Wat u moet weten.

Het Europees Comité voor Gegevensbescherming heeft recent een ontwerp van richtsnoeren (in het Engels) gepubliceerd over het recht op inzage (artikel 15 AVG). Het recht op inzage is een cruciaal recht onder de AVG. Het vormt immers een ‘toegangspoort’’ voor de uitoefening van andere rechten die de AVG toekent aan de betrokken individuen. De richtsnoeren bevatten aanbevelingen over de implementatie van een verzoek tot inzage in de praktijk. Tijd dus voor een update van onze vorige Privacy Talk over het recht op inzage. Ter opfrissing ontleden we hieronder kort de kern van het recht op inzage.

Inhoudelijk bestaat het recht op inzage uit drie aspecten. Betrokkenen hebben het recht om (i) te vragen of er al dan niet persoonsgegevens van hen verwerkt worden, (ii) toegang te krijgen tot deze eigenlijke persoonsgegevens die op hen betrekking hebben – een algemene omschrijving of verwijzing naar de categorieën van persoonsgegevens volstaat niet en (iii) bijkomende informatie te verkrijgen over de verwerking van hun persoonsgegevens (zoals de verwerkingsdoeleinden, de betrokken ontvangers, bewaartermijnen, etc.), afgestemd op de betrokkene die het verzoek tot inzage indient.

Artikel 15.3 AVG gaat verder in op de modaliteiten waaraan een antwoord op een verzoek tot inzage moet voldoen. Het vult daarmee artikel 12 AVG aan. Zo heeft de betrokkene steeds het recht om kosteloos een eerste kopie te ontvangen van zijn of haar persoonsgegevens. Wanneer de betrokkene vervolgens bijkomende kopieën wenst, i.e. betreffende dezelfde persoonsgegevens en dezelfde verwerkingsperiode, kunnen ondernemingen een redelijke vergoeding aanrekenen op basis van de administratieve kosten die specifiek gepaard gaan met het verzoek. Indien de betrokkene zijn verzoek tot inzage elektronisch indient, en tenzij anders verzocht door de betrokkene, moet de informatie in principe in een gangbare elektronische vorm verstrekt worden, d.w.z. in een formaat dat de betrokkene niet verplicht om specifieke software aan te kopen.

Een verzoek tot inzage kan in principe niet worden geweigerd. Toch zijn er beperkt enkele uitzonderingen voorzien. Zo bepaalt artikel 15.4 AVG dat het recht om een kopie te verkrijgen (het 2e element van het recht op inzage) geen afbreuk doet aan de rechten en vrijheden van anderen, waaronder die van de betrokken onderneming (bijv. op vlak van zakengeheimen, intellectuele eigendomsrechten, etc.). In dat geval mag de betrokkene enkel een kopie ontvangen waarbij deze informatie onleesbaar is gemaakt. Ondernemingen kunnen een verzoek tot inzage ook conform artikel 12.5 AVG afwijzen wanneer het verzoek kennelijk ongegrond is of buitensporig is, bijvoorbeeld in geval van herhaaldelijke verzoeken (daarbij rekening houdende met hoe vaak de persoonsgegevens worden gewijzigd en de belasting van zo’n verzoek op de onderneming).

Wat u moet doen.

U moet in principe ingaan op een verzoek tot inzage ongeacht hoe dit verzoek tot u wordt gericht. De betrokkene kan dus niet verplicht worden om de door uw onderneming specifiek daartoe voorziene communicatiekanalen te gebruiken. Een verzoek kan gericht worden ten aanzien van elk officieel contactpunt van uw onderneming, zoals bijvoorbeeld het e-mailadres van een dossierbeheerder. De antwoordtermijn van 1 plus 2 maanden begint in principe dan te lopen volgens de bepalingen van Verordening 1182/71 van de Raad van 3 juni 1971. Indien een verzoek tot inzage daarentegen aan een compleet willekeurig of duidelijk onjuist adres wordt gericht, bent u niet verplicht om hierop in te gaan, zoals bijvoorbeeld het e-mailadres van het schoonmaakpersoneel. 

