Recht op inzage

U heeft recht op inzage in de persoonsgegevens die organisaties van u verwerken. Dit recht is bedoeld om u meer grip te geven op uw persoonsgegevens. Ook kunt u hiermee controleren of organisaties zich aan de regels houden bij het verwerken van uw gegevens.

Vraagt u inzage aan een organisatie? Dan mag de organisatie niet geheimzinnig doen over welke gegevens de organisatie van u heeft, waar die vandaan komen en wat ermee gebeurt.

Heeft u inzage gekregen in uw gegevens, dan kunt u uw andere privacyrechten gebruiken. U kunt bijvoorbeeld aan de organisatie vragen om uw gegevens te wijzigen als die niet kloppen. Of om uw gegevens te verwijderen, bijvoorbeeld als de organisatie die in strijd met de wet gebruikt.

Hierna leest u hoe u een organisatie om inzage kunt vragen, en wat u dan van de organisatie kunt verwachten. 

Op deze pagina

Bepaal waarin u inzage wilt

Wilt u een organisatie om inzage vragen? Dan heeft u in principe recht op inzage in ál uw persoonsgegevens. Maar dit kan heel veel zijn. Het is bijvoorbeeld inclusief:

  • persoonsgegevens uit e-mails;
  • eventuele opgenomen telefoongesprekken;
  • eventuele correspondentie die de organisatie over u heeft gehad met andere organisaties. 

Bedenk daarom van tevoren met welk doel u precies inzage wilt. Bijvoorbeeld:

  • U wilt controleren of de organisatie niet onnodig veel persoonsgegevens van u heeft vastgelegd in uw persoonlijke dossier.
  • U wilt alleen maar meer informatie over wat de organisatie met uw persoonsgegevens doet.

Zo vraagt u inzage

Stuur een e-mail of  brief naar de organisatie waarbij u inzage wilt. U kunt voor uw verzoek de voorbeeldbrief inzage van de Autoriteit Persoonsgegevens gebruiken.

Geef in uw e-mail of brief welke persoonsgegevens u wilt inzien. Heeft een organisatie heel veel gegevens over u? En heeft u zelf niet aangegeven welke gegevens u wilt inzien? Dan kan de organisatie contact met u opnemen om te vragen waarin u precies inzage wilt.

Schriftelijk inzageverzoek 

Uw verzoek schriftelijk doen, dus met een brief of e-mail, is handig om bewijsmateriaal te krijgen. Want reageert de organisatie niet op uw verzoek? Of weigert de organisatie uw verzoek? Dan kunt u laten zien welke stappen u heeft ondernomen. Dit is nodig als u een klacht wilt indienen bij de Autoriteit Persoonsgegevens (AP) of als u naar de rechter wilt gaan.

Organisatie moet uw identiteit controleren

Voordat de organisatie uw verzoek in behandeling neemt, moet de organisatie uw identiteit controleren. Dat is om uw privacy te beschermen. Zodat niet iemand anders toegang krijgt tot uw gegevens.

Organisatie moet binnen 1 maand reageren

De organisatie is verplicht binnen 1 maand per brief of e-mail te reageren op uw verzoek. Maar is uw verzoek ingewikkeld? Of heeft u meerdere verzoeken aan dezelfde organisatie gestuurd? Dan mag de organisatie er 2 maanden langer over doen. De organisatie moet u dan wel binnen 1 maand laten weten dat het langer gaat duren en waarom dat zo is.

In de reactie moet de organisatie u laten weten of de organisatie aan uw verzoek voldoet. En zo ja, wat de organisatie dan precies gaat doen. 

Organisatie reageert niet of niet op tijd

Heeft u binnen 1 maand nog geen reactie gekregen van de organisatie? Dan kunt u contact opnemen met de functionaris gegevensbescherming (FG), privacyfunctionaris of 'privacy officer' van de organisatie, als de organisatie die heeft. De contactgegevens van deze persoon vindt u in de privacyverklaring op de website van de organisatie.

