AVG Recht op inzage persoonsgegevens. Handleiding waarmee u een hoge boete zoals Theodoor Gilissen kunt voorkomen
Vermogensbeheerder Theodoor Gilissen moest de Autoriteit Persoonsgegevens (AP) 48.000 Euro boete betalen omdat het bedrijf weigerde slechts een van zijn klanten inzicht te geven in zijn persoonsgegevens. Deze klant diende een klacht in. Door de informatie niet te delen overtrad de private bank privacyregelgeving.
De hoge boete is een wake-up call voor alle organisaties die nog geen privacybeleid voor de Algemene Verordening Gegevensbescherming (AVG) hebben ontwikkeld. Iedereen die dacht dat in het gedoogland Nederland het wel mee zou vallen met de boetes is nu gewaarschuwd.
Privacyverklaring en cookiebanner
Veel bedrijven denken dat ze aan de AVG voldoen als zij hun website maar op orde hebben. Ze hebben snel een privacyverklaring gekopieerd van een ander bedrijf en soms een cookiebanner geplaatst. En dat was het dan.
De boete die vermogensbeheerder Theodoor Gilissen kreeg maakt duidelijk dat er toch wel iets meer moet gebeuren. En dat laconieke reacties duur kunnen uitpakken.
Hoe zit het eigenlijk met het recht op inzage binnen de AVG?
Wat moeten organisaties doen om te voorkomen dat zij net zo’n hoge boete als Theodoor Gilissen krijgen?
Dat leggen we in dit artikel uit.
De Algemene verordening gegevensbescherming geeft mensen meer zeggenschap over hun persoonsgegevens. Ze hebben het recht om te vragen welke gegevens een organisatie van hen heeft. Ze mogen ook vragen deze gegevens in te zien. In de AVG (artikel 15) staat dit recht beschreven als ‘recht op inzage’.
- Personen hebben recht op toegang tot hun persoonsgegevens.
- Particulieren kunnen een verzoek om toegang tot een onderwerp mondeling of schriftelijk indienen.
- Een organisatie heeft een maand de tijd om op een verzoek te reageren.
- Er mogen in de meeste omstandigheden geen kosten in rekening worden gebracht voor het afhandelen van een verzoek.
Laten we eerst eens kijken hoe ver uw organisatie is. Hoe staat het met de voorbereiding van uw organisatie op verzoeken die mensen in kunnen dienen op basis van het recht op inzage?
Een checklist: hoeveel vinkjes kunt u zetten?
☐ Wij weten hoe we een verzoek om inzage in persoonsgegevens kunnen herkennen en begrijpen wanneer het toegangsrecht van toepassing is.
☐ Wij hebben een beleid voor het registreren van mondelinge verzoeken om inzage die wij ontvangen.
☐ Wij begrijpen wanneer wij een verzoek om inzage kunnen weigeren en zijn ons bewust van de informatie die wij aan individuen moeten verstrekken wanneer wij dit doen.
☐ Wij begrijpen de aard van de aanvullende informatie die wij moeten verstrekken naar aanleiding van een verzoek om inzage van persoonsgegevens.
☐ We beschikken over processen om ervoor te zorgen dat we zonder onnodige vertraging en binnen een maand na ontvangst reageren op een verzoek om toegang tot een verzoek om inzage van persoonsgegevens.
☐ Wij zijn ons bewust van de omstandigheden waarin wij de termijn voor het beantwoorden van een verzoek om inzage van persoonsgegevens kunnen verlengen.
☐ We begrijpen dat er bijzondere nadruk wordt gelegd op het gebruik van duidelijke en duidelijke taal als we informatie bekendmaken aan een kind.
☐ We begrijpen wat we in overweging moeten nemen als een verzoek informatie over anderen bevat.
Wat is het recht op inzage?
Bovenstaande checklist roept bij organisaties die zich nog niet in de AVG verdiept hebben ongetwijfeld vragen op. Vele vragen waar we in dit artikel op in zullen gaan.
- Wat is het recht op inzage?
- Waar heeft een persoon recht op?
- Hoe herkennen we een verzoek om inzage?
- Moeten we een speciaal formulier op onze site plaatsen waarmee mensen om inzage van hun persoonsgegevens kunnen vragen?
