Zes jaar na invoering van de Algemene verordening gegevensbescherming (AVG) blijkt dat veel organisaties het recht op inzage nog steeds onvoldoende naleven. In 2024 onderzocht de European Data Protection Board (EDPB) hoe dit recht in de praktijk wordt nageleefd. In totaal werden 1.185 organisaties, groot en klein en uit verschillende sectoren, ondervraagd door 30 toezichthouders in Europa. Het resultaat? Een groot aantal organisaties blijkt nog steeds moeite te hebben met het correct afhandelen van inzageverzoeken van betrokkenen. De EDPB stelde op basis van deze bevindingen zeven belangrijke uitdagingen vast voor de komende jaren.
Waarom worden verzoeken met betrekking tot het recht op inzage nog steeds niet goed afgehandeld? En hoe kunnen organisaties ervoor zorgen dat dit in de toekomst beter gaat? In deze blog lees je meer over het recht van inzage en de bevindingen van de EDPB. Tot slot volgen enkele praktische tips die jouw organisatie kunnen helpen bij het omgaan met inzageverzoeken.
Wat houdt het recht op inzage in?
Het recht op inzage (art. 15 AVG) is een fundamenteel recht van de AVG waarmee individuen meer controle krijgen over hun persoonsgegevens. Met dit recht kunnen betrokkenen niet alleen achterhalen óf hun gegevens worden verwerkt, maar ook inzage krijgen in de gegevens die worden verwerkt. Ook kunnen zij informatie krijgen over belangrijke aspecten zoals de verwerkingsdoeleinden, de categorieën van verwerkte persoonsgegevens, de ontvangers van de gegevens, en meer.[1] Het stelt de betrokkene in staat zich van de verwerking op de hoogte te stellen en de rechtmatigheid daarvan te controleren.[2]
Het recht op inzage bevat elk soort informatie, en beperkt zich dus niet tot gevoelige of zelf verstrekte gegevens. Zowel objectieve als subjectieve informatie kan onder dit recht vallen. Zolang de informatie maar in verband staat met de aanvrager. Hier is sprake van wanneer de informatie door haar inhoud, doel of gevolg gelinkt is aan een bepaald persoon en die persoon daarmee redelijkerwijs identificeerbaar is.[3] Denk bijvoorbeeld aan examenresultaten. Het is wel belangrijk om te realiseren dat het inzagerecht enkel betrekking heeft op de persoonsgegevens waarover een verwerkingsverantwoordelijke daadwerkelijk beschikt. Het is niet de bedoeling dat organisaties gegevens moeten creëren of genereren als reactie op een inzageverzoek. Er kan bijvoorbeeld niet van een organisatie verwacht worden dat het locatie gegevens verstrekt die zij in de ‘normale bedrijfsvoering’ niet verwerkt.[4]
Wanneer mag een inzageverzoek worden geweigerd?
Een verzoek tot inzage kan geweigerd worden indien het kennelijk ongegrond of buitensporig is.[1] Volgens de EDPB moeten deze begrippen strikt geïnterpreteerd worden.[2] Zo is een verzoek pas kennelijk ongegrond als vanuit een objectieve benadering duidelijk niet wordt voldaan aan de weinige vereisten van artikel 15 AVG. Het feit dat iemand eerder ongegronde verzoeken heeft ingediend, maakt niet dat het huidige verzoek kennelijk ongegrond is. ‘Buitensporig’ is niet gedefinieerd door de EDPB. De beoordeling hiervan hangt af van de analyse die de verwerkingsverantwoordelijke verricht en van de specifieke kenmerken van de sector waarin deze actief is.
