Onderzoek toont aan: veel organisaties worstelen met inzageverzoeken. Hoe zit het bij u?

Het recht van inzage

Op grond van artikel 15 AVG heeft een betrokkene het recht om inzage te vragen in de persoonsgegevens die van hem of haar worden verwerkt. De verwerkingsverantwoordelijke – degene die bepaalt met welk doel en welk middel de persoonsgegevens worden verwerkt – moet deze correct behandelen. Als werkgever bent u in veel gevallen de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens van uw personeel. Een leverancier is bijvoorbeeld verwerkingsverantwoordelijke voor haar klanten. etc.

Europese toezichthouders, waaronder de Nederlandse Autoriteit Persoonsgegevens (AP), hebben onderzoek gedaan onder diverse organisaties naar de naleving van dit recht. De resultaten zijn inmiddels gepubliceerd.

Uitkomsten van het onderzoek

Het blijkt dat de mate van naleving sterk verschilt per organisatie. Twee derde van de toezichthouders beoordeelde de naleving door organisaties als 'gemiddeld' tot 'hoog'. Opvallend is dat grotere organisaties en bedrijven die regelmatig inzageverzoeken ontvangen, beter presteren dan kleinere partijen met weinig ervaring op dit gebied. 

Verder blijkt uit het rapport dat er nog aanzienlijke tekortkomingen zijn:

• Herkenning van inzageverzoeken: Sommige organisaties geven aan nauwelijks verzoeken te ontvangen, wat erop kan wijzen dat deze mogelijk niet worden herkend.
• Onduidelijke bewaartermijnen: Veel organisaties hanteren inconsistente en/of buitensporige bewaartermijnen.
• Gebrekkige kennis wijze waarop het recht op inzage gefaciliteerd moet worden: De toezichthouders publiceren regelmatig nadere toelichtingen. Deze worden niet of gebrekkig gevolgd.  
• Geen standaardprocedure voor inzageverzoeken: In Nederland beschikt 30% van de respondenten niet over een standaardprocedure voor het afhandelen van inzageverzoeken, wat zou kunnen leiden tot vertragingen bij de afhandeling en tot onvolledige antwoorden.
• Functionaris Gegevensbescherming (FG) in een lastige positie: In 20% van de gevallen verwerkt de FG inzageverzoeken. Dit kan echter botsen met de taak van de FG, aangezien de FG interne toezicht houdt op het privacybeleid en de gegevensbescherming binnen een organisatie. Onder haar takenpakket valt ook de verplichting om toe te zien op de naleving van wetgeving en het optreden als contactpunt bij dergelijke zaken (art. 39 AVG). Als de FG zelf inzageverzoeken verwerkt, moet zij bij een herziening of controle van een dergelijk verzoek haar eigen werk beoordelen, wat een belangenconflict kan opleveren.

Concrete problemen en aanbevelingen

De toezichthouders herkenden een aantal veelvoorkomende problemen en gaven een aantal aanbevelingen om de naleving te verbeteren. Dit zijn onder andere:

• Verbeter begrip van het inzagerecht: Organisaties moeten inzicht krijgen in de reikwijdte van artikel 15 AVG en beter bijhouden welke gegevens zij verwerken. Een actueel verwerkingsregister kan hierbij helpen.
• Zorg voor interne procedures: Medewerkers moeten getraind worden in het herkennen en correct verwerken van inzageverzoeken. Interne audits kunnen helpen de naleving structureel te verbeteren.
• Voorkom onnodige barrières: Extra identificatie van verzoekers is niet altijd nodig en verzoeken moeten ook verwerkt worden als ze buiten een standaardportaal of de geëigende weg binnenkomen.
• Wees zorgvuldig met uitzonderingen: Sommige organisaties weigeren verzoeken te ruimhartig en zonder juridische onderbouwing.

Oproep tot verbetering

Zowel toezichthouders als organisaties moeten zich actief inzetten om het inzagerecht correct toe te passen. Het is cruciaal om werkwijzen kritisch te evalueren en waar nodig aanpassingen door te voeren om het recht op inzage effectief te waarborgen.

Wil u meer weten hoe uw organisatie het best kan omgaan met een inzageverzoek? Neem gerust contact met ons op. 

Klik hier om het volledige rapport te lezen.