AVG Inzagerecht | Wat is het recht op inzage?

Sinds de Algemene Verordening Gegevensbescherming in 2018 van kracht is, beroepen tegenwoordig steeds meer mensen zich op het recht op inzage. Het gevolg is dat organisaties steeds vaker te maken krijgen met inzageverzoeken. Echter blijkt dat inzageverzoeken voor veel organisaties niet duidelijk zijn en uit kunnen monden tot een ware nachtmerrie. Ondanks het feit dat er nog veel onduidelijkheden bestaan omtrent inzageverzoeken, is het belangrijk zorgvuldig om te gaan met inzageverzoeken om eventuele boetes van de Autoriteit Persoonsgegevens (hierna: AP) te vermijden.

In een vorige blog is al besproken hoe u in vier stappen met gebruik van technologie de impact een inzageverzoek voor uw organisatie kunt beperken. In deze blog en de komende reeks zal ik u meenemen in de wereld van het recht op inzage binnen de AVG, en dieper ingaan op de instrumenten die het proces van een inzageverzoek kunnen versnellen en vereenvoudigen.

Wat zijn persoonsgegevens volgens de AVG?

Volgens de AVG wordt onder  persoonsgegevens verstaan alle informatie over een geïdentificeerde, of identificeerbare natuurlijke persoon (‘de betrokkene’). Maar de vraag is nu wat onder “alle informatie over” wordt verstaan en wanneer een persoon identificeerbaar is?

Relevante persoonsgegevens

Onder “alle informatie over” wordt verstaan alle informatie dat gekoppeld is aan een identificeerbaar persoon in welke vorm dan ook. Het kan dus gaan om digitale of schriftelijke gegevens. Ook foto’s en video-opnamen van personen kunnen gekwalificeerd worden als persoonsgegevens. Maar ook gegevens over overleden personen kunnen beschouwd worden als persoonsgegevens als ze iets zeggen over levende personen. Het begrip persoonsgegevens omvat dus veel meer dan alleen naam en adres.

Identificeerbare persoonsgegevens

De AVG definieert persoonsgegevens als identificeerbaar als een natuurlijk persoon die direct of indirect kan worden geïdentificeerd door deze gegevens.

Direct identificerende gegevens zijn gegevens die betrekking hebben op een persoon waarvan de identiteit meteen is vast te stellen. Het gaat dan om gegevens zoals naam, adres, geboortedatum, geslacht die in combinatie met elkaar een natuurlijk persoon kunnen identificeren. Bij direct identificerende gegevens is er al snel sprake van identificeerbaarheid. Een goed voorbeeld is het pseudonimiseren. Het doel van pseudonimiseren is het verbergen van iemands identiteit voor derden. Daarbij worden direct identificeerbare gegevens vervangen door pseudoniemen die alleen onder bepaalde voorwaarden toegankelijk zijn.

Personen kunnen ook door minder directe identificatoren geïdentificeerd worden. We spreken dan van indirect identificerende gegevens. Denk daarbij aan uiterlijke kenmerken(lengte, postuur en haarkleur), sociale en economische kenmerken en online kenmerken zoals IP-adressen. Ondanks dat deze gegevens op zichzelf nog niet een persoon identificeren, kunnen zij wel door onderlinge samenhang of koppeling aan andere gegevens alsnog leiden tot identificatie. Een voorbeeld is een telefoonnummer (indirect identificerend) die via een telefoonboek wordt gekoppeld aan een naam (direct identificerend).

Wat zijn  verwerkingen volgens de AVG?

De AVG definieert verwerkingen als een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedures, zoals het verzamelen of vastleggen, bijwerken of wijzigen, opvragen of raadplegen, gebruiken of verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, overdragen of combineren, afschermen, wissen of vernietigen van gegevens. Het begrip omvat dus alle informatie en alles wat u doet of zou kunnen doen met persoonsgegevens.

Welke rechten hebben betrokkenen binnen de AVG?

De AVG heeft als hoofddoel om persoonsgegevens te beschermen. Om deze persoonsgegevens te beschermen kent de AVG  acht verstrekkende privacy rechten toe aan betrokkenen. Deze rechten zijn: het recht op inzage, recht op vergetelheid, recht op rectificatie en aanvulling, recht op dataportabiliteit, recht op beperking, recht op geautomatiseerde besluitvorming en profilering, recht op bezwaar en het recht op duidelijke informatie.

Het is daarnaast belangrijk om de systemen en processen in uw organisatie in te richten op deze rechten (privacy by design). Privacy by design zal namelijk een belangrijke rol spelen bij de beoordeling van de rechtmatigheid van een verwerking door bijvoorbeeld de AP. Een voorbeeld van privacy by design is een systeem dat persoonsgegevens verwijdert nadat de bewaartermijn is verstreken.

Wat is het recht op inzage volgens de AVG?

Het recht op inzage volgens de AVG is één van de rechten die betrokkenen kunnen uitvoeren om hun persoonsgegevens te controleren, en ook het recht waar organisaties mee te maken krijgen. Op grond van artikel 15 AVG heeft iedereen het recht om een kopie te ontvangen van de persoonsgegevens die een organisatie van hen verwerkt. Als u een inzageverzoek ontvangt van een betrokkene  betekent dit onder meer dat u verplicht bent de betrokkene precies te vertellen welke gegevens u van de betrokkene verwerkt, dat de betrokkene het recht heeft om zijn gegevens te verbeteren (indien deze niet correct zijn) of te verwijderen (als er sprake is van een onterechte verwerking, of de betrokkene zijn of haar gegevens niet wil laten verwerken).

Daarnaast moet u op grond van artikel 15 lid 1 AVG de betrokkene tevens informeren over de verwerkingsdoeleinden (het doel van de verwerking van zijn/haar gegevens), de categorieën persoonsgegevens (welke gegevens er worden verwerkt), de ontvangers aan wie u de gegevens verstrekt, hoe lang u de persoonsgegevens bewaart (bewaartermijn), de betrokkene het recht heeft tot rectificatie, verwijdering, afscherming, beperking en bezwaar (informatie over verbeterings-en verwijderingsrechten), De betrokkene een klacht in kan dienen bij de AP, doorgiften naar niet-EU-landen en de daarbij getroffen waarborgen (geautomatiseerde besluitvorming en profilering)

Het is als organisatie verstandig om bovenstaande informatie op te nemen in uw (online) privacyverklaring. Zo vervult u uw informatieplicht en kunt u de AP laten zien dat u aan de AVG voldoet.           

Conclusie

Kortom, is het recht op inzage AVG dus een recht van een betrokkene die alle gegevens, die u hebt verwerkt, opvraagt en het recht kan uitoefenen om het aan te passen, verwijderen of af te schermen. In de volgende blog gaan we in op de eisen voor het afhandelen van een inzageverzoek.