Recht op inzage

Hierna leest u hoe u een organisatie om inzage kunt vragen. En wat u dan van de organisatie kunt verwachten.

Inzage in 5 stappen

Vraagt u een organisatie om inzage in uw persoonsgegevens? Dan zijn er 5 stappen die u en de organisatie moeten doorlopen. Hierna leest u welke stappen dat zijn. Op deze pagina leest u ook meer over wat deze stappen precies inhouden.

1. Zo vraagt u inzage: u stuurt uw verzoek per e-mail of brief naar de organisatie.
2. Heeft de organisatie een vraag over uw verzoek? Dan neemt de organisatie contact met u op.
3. De organisatie moet controleren of u bent wie u zegt dat u bent. Zodat uw persoonsgegevens niet onbedoeld naar de verkeerde persoon gaan.
4. De organisatie moet binnen 1 maand reageren op uw verzoek. De organisatie laat u dan weten of u de gevraagde informatie krijgt. Of dat de organisatie (een deel van) uw verzoek weigert en waarom.
5. U krijgt inzage in uw persoonsgegevens. Tenzij de organisatie uw verzoek heeft geweigerd.

Heeft u inzage gekregen in uw gegevens, dan kunt u uw andere privacyrechten gebruiken. U kunt bijvoorbeeld aan de organisatie vragen om uw gegevens te verwijderen of te wijzigen als die niet kloppen.

1. Zo vraagt u inzage

Stuur een e-mail of brief naar de organisatie waarbij u inzage wilt. U kunt voor uw verzoek de voorbeeldbrief inzage van de Autoriteit Persoonsgegevens (AP) gebruiken.

Uw verzoek schriftelijk doen is handig om bewijsmateriaal te krijgen. Want reageert de organisatie niet op uw verzoek? Of weigert de organisatie uw verzoek? Dan kunt u laten zien welke stappen u heeft ondernomen. Dit is nodig als u een klacht wilt indienen bij de AP of als u naar de rechter wilt gaan. De AP vraagt namelijk om bewijs van uw contact met de organisatie. Bijvoorbeeld een e-mail.

Welke persoonsgegevens?

U heeft in principe recht op inzage in al uw persoonsgegevens. U hoeft dus niet aan te geven in welke persoonsgegevens u precies inzage wilt. U hoeft ook niet te zeggen waarom u inzage wilt. 

De organisatie mag niet geheimzinnig doen over welke gegevens de organisatie van u heeft, waar die vandaan komen en wat ermee gebeurt.

Het kan wel zijn dat de organisatie heel veel informatie over u heeft. De organisatie kan dan contact met u opnemen om te vragen waarin u precies inzage wilt. Maar u bent niet verplicht om daar antwoord op te geven.

Inzage kost niets

De organisatie mag geen geld vragen als u inzage wilt in uw persoonsgegevens. Tenzij u om extra kopieën vraagt. Dan mag de organisatie een redelijke vergoeding vragen.

2. Organisatie heeft een vraag

De organisatie kan een vraag hebben over uw verzoek. Bijvoorbeeld omdat:

• Er iets niet duidelijk is.
• De organisatie heel veel informatie over u heeft. En wil weten of u dat echt allemaal wil ontvangen. 

Heeft de organisatie een vraag, dan neemt de organisatie contact met u op.

3. Organisatie moet uw identiteit controleren

Voordat de organisatie uw verzoek in behandeling neemt, moet de organisatie uw identiteit controleren. Dat is om uw privacy te beschermen. Zodat niet iemand anders toegang krijgt tot uw gegevens.

4. Organisatie moet binnen 1 maand reageren

De organisatie is verplicht binnen 1 maand per brief of e-mail te reageren op uw verzoek. Maar is uw verzoek ingewikkeld? Of heeft u meerdere verzoeken aan dezelfde organisatie gestuurd? Dan mag de organisatie er 2 maanden langer over doen. De organisatie moet u dan wel binnen 1 maand laten weten dat het langer gaat duren en waarom dat zo is.

In de reactie moet de organisatie u laten weten of de organisatie aan uw verzoek voldoet. En zo ja, wat de organisatie dan precies gaat doen.

Lees wat u kunt doen als de organisatie niet of niet op tijd reageert

5. Deze gegevens krijgt u

Het doel van het recht op inzage is dat u moet kunnen controleren of uw persoonsgegevens kloppen. En of de organisatie uw persoonsgegevens op de goede manier verwerkt. Dat betekent: zoals in de wet staat dat het moet.

De organisatie is verplicht om u een kopie van uw persoonsgegevens te geven. Dit betekent niet automatisch dat u een kopie ontvangt van alle documenten waarin uw persoonsgegevens staan. Het gaat om een kopie van uw gegevens, niet van de documenten. Daarom krijgt u meestal een overzicht met daarin uw persoonsgegevens.

Overzicht van uw persoonsgegevens

Om een overzicht van uw persoonsgegevens te maken, kopieert de organisatie uw persoonsgegevens uit de documenten waarin deze gegevens staan. De organisatie zet alle persoonsgegevens bij elkaar en stuurt het overzicht naar u.

Meestal is een overzicht van gekopieerde persoonsgegevens genoeg om te controleren of uw persoonsgegevens kloppen. En of de organisatie uw persoonsgegevens op de goede manier verwerkt.