- Hoe moeten we de persoonsgegevens verstrekken?
- Moeten we de inhoud van de informatie die we naar het individu sturen ook uitleggen?
- Kunnen we kosten in rekening brengen
- Hoe lang moeten we hieraan voldoen
- Kunnen we de antwoordtermijn op een verzoek om inzage van persoonsgegevens verlengen?
- Mogen we een individu om ID vragen
- Hoe zit het met verzoeken om grote hoeveelheden persoonsgegevens?
- Hoe zit het met verzoeken die namens anderen worden gedaan?
- Hoe zit het met verzoeken om informatie over kinderen?
- Wat moeten we doen als de gegevens ook informatie over anderen bevatten?
- Als we externe verwerkers gebruiken, betekent dit dan dat ze te maken zouden kunnen krijgen met alle verzoeken om inzage tot een onderwerp dat ons aangaat?
- Kunnen we weigeren een verzoek in te willigen?
- Wat moeten we doen als we een verzoek weigeren in te willigen?
- Kan ik van een persoon verlangen dat hij of zij een verzoek om toegang tot een onderwerp indient?
- Wat is het recht op toegang?
Het recht op inzage geeft personen het recht een kopie van hun persoonsgegevens en andere aanvullende informatie te verkrijgen. Het helpt mensen om te begrijpen hoe en waarom u hun gegevens gebruikt en bij controle of u het wettig doet.
Waar heeft een persoon recht op?
Personen hebben het recht om van u het volgende te verkrijgen:
- de bevestiging dat u hun persoonsgegevens verwerkt
- een kopie van hun persoonsgegevens
- andere aanvullende informatie – dit komt grotendeels overeen met de informatie die u in een privacyverklaring moet verstrekken
Persoonlijke gegevens andere mensen
Iemand heeft alleen recht op zijn eigen persoonlijke gegevens, en niet op informatie met betrekking tot andere mensen (tenzij de informatie ook over hen gaat of zij namens iemand handelen).
Daarom is het belangrijk dat u vaststelt of de gevraagde informatie onder de definitie van persoonsgegevens valt. U moet rekening houden met:
- de doeleinden van de verwerking
- de betrokken categorieën persoonsgegevens
- de ontvangers of categorieën ontvangers aan wie de persoonsgegevens worden verstrekt
- de bewaartermijn voor de persoonsgegevens of, indien dit niet mogelijk is, de criteria aan de hand waarvan wordt bepaald hoe lang de gegevens bewaard worden
- het recht om te verzoeken om rectificatie, uitwissing of beperking of om bezwaar te maken tegen een dergelijke verwerking
- het recht om een klacht in te dienen bij het Autoriteit Persoonsgegevens of een andere toezichthoudende autoriteit
- informatie over de bron van de gegevens, indien deze niet rechtstreeks van de betrokkene is verkregen
- het bestaan van geautomatiseerde besluitvorming (met inbegrip van profilering)
- de waarborgen die de organisatie biedt wanneer persoonsgegevens doorgegeven worden aan een derde land of een internationale organisatie
Het kan zijn dat veel van deze informatie al in de privacyverklaring op de website staat. Dat zou volgens de AVG ook het geval moeten zijn.
- Hoe herkennen we een verzoek om inzage?
De AVG geeft niet aan hoe een geldig verzoek moet worden ingediend. Daarom kan een persoon een verzoek zowel mondeling of schriftelijk indienen. En een verzoek kan binnen iedere afdeling of bij iedere medewerker in de organisatie binnenkomen. Ook via social media.
Een organisatie mag indieners niet verplichten verzoeken in te dienen bij een specifieke persoon of contactpersoon. Hoe overzichtelijk en praktisch dat ook zou zijn.
Een verzoek hoeft niet de zinsnede “verzoek om toegang voor de betrokkene” of artikel 15 van de AVG te bevatten, zolang maar duidelijk is dat de betrokkene om zijn eigen persoonsgegevens vraagt.
Dit is een uitdaging bij veel organisaties, omdat elke medewerker een geldig verzoek kan ontvangen. Hoe zorgt u er dan voor dat dit verzoek ook meteen wordt doorgegeven naar de juiste medewerker en dat die dat ook binnen de wettelijke termijn van 1 maand kan afhandelen?
