Je weet wat GDPR (General Data Protection Regulation) inhoudt. Opeens vraagt iemand hoe je zijn persoonsgegevens hebt opgeslagen. Wat dan te doen? En op welke manier en mag je er vervolgens kosten voor rekenen?
We gebruiken allemaal
persoonsgegevens om zaken te kunnen doen. Maar dat je niet met die gegevens mag doen wat je wilt, is ook meer dan begrijpelijk. Maar is jouw organisatie wel genoeg voorbereid om aan de richtlijnen van de Europese GDPR te voldoen?
Men mag vanaf 25 mei 2018 gegevens alleen opslaan en verwerken wanneer de gebruiker daar toestemming voor heeft gegeven of wanneer de gegevens nodig zijn om de klant van dienst te kunnen zijn. Daarnaast kan elke klant inzage in zijn
persoonsgegevens vragen.
Welke gegevens mogen jouw klanten van je zien?
Volgens de GDPR mogen klanten of relaties vragen of je persoonsgegevens hebt vastgelegd en zo ja welke. Mensen/klanten hebben het recht om te vragen aan welke organisaties je de gegevens eventueel doorgeeft. Ook hoe lang je de
persoonsgegevens bewaart. Klanten hoeven niet aan te geven waarom ze deze gegevens willen inzien.
Dit geldt niet voor persoonlijke interne notities die niet in een dossier zijn verwerkt. Slaat de organisatie de aantekeningen op in een dossier of verstrekt (verkoopt) de organisatie ze aan derden? Dan heeft degene om wie het gaat wél degelijk het recht dit in te zien.
Hoe kan een klant een verzoek om inzage doen?
De GDPR schrijft voor dat elk bedrijf duidelijk moet laten weten hoe iemand een
inzageverzoek kan doen. Dat kun je dus het beste in de privacyverklaring van je organisatie opnemen. De Autoriteit Persoonsgegevens adviseert mensen/klanten
schriftelijk (per brief of per e-mail) het verzoek in te dienen. Is de klant van mening dat niet aan zijn verzoek wordt voldaan, dan kan hij dat later bij de rechter aantonen. Een voorbeeldbrief van de Autoriteit Persoonsgegevens toont hoe zo’n verzoek er in de praktijk uit kan zien.
Waar is het overzicht voor bedoeld?
Vervolgens ben je verplicht om binnen
vier weken schriftelijk of per e-mail te reageren op een inzageverzoek. Het overzicht van gegevens wat je verstuurt, moet in begrijpelijke taal geschreven zijn. Dat houdt in dat de klant moet kunnen controleren:
- of zijn gegevens kloppen;
- of je zijn gegevens op de juiste manier verwerkt (bijvoorbeeld of je geen gegevens verwerkt die niet ter zake doen of de gegevens in strijd met de wet gebruikt);
- of het mogelijk is de gegevens te corrigeren of te verwijderen.
Om fraude tegen te gaan en wanneer je er zeker van wilt zijn dat de persoon is wie hij zegt dat hij is, kun je vooraf om een (kopie van) het
identiteitsbewijs vragen.
Stel: het gaat om een klant die één keer een bestelling bij je heeft gedaan. Het zal dan vrij makkelijk zijn om de juiste gegevens te verstrekken. Het wordt gecompliceerder als je een compleet dossier van iemand bijhoudt. Heb je veel
informatie over een klant? Dan kun je vragen om aan te geven welke gegevens hij precies wil
inzien.
Drie vormen van een overzicht
Je kunt op drie manieren inzage geven in de persoonsgegevens.
- Volledig overzicht: een overzicht waarin in begrijpelijke taal staat welke gegevens je bewaart, waarom je dat doet, welke organisaties deze gegevens ontvangen en hoe je aan de gegevens bent gekomen.
- Kopieën of afdrukken: in plaats van een overzicht kun je ervoor kiezen kopieën of afdrukken te verstrekken van de stukken die over de persoon in kwestie gaan.
- Inzage ter plekke: gaat het om een dik dossier en zou het je te veel moeite kosten om het dossier af te drukken of te kopiëren, dan kun je iemand vragen ter plekke zijn gegevens in te komen zien.
Wanneer mag je een inzage in persoonsgegevens weigeren?
Bij hoge uitzondering mag je een inzageverzoek weigeren. Bijvoorbeeld als de
staatsveiligheid in het geding is. Ook als je aan kunt tonen dat de
administratieve lasten door het verzoek zo hoog worden dat je organisatie in zijn rechten en vrijheden wordt aangetast. Ook mag je informatie in het dossier
afschermen die over iemand anders gaat.
Mag je kosten in rekening brengen voor het verzoek?
Voor het verstrekken van kopieën mag je een vergoeding van 23 cent per pagina vragen met een maximum van 5 euro. Je mag daarnaast een
vergoeding vragen van hooguit €22,50 als het overzicht meer dan 100 pagina’s beslaat, de gegevensverwerking moeilijk toegankelijk is en/of je een of meer röntgenfoto’s moet afdrukken.