (AP) streng optreedt bij overtredingen. Het BKR verbond kosten aan het doen van een digitaal inzageverzoek, waarna klachten bij de AP werden ingediend. De toezichthouder tilde hier zwaar aan, en legde een boete op van € 870.000.  

Hoe zorg ik er als organisatie voor dat een overzicht van gegevens verstrekt kan worden?

Het voldoen aan inzageverzoeken kan best een administratieve last met zich meebrengen, zeker wanneer er regelmatig zo’n verzoek binnenkomt. Om ervoor te zorgen dat je als organisatie aan een inzageverzoek van een betrokkene kan voldoen, is het van belang dat de systemen binnen de organisatie zo zijn ingericht dat er gemakkelijk een overzicht van de gegevens verstrekt kan worden. Dit wordt vergemakkelijkt als je als organisatie in een verwerkingsregister opneemt welke gegevens er worden verwerkt en via welke systemen dit gebeurt. Het verwerkingsregister is een overzicht van wat er binnen de organisatie gebeurt met persoonsgegevens en helpt het overzicht te behouden van alle verwerkingsactiviteiten van je organisatie. Het verwerkingsregister bevat onder meer de verwerkingsdoeleinden, de persoonsgegevens en categorieën van betrokkenen. Om op ieder moment aan een inzageverzoek te kunnen voldoen is het van belang om het verwerkingsregister regelmatig bij te werken.

Het opstellen (en bijhouden) van het verwerkingsregister kan ingewikkelder zijn dan het lijkt, omdat het voor organisaties niet altijd duidelijk is wie hun verwerkers zijn. Tips voor het inventariseren van verwerkers zijn hier te lezen.