Zeker grotere bedrijven zullen hier beleid en afspraken met hun personeel over moeten maken.
Organisaties hebben de wettelijke verantwoordelijkheid om vast te stellen dat een persoon een verzoek heeft ingediend en dit verzoek dienovereenkomstig te behandelen.
Daarom is het voor organisaties ook belangrijk om privacybeleid te ontwikkelen en al het personeel awareness trainingen te laten geven.
Het is verstandig om een interne of externe privacy manager aan te stellen die hiervoor verantwoordelijk wordt. PrivacyZone kan daarbij helpen.
Het is van groot belang om in kaart te brengen welke medewerkers regelmatig in contact komen met personen en dus moeten weten hoe ze een verzoek om inzage kunnen herkennen en hoe ze daarmee om moeten gaan.
Daarnaast is het verstandig om beleid te hebben voor het vastleggen van de details van de verzoeken die u ontvangt, met name die welke telefonisch of persoonlijk worden gedaan.
U kunt dan bij de aanvrager nagaan of u hun verzoek hebt begrepen, omdat dit latere geschillen over hoe u het verzoek hebt geïnterpreteerd, kan helpen voorkomen.
We raden ook aan een logboek bij te houden van mondelinge verzoeken.
-
Moeten we een speciaal formulier op onze site plaatsen waarmee mensen om inzage van hun persoonsgegevens kunnen vragen?
Standaardformulieren kunnen het zowel voor de organisatie als voor de aanvrager gemakkelijker maken.
Voor een organisatie is het eenvoudiger om een verzoek om inzage herkennen. En voor de aanvrager om alle gegevens door te geven die u nodig bent om de gewenste informatie binnen de organisatie te vinden.
De AVG raadt organisaties aan “te voorzien in middelen om verzoeken elektronisch in te dienen, met name wanneer persoonsgegevens langs elektronische weg worden verwerkt”.
Met een standaardformulier waarmee het recht op inzage kan worden uitgeoefend komt u dus tegemoet aan de AVG.
Echter, zelfs als u over een formulier beschikt, dient u er rekening mee te houden dat een verzoek om toegang tot een onderwerp geldig is als het op enigerlei wijze wordt ingediend, zodat u nog steeds moet voldoen aan verzoeken die u ontvangt in een brief, een standaard e-mail of mondeling.
U kunt personen uitnodigen of stimuleren om een formulier te gebruiken, maar u moet wel duidelijk maken dat dit niet verplicht is en dat u dit niet mag gebruiken om de antwoordtermijn van een maand te verlengen.
-
Hoe moeten we de gegevens aan individuen verstrekken?
Als een persoon een verzoek elektronisch indient, moet u de informatie in een algemeen gebruikt elektronisch formaat verstrekken, tenzij de persoon anders verzoekt.
De AVG bevat een aanbeveling voor organisaties om, waar mogelijk, mensen zelf via elektronische systemen toegang te geven tot hun eigen persoonsgegevens. Mensen zouden bijvoorbeeld online kunnen inloggen in een persoonlijk overzicht. Dit geldt overigens niet alleen voor externe verzoeken, maar ook voor interne verzoeken van medewerkers.
Sommige bedrijven hebben bijvoorbeeld al een systeem waarmee medewerkers in hun eigen personeelsdossier kunnen kijken en zelf wijzigingen kunnen aanbrengen.
Dit zal niet voor alle organisaties geschikt zijn, maar er zijn enkele sectoren waar dit goed zou kunnen werken.
Het verlenen van toegang op afstand mag echter geen negatieve gevolgen hebben voor de rechten en vrijheden van anderen – met inbegrip van handelsgeheimen of intellectuele eigendom.
- We hebben een verzoek om inzage ontvangen, maar moeten de gegevens aanpassen voordat we het antwoord kunnen versturen. Mogen we de “oude” versie versturen?
Wij zijn van mening dat een verzoek om toegang tot een onderwerp betrekking heeft op de gegevens die werden bewaard op het moment dat het verzoek werd ontvangen.