Ondernemingen moeten de identiteit van de persoon die het verzoek indient, verifiëren en bij twijfel moeten zij bijkomende informatie opvragen. Die bijkomende informatie mag niet meer zijn dan noodzakelijk is om de identiteit te verifiëren rekening houdende met de aard van de persoonsgegevens die uw onderneming verwerkt, de schade die zou kunnen voorvloeien uit ongeoorloofde vrijgave van de persoonsgegevens, etc. Vraag niet standaard een kopie van de identiteitskaart op. Dat is disproportioneel. Zo is een kopie van de identiteitskaart wellicht niet nodig om de identiteit van een betrokkene te verifiëren die in de eerste plaats nooit zijn of haar identiteitskaart heeft moeten opgeven. In een dergelijk geval kan uw onderneming bijvoorbeeld (niet-indringende) veiligheidsvragen stellen. Gaat de betrokkene niet in op het verzoek tot bijkomende informatie, mag u het verzoek tot inzage weigeren.

Tenzij uitdrukkelijk anders vermeld, moet een verzoek tot inzage worden geacht betrekking te hebben op alle persoonsgegevens betreffende de betrokkene. Wanneer u grote hoeveelheden persoonsgegevens verwerkt, en u twijfels heeft of het verzoek werkelijk gericht is op alle verwerkingen betreffende de betrokkene, kan u aan de betrokkene vragen om zijn of haar verzoek te preciseren. In dat geval moet u tegelijkertijd wel betekenisvolle informatie geven aan de betrokkene over alle voor hem of haar relevante verwerkingsactiviteiten, bijvoorbeeld over de verschillende bedrijfsactiviteiten, verschillende databanken, etc. Als de betrokkene bevestigt dat hij of zij inzage wenst in al zijn of haar persoonsgegevens, moet u alsnog volledige inzage verlenen.

Op voorwaarde dat u zonder onredelijke vertraging na ontvangst van het verzoek de bijkomende informatie over de identiteit en/of de draagwijdte van het verzoek hebt gevraagd, begint de antwoordtermijn van 1 plus 2 maanden pas te lopen van zodra u de nodige informatie heeft ontvangen van de betrokkene.

Het recht op een kopie van de persoonsgegevens houdt niet automatisch in dat u de betrokkene een kopie moet bezorgen van de originele documenten met diens persoonsgegevens. Het recht op een kopie slaat enkel op de persoonsgegevens die verwerkt worden. Het kan dan ook volstaan om een overzicht te bezorgen van de persoonsgegevens. Belangrijk is dat de toegang wordt verschaft op een manier die de betrokkene toelaat zijn persoonsgegevens te bewaren en erop terug te komen. Louter mondelinge informatie of on site toegang is met andere woorden niet voldoende, tenzij de betrokkene daar uitdrukkelijk om verzoekt.

De bijkomende informatie onder het recht op inzage kan u baseren op de informatie in het register van verwerkingsactiviteiten en de privacyverklaring van uw onderneming. Het kan noodzakelijk zijn om die informatie te updaten of aan te passen naargelang de specifieke betrokkene. Zo is het bijvoorbeeld aangewezen om de ontvangers (bij naam) te noemen die de gegevens van de betrokkene effectief hebben ontvangen. Wat betreft de bewaartermijnen kan het dan weer zinvol zijn om het effectieve tijdstip mee te geven waarop de gegevens zullen verwijderd worden of te preciseren wanneer de bewaartermijn effectief begint te lopen. Weet dat de uitzondering van artikel 15.4 AVG niet van toepassing is op het recht op bijkomende informatie. Betrokkene hebben dus altijd recht op bijkomende informatie.

Wanneer het verzoek tot inzage een grote hoeveelheid persoonsgegevens betreft, kan het verder ook aangewezen zijn om het verzoek tot inzage op een gelaagde manier te beantwoorden, eerder dan alle gegevens en informatie in bulk aan de betrokkene over te maken. Hierbij moet u rekening houden met welke informatie het meest relevant is voor de betrokkene. In de context van online data-analyses, bijvoorbeeld, moet de informatie over het segment waarin de betrokkene werd geplaatst, opgenomen worden in een eerste laag, terwijl in een tweede laag persoonsgegevens over bijvoorbeeld het gedrag op een website opgenomen kunnen worden.

Tot slot, zorg ervoor dat er geen persoonsgegevens van de betrokkene verwijderd worden terwijl u het verzoek tot inzage behandelt. Het antwoord op het verzoek tot inzage moet de verwerking reflecteren op het ogenblik dat het verzoek werd ingediend. Dit betreft dus ook gegevens die mogelijk onjuist of onrechtmatig worden verwerkt.