De onderzoeksresultaten van de EDPB
Sinds 2020 heeft de EDPB het zogeheten Coordinated Enforcement Framework (CEF) opgericht als onderdeel van de strategie om handhaving en samenwerking tussen toezichthouders te stroomlijnen. In de afgelopen drie jaar zijn twee eerdere CEF-acties uitgevoerd en in 2024 was het recht op inzage aan de beurt. Uit dit onderzoek bleek dat twee derde van de toezichthouders aangeeft dat de naleving van het recht ‘gemiddeld’ tot ‘hoog’ is. Toch is er duidelijk ruimte voor verbetering, aangezien er veel verschillen bestaan in de praktische uitvoering van dit recht. De EDPB heeft 7 factoren genoemd die dit veroorzaken:
1. Gebrek aan bewustzijn over de omvang van de persoonsgegevens waartoe inzage moet worden verleend;
2. Het hanteren van buitensporige en inconsistente bewaartermijnen met betrekking tot inzageverzoeken of überhaupt geen bewaartermijnen hiervoor;
3. Gebrek aan gedocumenteerde interne procedures;
4. Belemmeringen en barrières die de betrokkene kunnen verhinderen om het recht op inzage te uit te oefenen;
5. Inconsistente en buitensporige interpretaties van de limieten en beperkingen van het recht op inzage;
6. Te vaak wordt (onterecht) gevraagd om specificatie van verzoeken tot inzage;
7. Informatie wordt onvoldoende gedetailleerd verstrekt aan betrokkenen.
Hoe kunnen organisaties het inzagerecht beter naleven?
Naar aanleiding van deze uitkomsten, heeft de EDPB verbeter- en aandachtspunten opgesteld. Zo is volgens de EDPB in ieder geval meer bewustwording over de Richtsnoeren 01/2022 nodig. Toezichthouders overwegen om acties op nationaal niveau uit te voeren om zo bewustzijn te creëren met betrekking tot de inhoud van deze Richtsnoeren, waaronder online trainingssessies, meer online begeleiding en netwerkconferenties.[1] Daarnaast volgen uit het rapport een aantal aanbevelingen die organisaties direct kunnen toepassen, zoals:
- Twijfel je of sprake is van een inzageverzoek? Schroom niet om dit na te vragen bij de betrokkene.
- Draag bij aan bewustwording onder werknemers zodat zij inzageverzoeken snel herkennen en doorspelen aan de juiste personen.
- Zorg dat het verwerkingsregister altijd up-to-date is, zodat gegevens eenvoudig en snel opgehaald kunnen worden bij een inzageverzoek.
- Maak gebruik van een interne procedure en documenteer deze. Ondanks dat dit niet wettelijk verplicht is, zorgt dit voor een efficiënte en effectieve behandeling van inzageverzoeken.
- Sla communicatie over inzageverzoeken apart van andere informatie over de betrokkene op en realiseer je dat ook voor deze communicatie aparte bewaartermijnen vastgesteld moeten worden.
- Behandel elk inzageverzoek per geval om te bepalen of verdere identificatie van de betrokkene vereist is.
- Wees je ervan bewust dat je aan de betrokkene moet kunnen uitleggen waarom je het recht op inzage beperkt.
Aan de slag met privacy in de praktijk
Bovenstaande aanbevelingen zijn slechts een greep uit de vele tips die de EDPB naar aanleiding van het onderzoek heeft opgesteld. Er is dan ook nog veel ruimte voor verbetering als het gaat om het behandelen van inzageverzoeken.
Wil jij weten hoe je dit bewerkstelligt binnen jouw organisatie? Meld je dan hier aan voor onze opleiding Privacy Professional Vaardigheden (PPV)! Tijdens de opleiding worden tools gegeven om kennis om te zetten in de praktijk en wordt onder andere aandacht besteed aan het behandelen van rechten van betrokken, zoals het recht op inzage.
[1] Zie artikel 15 lid 1 AVG.
[2] Overweging 63 AVG.
[3] HvJEU 20 december 2017, ECLI:EU:C:2017:994 (Nowak), r.o. 34-35.
[4] Rb. Amsterdam 29 januari 2015, C-13-569745, r.o. 4.3.
[5] Zie artikel 12 lid 5 AVG. [1] Richtsnoeren 01-2022, p. 65-69.
[6] Richtsnoeren 01-2022, p. 65-69.
[7] EDPB 2024 CEF, p. 27-28.