Echter, in veel gevallen kan routinematig gebruik van de gegevens leiden tot het wijzigen of zelfs verwijderen van de gegevens tijdens de behandeling van het verzoek.
Het zou dus redelijk zijn dat u informatie verstrekt waarover u beschikt wanneer u een antwoord verstuurt, zelfs als dit verschilt van de informatie waarover u beschikte toen u het verzoek ontving.
Maar het is niet acceptabel om de gegevens aan te passen of te verwijderen als u dat anders niet zou hebben gedaan.
Het is ook strafbaar om wijzigingen aan te brengen met de bedoeling openbaarmaking ervan te voorkomen.
- Moeten we de inhoud van de informatie die we naar het individu sturen uitleggen?
De AVG vereist dat de informatie die u aan een individu verstrekt, beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk is, in duidelijke en eenvoudige bewoordingen. Dit is met name van belang wanneer de informatie tot een kind is gericht.
Op het meest basale niveau betekent dit dat de aanvullende informatie die u in antwoord op een verzoek verstrekt begrijpelijk moet zijn voor de gemiddelde persoon (of het gemiddelde kind).
Voorbeeld 1
Een persoon vraagt om zijn persoonlijke gegevens. Bij het voorbereiden van de reactie merkt u dat veel ervan gecodeerd is. Bijvoorbeeld, het bijwonen van een bepaalde trainingssessie wordt gelogd als “A”, terwijl het niet bijwonen van een gelijkaardig evenement wordt gelogd als “M”. Bovendien bestaat een deel van de informatie uit moeilijk leesbare handgeschreven notities.
Zonder toegang tot uw sleutel of index om deze informatie uit te leggen, zou het voor iedereen buiten uw organisatie onmogelijk zijn om deze te begrijpen.
In dit geval moet u de betekenis van de gecodeerde informatie uitleggen. Hoewel dit een goede gewoonte is, hoeft u de slecht geschreven aantekeningen niet te ontcijferen, aangezien de GDPR niet vereist dat u informatie leesbaar maakt.
Voorbeeld 2
U krijgt een verzoek voor toegang tot een onderwerp van iemand die vrij slecht Nederlands of Engels spreekt. U stuurt een antwoord en zij vragen u om de informatie die u hen heeft gestuurd te vertalen. U bent niet verplicht om dit te doen, zelfs niet als de persoon die het ontvangt niet alles kan begrijpen omdat het kan worden begrepen door de gemiddelde persoon. Het is echter een goede gewoonte om individuen te helpen de informatie die u over hen bewaart te begrijpen.
- Mogen we kosten in rekening brengen?
In de meeste gevallen kunt u geen kosten in rekening brengen om te voldoen aan een verzoek om toegang tot een onderwerp.
Zoals hierboven echter al is opgemerkt, kunt u alleen bij een kennelijk ongegrond of overdreven verzoek een “redelijke vergoeding” in rekening brengen voor de administratieve kosten om aan het verzoek te voldoen.
U kunt ook een redelijke vergoeding in rekening brengen als een individu na een verzoek meer kopieën van zijn gegevens aanvraagt.
U moet de vergoeding baseren op de administratieve kosten van het verstrekken van meer kopieën.
- Binnen welke termijn moeten we aan een verzoek om inzage voldoen?
U moet zonder onnodige vertraging en uiterlijk binnen een maand na ontvangst reageren op het verzoek om toegang tot het onderwerp.
U moet de termijn berekenen vanaf de dag nadat u het verzoek hebt ontvangen (of de dag erna nu een werkdag is of niet) tot de overeenkomstige kalenderdatum in de volgende maand.
Voorbeeld 3
Een organisatie ontvangt een verzoek op 3 september. De termijn gaat in op de volgende dag (4 september). Dit geeft de organisatie tot 4 oktober de tijd om aan het verzoek te voldoen.
Als dit niet mogelijk is omdat de volgende maand korter is (en er is geen overeenkomstige kalenderdatum), is de datum voor antwoord de laatste dag van de volgende maand.
Als de overeenkomstige datum in een weekend of op een feestdag valt, hebt u tot de volgende werkdag de tijd om te reageren.