Voorbeeld: u krijgt een overzicht van uw gegevens
U bent klant bij een sportclub en u wilt weten welke gegevens de club van u heeft. Daarom vraagt u om inzage. U krijgt een document met uw naam, adres, geboortedatum, informatie over uw lidmaatschap, betalingsgegevens, bezoekgegevens en of u bent ingeschreven voor nieuwsbrieven. Met dit overzicht kunt u eenvoudig controleren of uw gegevens kloppen en hoe de sportclub uw gegevens gebruikt. Zonder dat u door allerlei documenten hoeft te gaan. Het overzicht is genoeg om te zien of alles klopt.

Uitzondering: kopieën van hele documenten

Soms moet de organisatie u kopieën van de hele documenten sturen in plaats van een overzicht met gekopieerde persoonsgegevens. Maar dat is een uitzondering.

Deze uitzondering geldt bijvoorbeeld wanneer u de hele documenten echt nodig heeft om uw privacyrechten uit de AVG te kunnen gebruiken. Zoals uw recht op rectificatie en verwijdering van uw persoonsgegevens.

U moet dan wel duidelijk maken aan de organisatie welk privacyrecht u wilt gebruiken. En waarom dat volgens u niet kan met alleen het overzicht van uw gekopieerde persoonsgegevens.

De organisatie kan ook zelf besluiten om u hele documenten te geven in plaats van een overzicht. Dat is de organisatie verplicht als u zonder de documenten niet goed de context kunt begrijpen waarin uw persoonsgegevens zijn verwerkt.

Let op: Geeft de organisatie u hele documenten? Dan moet de organisatie rekening houden met de privacy van andere mensen. Staan er ook persoonsgegevens van anderen in een document? Dan moet de organisatie die persoonsgegevens uit het document halen of onleesbaar maken.

Welke gegevens krijgt u niet?

U krijgt alleen inzage in persoonsgegevens waarbij u zelf kunt controleren of die kloppen. Want daarvoor is het recht op inzage bedoeld. Dit betekent dat u geen inzage krijgt in:

• een mening, verklaring of persoonlijke aantekening van iemand anders;
• een professionele analyse van uw persoonsgegevens, zoals een juridische analyse in een procedure of een financieel rapport van een bank.

Informatie over het gebruik van uw persoonsgegevens

De organisatie moet u ook informatie geven over het gebruik van uw persoonsgegevens. De organisatie moet u laten weten:

• Voor welk doel de organisatie uw gegevens gebruikt.
• Welke soorten gegevens de organisatie gebruikt.
• Welke organisaties of soorten organisaties uw gegevens eventueel ontvangen.
• Of de organisatie uw persoonsgegevens doorgeeft aan landen buiten de EER of aan internationale organisaties. En zo ja, welke maatregelen de organisatie dan neemt om zorgvuldig met uw persoonsgegevens om te gaan.
• Hoe lang de organisatie uw persoonsgegevens bewaart. Kan de organisatie dit niet precies aangeven? Dan moet de organisatie in elk geval duidelijk maken hoe de organisatie de bewaartermijn bepaalt.
• Wat uw privacyrechten zijn. En dat u het recht heeft een klacht in te dienen bij de AP.
• Hoe de organisatie aan uw gegevens is gekomen, als u de gegevens niet zelf aan de organisatie heeft doorgegeven.
• Of de organisatie automatische besluiten over mensen neemt, inclusief profilering. En zo ja, waarom de organisatie dat doet, op basis van welke logica en welke gevolgen dat voor u kan hebben.

Organisatie reageert niet of niet op tijd

Heeft u binnen 1 maand nog geen reactie gekregen van de organisatie? Dan kunt u contact opnemen met de functionaris gegevensbescherming (FG), privacyfunctionaris of 'privacy officer' van de organisatie, als de organisatie die heeft. De contactgegevens van deze persoon vindt u in de privacyverklaring op de website van de organisatie.

Krijgt u ook geen reactie van deze persoon? Of bent u niet tevreden met de reactie? Wat u dan verder kunt doen, hangt ervan af of het gaat om een bedrijf of een overheidsorganisatie.

Bedrijf

U kunt een klacht indienen bij de AP. Of een verzoekschriftprocedure starten bij de rechter.

Overheidsorganisatie

U kunt een klacht indienen bij de AP. Of de overheidsorganisatie in gebreke stellen wegens niet tijdig beslissen. Krijgt u vervolgens na uw ingebrekestelling niet binnen 2 weken alsnog een besluit? Dan kunt u beroep wegens niet tijdig beslissen indienen bij de bestuursrechter.

Organisatie weigert inzage

De organisatie kan u gedeeltelijk inzage weigeren. Bijvoorbeeld om informatie in uw dossier af te schermen die over iemand anders gaat. Heeft iemand anders er naar verwachting bezwaar tegen dat u inzage krijgt? Dan moet de organisatie eerst vragen naar de mening van die persoon. En dan beslissen of u inzage krijgt.

Weigert de organisatie uw inzageverzoek? Dan moet de organisatie u laten weten waarom. Bent u het niet eens met het weigeren van uw verzoek? Dan kunt u een klacht indienen bij de AP. Let op: de AP vraagt u dan om te laten zien dat u eerst bij de organisatie heeft aangeklopt met uw klacht. U moet ook het vermoeden hebben dat de organisatie zich niet aan de regels houdt, en aangeven waarom u dat denkt.

U kunt ook een verzoekschriftprocedure starten bij de rechter, als het om een bedrijf gaat. Gaat het om een overheidsorganisatie? Dan kunt u bezwaar maken bij de overheidsorganisatie.