Home » Nieuws » Het inzagerecht: welke informatie verstrek je?

Het inzagerecht: welke informatie verstrek je?

Geplaatst op: 5 juni 2023

Vorig jaar schreven wij een blogartikel over het recht van inzage. Het inzagerecht houdt in dat jouw klant (de betrokkene) het recht heeft om in te zien of en welke persoonsgegevens jij van hem of haar verwerkt. Zodra je een inzageverzoek hebt gecontroleerd, moet je een kopie van de persoonsgegevens verstrekken aan degene die het verzoek heeft gedaan. Maar wat valt onder een kopie?

Belangrijk arrest

Begin mei is door het Hof van Justitie, de hoogte Europese rechter, een belangrijk arrest gewezen over hoe een organisatie inzage moet verstrekken in persoonsgegevens. Niet onbelangrijk, want de Autoriteit Persoonsgegevens handhaaft de AVG als organisaties onzorgvuldig omgaan met het inzagerecht.

Wat speelde er in de zaak die leidde tot dit arrest? Een organisatie ontving in 2018 van een betrokkene een verzoek om inzage te verstrekken in persoonsgegevens die van hem werden verwerkt. De betrokkene verzocht de organisatie om deze documenten in een ‘gangbaar technisch formaat’ te verstrekken. De organisatie verstrekte slechts een lijst met informatie over welke persoonsgegevens van deze persoon verwerkt werden. De betrokkene was het hier niet mee eens; hij wilde een kopie hebben van alle documenten die zijn gegevens zouden bevatten.

Wat zijn persoonsgegevens?

Voordat ik kom bij het oordeel van het Hof van Justitie, ga ik eerst nog even kort in op wat precies een persoonsgegeven is. De AVG is namelijk van toepassing als sprake is van een verwerking van persoonsgegevens. Een organisatie moet een kopie verstrekken van de persoonsgegevens die zij verwerkt van de betrokken persoon als die persoon daar om vraagt.

Op grond van de AVG valt onder persoonsgegevens alle informatie over een identificeerbare of geïdentificeerde persoon. Denk daarbij niet alleen aan namen en adressen, maar ook aan locatiegegevens of beoordelingen over een persoon. Er geldt een ruim bereik van het begrip persoonsgegeven, waardoor de AVG al snel van toepassing is.

Wat valt er onder het verstrekken van een kopie van persoonsgegevens?

Volgens het Hof van Justitie dient een kopie te zien op alle persoonsgegevens die een organisatie van een betrokkene verwerkt. Via een kopie moet de betrokkene kunnen controleren of jouw organisatie de persoonsgegevens juist en rechtmatig verwerkt. Bovendien moet deze kopie makkelijk toegankelijk, volledig en in een duidelijke en begrijpelijke taal opgesteld zijn. Daarbij kan het noodzakelijk zijn dat volledige documenten of uittreksels, die persoonsgegevens bevatten, aan deze persoon worden verstrekt. Dat is vooral van belang als dit noodzakelijk is voor die persoon om een begrijpelijk beeld te krijgen van de verwerking van zijn persoonsgegevens. Hiervan is bijvoorbeeld sprake al persoonsgegevens worden gegenereerd op basis van andere gegevens.

Houd bij het verstrekken van een kopie van de persoonsgegevens er rekening mee dat geen persoonsgegevens van anderen in deze kopie voorkomen. Anders is mogelijk sprake van ‘datalek’. Meer weten wat een datalek precies inhoudt en hoe je daar als organisatie mee om moet gaan? Je leest het op deze pagina.

Maak een zorgvuldige afweging

Als organisatie moet je dus een zorgvuldige afweging te maken bij het verstrekken van een kopie van persoonsgegevens. Niet in alle gevallen is dus vereist dat een volledige kopie van een document wordt verstrekt. Het zal per situatie verschillen of het verstrekken van een volledige kopie van een document noodzakelijk is voor de betrokkene om een begrijpelijk beeld te krijgen van de verwerkte persoonsgegevens. Heb jij een inzageverzoek ontvangen en twijfel je hoe daarmee moet worden omgegaan? Twijfel niet om contact met ons op te nemen. Wij kijken graag met je mee.