Dit betekent dat het exacte aantal dagen dat u aan een verzoek moet voldoen varieert, afhankelijk van de maand waarin het verzoek is gedaan.
Voorbeeld 4
Een organisatie ontvangt een verzoek op 30 maart. De termijn gaat in op de volgende dag (31 maart). Aangezien er geen overeenkomstige datum in april is, heeft de organisatie tot 30 april de tijd om aan de aanvraag te voldoen.
Als 30 april in een weekend valt of een feestdag is, heeft de organisatie tot het einde van de volgende werkdag de tijd om zich aan te passen.
Om praktische redenen kan het, indien een consistent aantal dagen vereist is (bv. voor operationele of systeemdoeleinden), nuttig zijn een periode van 28 dagen vast te stellen om ervoor te zorgen dat de naleving altijd binnen een kalendermaand plaatsvindt.
- Mogen we de antwoordtermijn verlengen?
U kunt de antwoordtermijn met nog eens twee maanden verlengen als het een complex verzoek betreft of als u een aantal verzoeken van de betrokkene hebt ontvangen. U moet de betrokkene dan wel binnen een maand na ontvangst van zijn verzoek zeer goed gemotiveerd laten weten waarom de verlenging nodig is.
De Autoriteit Persoonsgegevens is van mening dat het onwaarschijnlijk is dat het redelijk is om de termijn te verlengen als:
- de motivatie kennelijk ongegrond of buitensporig is
- een vrijstelling van toepassing is
- u een identiteitsbewijs verlangt voordat u het verzoek in overweging neemt
- Mogen we om een identificatiebewijs vragen?
Als u twijfelt over de identiteit van de persoon die de aanvraag doet, kunt u om meer informatie vragen. Het is echter belangrijk dat u alleen informatie opvraagt die nodig is om te bevestigen wie ze zijn. De sleutel daartoe is evenredigheid.
U moet de persoon zo snel mogelijk laten weten dat u meer informatie van hem of haar nodig hebt om zijn of haar identiteit te bevestigen voordat u op zijn of haar verzoek reageert.
De termijn om op het verzoek te reageren begint te lopen vanaf het moment dat u de aanvullende informatie ontvangt.
- Hoe zit het met verzoeken om grote hoeveelheden persoonsgegevens?
Als u een grote hoeveelheid informatie over een persoon verwerkt, kunt u hen om meer informatie vragen om hun verzoek te verduidelijken. U mag alleen vragen om informatie die u redelijkerwijs nodig hebt om de persoonlijke gegevens waarop het verzoek betrekking heeft te vinden.
U moet het individu zo snel mogelijk laten weten dat u meer informatie van hen nodig hebt voordat u op zijn verzoek reageert.
De termijn om op het verzoek te reageren begint te lopen vanaf het moment dat u de aanvullende informatie ontvangt.
Als iemand echter weigert om aanvullende informatie te verstrekken, moet u nog steeds proberen om aan zijn verzoek te voldoen, dat wil zeggen door het maken van redelijke zoekopdrachten naar de informatie waarop het verzoek betrekking heeft.
Hoe zit het met verzoeken die namens anderen worden gedaan?
De AVG belet niet dat een persoon een verzoek indient via een derde. Vaak zal dit een advocaat zijn die namens een cliënt optreedt, maar het kan ook gewoon zijn dat iemand zich prettig voelt als iemand anders voor hem of haar kan optreden.
In deze gevallen moet u ervan overtuigd zijn dat de derde die het verzoek indient gerechtigd is om namens het individu op te treden, maar het is de verantwoordelijkheid van de derde om het bewijs van deze gerechtigdheid te leveren.
Dit kan een schriftelijke volmacht zijn om het verzoek te doen of een meer algemene volmacht.
Voorbeeld 5
Een bank heeft een oudere klant die naar een bepaalde vestiging gaat om wekelijks een opname te maken van een van haar rekeningen. De laatste jaren wordt ze altijd begeleid door haar dochter die ook klant is van het filiaal.
De dochter doet namens haar moeder een verzoek om toegang voor een vertrouwenspersoon en legt uit dat haar moeder dit verzoek niet zelf kan doen omdat zij de ins en outs van gegevensbescherming niet begrijpt.
