Hoe werkt de privacywet AVG?

Zo regel je alles rondom het inzagerecht

Hoe werkt de privacywet AVG
mkb.law - avg

Juridische maatwerk oplossingen om te voldoen aan de AVG

Bij de privacywetgeving AVG horen meer verplichtingen voor mkb-ondernemers. Een van de belangrijkste aandachtspunten is het inzagerecht van degene waarvan je informatie bijhoudt.

Iedereen van wie je persoonsgegevens verwerkt (de betrokkene) heeft recht op inzage. Persoonsgegevens zijn bijvoorbeeld naam, adres of telefoonnummer van je klant. Op verzoek van de betrokkene moet je laten zien welke persoonsgegevens je bijhoudt. Het gaat zowel om persoonsgegevens die digitaal worden bijgehouden als op papier, voor zover de persoonsgegevens in een bestand zitten of bedoeld zijn om daarin te worden opgenomen. Het gaat daarbij alleen om de eigen persoonsgegevens van de betrokkene. Voor kinderen tot 16 jaar geldt dat de ouders of wettelijke vertegenwoordigers het verzoek mogen doen.

Hoe moet ik het doen?

Wanneer iemand een inzageverzoek heeft gedaan, moet je voor die persoonsgegevens het volgende aangeven:

  • waarom je de persoonsgegevens verwerkt;

  • wat voor persoonsgegevens je verwerkt;

  • met wat voor soort partijen worden de persoonsgegevens gedeeld;

  • hoe lang worden de persoonsgegevens bewaard;

  • dat de betrokkene het recht heeft gegevens te laten aanpassen of verwijderen en de verwerking te beperken of bezwaar te maken;

  • dat de betrokkene het recht heeft een klacht in te dienen bij de toezichthouder;

  • als de gegevens buiten de grenzen van EU/EER zijn gegaan, welke passende waarborgen zijn genomen.

Indien je de gegevens niet direct van de betrokkene hebt gekregen, moet je alle beschikbare informatie over deze partij geven. Denk hierbij aan het inkopen van een adressenbestand voor marketingdoeleinden.

Uitzonderingen

Je bent verplicht een kopie te verstrekken van de persoonsgegevens zoals je die bijhoudt. In principe moet je altijd aan het inzageverzoek voldoen, maar er zijn enkele uitzonderingen. Zo hoef je uiteraard geen persoonsgegevens te verstrekken als je die van de betrokkene niet bijhoudt. En je mag alleen een kopie verstrekken als het verstrekken van de persoonsgegevens geen inbreuk doet op de privacy van anderen of hierdoor bedrijfsgeheimen of intellectueel eigendom moet worden prijsgegeven. Als laatste uitzondering is opgenomen dat wanneer de persoonsgegevens in een archief zitten dat in een archiefbewaarplaats is ondergebracht de persoonsgegevens niet verstrekt hoeven te worden. Of je nu wel of niet aan een inzageverzoek kunt voldoen, je zult altijd binnen 1 maand na het verzoek moeten reageren.

Aandachtspunten

  1. Om te zorgen dat je de persoonsgegevens aan de juiste persoon verstrekt moet je altijd zorgen dat je degene die het inzageverzoek indient op de juiste wijze identificeert. Zo voorkom je direct een datalek.

  2. Daarnaast moet je aan betrokkenen duidelijk maken hoe ze een inzageverzoek bij je kunnen doen. Dit neem je bijvoorbeeld op in je privacyreglement.

  3. Ook is het verstandig om interne procedures te hebben zodat personeel op de hoogte is hoe ze moeten omgaan met inzageverzoeken, je hebt immers maar 1 maand om te reageren.


Aangezien de regels omtrent privacy soms oneindig lijken en het vaak niet helemaal duidelijk is wat er precies verwacht wordt van een ondernemer hebben wij samen met mkb.law deze helpdesk opgezet. Zo kan de ondernemer zich door het privacy-oerwoud navigeren met hulp van specialisten die al jaren ervaring hebben op dit gebied.

Wat vind je van dit artikel?