Krijgt u ook geen reactie van deze persoon? Of bent u niet tevreden met de reactie? Wat u dan verder kunt doen, hangt ervan af of het gaat om een bedrijf of een overheidsorganisatie.

Bedrijf

U kunt een klacht indienen bij de AP. Of een verzoekschriftprocedure starten bij de rechter.

Overheidsorganisatie

U kunt een klacht indienen bij de AP. Of de overheidsorganisatie in gebreke stellen wegens niet tijdig beslissen. Krijgt u vervolgens na uw ingebrekestelling niet binnen 2 weken alsnog een besluit? Dan kunt u beroep wegens niet tijdig beslissen indienen bij de bestuursrechter.  

Organisatie weigert inzage

De organisatie kan u gedeeltelijk inzage weigeren. Bijvoorbeeld om informatie in uw dossier af te schermen die over iemand anders gaat. Heeft iemand anders er naar verwachting bezwaar tegen dat u inzage krijgt? Dan moet de organisatie eerst vragen naar de mening van die persoon. En dan beslissen of u inzage krijgt.

Weigert de organisatie uw inzageverzoek? Dan moet de organisatie u laten weten waarom. Bent u het niet eens met het weigeren van uw verzoek? Dan kunt u een klacht indienen bij de AP. Of u kunt een verzoekschriftprocedure starten bij de rechter, als het om een bedrijf gaat. Gaat het om een overheidsorganisatie? Dan kunt u bezwaar maken bij de overheidsorganisatie.

Dit krijgt u bij inzage

Met de persoonsgegevens die u van de organisatie ontvangt, moet u kunnen controleren of uw gegevens kloppen. En of de organisatie uw gegevens op de juiste manier verwerkt. Daarom moet de organisatie u een kopie geven van uw persoonsgegevens. 

Kopie van uw gegevens

De organisatie kan u op 2 manieren een kopie geven van uw persoonsgegevens:

  1. Door kopieën te maken van alle documenten waarin uw persoonsgegevens staan.
  2. Door alleen uw persoonsgegevens te kopiëren in plaats van de hele documenten. En deze gegevens vervolgens bij elkaar te zetten in een compleet overzicht.

De organisatie is verplicht om het op de eerste manier te doen als u echt de documenten zelf nodig heeft om goed de context te kunnen begrijpen waarin uw persoonsgegevens zijn verwerkt.

De tweede manier mag als een overzicht genoeg is voor u om te kunnen controleren welke persoonsgegevens de organisatie van u verwerkt, of die gegevens kloppen en of de organisatie de gegevens op de juiste manier verwerkt.

Meestal zal een overzicht genoeg zijn. De hele documenten zijn dan niet nodig.

Informatie over het gebruik van uw persoonsgegevens

De organisatie moet u ook informatie geven over het gebruik van uw persoonsgegevens. De organisatie moet u laten weten:

  • Voor welk doel de organisatie uw gegevens gebruikt.
  • Welke soorten gegevens de organisatie gebruikt.
  • Welke organisaties of soorten organisaties uw gegevens eventueel ontvangen.
  • Of de organisatie uw persoonsgegevens doorgeeft aan landen buiten de EER of aan internationale organisaties. En zo ja, welke maatregelen de organisatie dan neemt om zorgvuldig met uw persoonsgegevens om te gaan.
  • Hoe lang de organisatie uw persoonsgegevens bewaart. Kan de organisatie dit niet precies aangeven? Dan moet de organisatie in elk geval duidelijk maken hoe de organisatie de bewaartermijn bepaalt.
  • Wat uw privacyrechten zijn. En dat u het recht heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens.
  • Hoe de organisatie aan uw gegevens is gekomen, als u de gegevens niet zelf aan de organisatie heeft doorgegeven.
  • Of de organisatie automatische besluiten over mensen neemt, inclusief profilering. En zo ja, waarom de organisatie dat doet, op basis van welke logica en welke gevolgen dat voor u kan hebben.

Uw gegevens inzien kost niets

De organisatie mag geen geld vragen als u uw gegevens wilt inzien. Tenzij u om extra kopieën vraagt. Dan mag de organisatie een redelijke vergoeding vragen.