Aangezien de informatie waarover de bank beschikt meestal van financiële aard is, is zij terecht voorzichtig met het verstrekken van klantgegevens aan derden. Als de dochter een algemene volmacht zou hebben, zou de bank daar graag aan voldoen. Ze vragen de dochter of ze zo’n macht heeft, maar die heeft ze niet.
Aangezien het personeel van het bankfiliaal de dochter kent en enige kennis heeft van de relatie die zij met haar moeder heeft, zou het kunnen overwegen om aan het verzoek te voldoen door vrijwillige verstrekking van informatie. De bank is daartoe echter niet verplicht en het zou niet onredelijk zijn om een formele volmacht te eisen.
Als u denkt dat een persoon mogelijk niet begrijpt welke informatie zou worden onthuld aan een derde die namens hem een verzoek om toegang tot een onderwerp heeft ingediend, kunt u het antwoord rechtstreeks naar de persoon sturen in plaats van naar de derde.
De betrokkene kan er dan voor kiezen de informatie met de derde te delen nadat hij in de gelegenheid is gesteld deze te bekijken.
Er zijn gevallen waarin een individu niet de mentale capaciteit heeft om zijn eigen zaken te regelen.
Hoewel de AVG geen specifieke bepalingen bevat die een derde in staat stellen om namens een dergelijke persoon toegangsrechten uit te oefenen, is het redelijk aan te nemen dat een gevolmachtigde die bevoegd is om de eigendommen en zaken van een persoon te beheren, over het passende gezag zal beschikken.
Hetzelfde geldt voor een persoon die door een rechtbank is aangewezen om over dergelijke zaken te beslissen.
- Hoe zit het met verzoeken om informatie over kinderen?
Zelfs als een kind te jong is om de implicaties van het omgangsrecht te begrijpen, is het nog steeds het recht van het kind en niet van iemand anders, zoals een ouder of voogd.
Het is dus het kind dat recht heeft op toegang tot de informatie die over hem of haar wordt bewaard, ook al worden deze rechten in het geval van jonge kinderen waarschijnlijk uitgeoefend door degenen die voor hen de ouderlijke verantwoordelijkheid dragen.
Voordat u reageert op een verzoek om toegang tot informatie over een kind, moet u overwegen of het kind volwassen genoeg is om hun rechten te begrijpen.
Als u er zeker van bent dat het kind zijn rechten begrijpt, moet u meestal rechtstreeks op het kind reageren.
U kunt de ouder echter toestaan om de rechten van het kind namens hen uit te oefenen als het kind dit toestaat of als duidelijk is dat dit in het belang van het kind is.
Van belang is dat het kind in staat is (in grote lijnen) te begrijpen wat het betekent om een verzoek om toegang tot een onderwerp in te dienen en hoe de informatie die het daardoor ontvangt te interpreteren.
Bij het overwegen van grensgevallen moet u onder andere rekening houden met:
- de mate van rijpheid van het kind en zijn vermogen om dergelijke beslissingen te nemen
- de aard van de persoonsgegevens
- eventuele rechterlijke beslissingen in verband met de ouderlijke bevoegdheid of de ouderlijke verantwoordelijkheid
- een eventuele geheimhoudingsplicht jegens het kind of de jongere
- de eventuele gevolgen van het feit dat de personen die de ouderlijke verantwoordelijkheid dragen toegang hebben tot de informatie van het kind of de jongere. Dit is met name van belang als er beschuldigingen van misbruik of mishandeling zijn geuit
- schade voor het kind of de jongere indien personen met ouderlijke verantwoordelijkheid geen toegang hebben tot deze informatie
- de meningen van het kind of de jongere over de vraag of hun ouders toegang moeten hebben tot informatie over hen
-
Wat moeten we doen als de gegevens ook informatie over anderen bevatten?
Het beantwoorden van een verzoek om inzage in persoonsgegevens kan inhouden dat informatie wordt verstrekt die zowel betrekking heeft op de persoon die het verzoek indient als op een andere persoon.
U hoeft niet aan het verzoek te voldoen als het zou betekenen dat u informatie openbaar maakt over een andere persoon die aan de hand van die informatie kan worden geïdentificeerd, behalve als:
- de andere persoon met de openbaarmaking heeft ingestemd
- het redelijk is aan het verzoek te voldoen zonder de toestemming van de betrokkene
Om te bepalen of het redelijk is om de informatie bekend te maken, moet u rekening houden met alle relevante omstandigheden, met inbegrip van:
- het type informatie dat u zou onthullen
- elke geheimhoudingsplicht die u verschuldigd bent aan de andere persoon
- alle stappen die u hebt ondernomen om toestemming te vragen aan de andere persoon
- of de andere persoon in staat is toestemming te geven
- elke uitdrukkelijke weigering van toestemming door de andere persoon.
Dus hoewel u soms in staat bent om informatie met betrekking tot een derde partij vrij te geven, moet u beslissen of het gepast is om dit in elk geval te doen.
Bij dit besluit zal een afweging moeten worden gemaakt tussen het recht op toegang van de betrokkene en de rechten van de andere persoon.
Als de andere persoon ermee instemt dat u de informatie over hen openbaar maakt, dan zou het onredelijk zijn om dit niet te doen.
Als er echter geen toestemming is, moet u beslissen of u de informatie toch openbaar wilt maken.
Voor alle duidelijkheid, u kunt niet weigeren om toegang te verlenen tot persoonlijke gegevens over een individu simpelweg omdat u die gegevens hebt verkregen van een derde partij.
De regels met betrekking tot gegevens van derden zijn alleen van toepassing op persoonsgegevens, waaronder zowel informatie over de persoon op wie het verzoek betrekking heeft als informatie over iemand anders.
-
Als we externe verwerkers gebruiken, betekent dit dan dat ze te maken zouden kunnen krijgen met alle verzoeken om inzage tot een onderwerp dat ons aangaat?
De verantwoordelijkheid voor het voldoen aan een verzoek om toegang tot een onderwerp ligt bij u als verantwoordelijke voor de verwerking. U moet ervoor zorgen dat u contractuele regelingen met verwerkers hebt getroffen om te garanderen dat verzoeken om toegang voor subjecten correct worden behandeld, ongeacht of ze naar u of naar de verwerker worden verzonden.
U kunt de termijn van een maand niet verlengen op grond van het feit dat u moet vertrouwen op een verwerker om de informatie te verstrekken die u nodig hebt om te reageren.
Zoals hierboven al is gezegd, kunt u de termijn alleen met twee maanden verlengen als het om een complex verzoek gaat of als u een aantal verzoeken van de betrokkene hebt ontvangen.
- Kunnen we weigeren een verzoek in te willigen?
U kunt een verzoek om toegang tot een onderwerp weigeren als het kennelijk ongegrond of buitensporig is, rekening houdend met het feit of het verzoek een repetitief karakter heeft.
Als u van mening bent dat een verzoek kennelijk ongegrond of overdreven is, kunt u:
- een “redelijke vergoeding” vragen voor de behandeling van het verzoek
- weigeren het verzoek in behandeling te nemen
In beide gevallen moet u uw beslissing motiveren.
U dient de redelijke vergoeding te baseren op de administratieve kosten voor het inwilligen van het verzoek.
Als u besluit kosten in rekening te brengen, dient u onmiddellijk contact op te nemen met de betrokkene en hem of haar te informeren.
U hoeft niet te voldoen aan het verzoek totdat u de vergoeding hebt ontvangen.
- Wat moeten we doen als we een verzoek weigeren in te willigen?
U moet de betrokkene zonder onnodige vertraging en binnen een maand na ontvangst van het verzoek op de hoogte brengen.
U moet de betrokkene informeren over:
- de redenen waarom u geen actie onderneemt
- hun recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens of een andere toezichthoudende autoriteit
- de mogelijkheid om dit recht te doen gelden door middel van een beroep in rechte
U dient deze informatie ook te verstrekken als u om een redelijke vergoeding vraagt of als u aanvullende informatie nodig hebt om de persoon te identificeren.
Als u naar aanleiding van dit artikel vragen heeft of professionele ondersteuning wilt bij het ontwikkelen van privacybeleid voor uw organisatie kunt u contact opnemen met PrivacyZone: 06-31995740 of
.