Recht op inzage

Vraagt iemand inzage aan een organisatie? Dan mag de organisatie niet geheimzinnig doen over welke gegevens de organisatie heeft van deze persoon, waar die vandaan komen en wat ermee gebeurt.

Hebben mensen inzage gekregen in hun gegevens, dan kunnen zij hun andere privacyrechten gebruiken. Zij kunnen bijvoorbeeld aan de organisatie vragen om hun gegevens te wijzigen als die niet kloppen. Of om hun gegevens te wissen, bijvoorbeeld als de organisatie die in strijd met de wet gebruikt.

Inzage vragen

Wilt u inzage in uw persoonsgegevens bij een organisatie? Stuur dan een e-mail of  brief. U kunt voor uw verzoek de voorbeeldbrief inzage van de Autoriteit Persoonsgegevens gebruiken.

U heeft in principe recht op inzage in ál uw persoonsgegevens. Maar dit kan heel veel zijn. Het is bijvoorbeeld inclusief:

• persoonsgegevens uit e-mails;
• eventuele opgenomen telefoongesprekken;
• eventuele correspondentie die de organisatie over u heeft gehad met andere organisaties. 

Bedenk daarom van tevoren met welk doel u precies inzage wilt. Bijvoorbeeld:

• U wilt controleren of de organisatie niet onnodig veel gegevens van u heeft vastgelegd in uw persoonlijke dossier.
• U wilt alleen maar meer informatie over wat de organisatie met uw gegevens doet.

Geef vervolgens aan in uw e-mail of brief welke gegevens u wilt inzien. Heeft een organisatie heel veel gegevens over u? En heeft u zelf niet aangegeven welke gegevens u wilt inzien? Dan kan de organisatie contact met u opnemen om te vragen waarin u precies inzage wilt.

Let op: De organisatie waar u het inzageverzoek doet, moet eerst uw identiteit vaststellen. En heeft een bepaalde tijd om te reageren. Zie verder: Uw privacyrechten gebruiken.

Inzage krijgen

Met de persoonsgegevens die u van de organisatie ontvangt, moet u kunnen controleren of uw gegevens kloppen. En of de organisatie uw gegevens op de juiste manier verwerkt. Daarom moet de organisatie u een kopie geven van uw persoonsgegevens. Dit kan de organisatie op 2 manieren doen:

1. Door kopieën te maken van alle documenten waarin uw gegevens staan.
2. Door alleen uw persoonsgegevens te kopiëren in plaats van de hele documenten. En deze gegevens vervolgens bij elkaar te zetten in een compleet overzicht.

De organisatie is verplicht om het op de eerste manier te doen als u echt de documenten zelf nodig heeft om goed de context te kunnen begrijpen waarin uw persoonsgegevens zijn verwerkt.

De tweede manier mag als een overzicht genoeg is voor u om te kunnen controleren welke persoonsgegevens de organisatie van u verwerkt, of die gegevens kloppen en of de organisatie de gegevens op de juiste manier verwerkt.

Meestal zal een overzicht genoeg zijn. De hele documenten zijn dan niet nodig.

Informatie over het gebruik van uw persoonsgegevens

Tot slot moet de organisatie u ook informatie geven over het gebruik van uw persoonsgegevens. De organisatie moet u laten weten:

• Voor welk doel de organisatie uw gegevens gebruikt.
• Welke soorten gegevens de organisatie gebruikt.
• Welke organisaties of soorten organisaties uw gegevens eventueel ontvangen.
• Of de organisatie uw persoonsgegevens doorgeeft aan landen buiten de Europese Economische Ruimte (EER) of aan internationale organisaties. En zo ja, welke maatregelen de organisatie dan neemt om zorgvuldig met uw persoonsgegevens om te gaan.
• Hoe lang de organisatie uw persoonsgegevens bewaart. Kan de organisatie dit niet precies aangeven? Dan moet de organisatie in elk geval duidelijk maken hoe de organisatie de bewaartermijn bepaalt.
• Wat uw privacyrechten zijn. En dat u het recht heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens.
• Hoe de organisatie aan uw gegevens is gekomen, als u de gegevens niet zelf aan de organisatie heeft doorgegeven.
• Of de organisatie automatische besluiten over mensen neemt, inclusief profilering. En zo ja, waarom de organisatie dat doet, op basis van welke logica en welke gevolgen dat voor u kan hebben.

Uw gegevens inzien kost niets

De organisatie mag geen geld vragen als u uw gegevens wilt inzien. Tenzij u om extra kopieën vraagt. Dan mag de organisatie een redelijke vergoeding vragen.

De organisatie weigert gedeeltelijke inzage

De organisatie kan u gedeeltelijk inzage weigeren. Bijvoorbeeld om informatie in uw dossier af te schermen die over iemand anders gaat. Heeft iemand anders er naar verwachting bezwaar tegen dat u inzage krijgt? Dan moet de organisatie eerst vragen naar de mening van die persoon. En dan beslissen of u inzage krijgt.

Voor organisaties: recht op inzage in de praktijk

Ontvangt u als organisatie een inzageverzoek? Kijk dan bij Privacyrechten in de praktijk voor wat u moet doen om volgens de regels met het verzoek om te gaan (o.a. identiteit aanvrager controleren, reactietermijn). Verder gelden bij het recht op inzage bijzonderheden in de volgende situaties:

• onduidelijkheid over welke gegevens iemand wil inzien;
• een kopie van persoonsgegevens geven;
• inzage geven in toegang tot persoonsgegevens;
• informatie geven over de verwerking;
• kosten rekenen bij extra kopieën.

Onduidelijkheid over welke gegevens iemand wil inzien

Is het niet duidelijk in welke persoonsgegevens iemand inzage wil? En gaat het om veel gegevens? Neem dan contact op met deze persoon om te vragen waarin diegene precies inzage wil. Bevestig altijd schriftelijk wat u heeft besproken. Zo voorkomt u misverstanden.

Een kopie van persoonsgegevens geven

Geef een kopie van de persoonsgegevens waarin iemand inzage wil. Op welke manier u dat moet doen, hangt van de situatie af. Er zijn 2 manieren:

1. de documenten kopiëren;
2. een volledig overzicht samenstellen. 

1. De documenten kopiëren

U kunt verplicht zijn om een kopie te maken van alle documenten waarin de gevraagde persoonsgegevens voorkomen. Dit bent u verplicht als deze documenten onontbeerlijk zijn voor de verzoeker om goed de context te kunnen begrijpen waarin u de persoonsgegevens heeft verwerkt. Let wel op dat u hierbij niet per ongeluk de persoonsgegevens van anderen deelt.

U bent niet verplicht om de documenten te kopiëren als de verzoeker informatie probeert te verzamelen om een klacht of bezwaarschrift te onderbouwen of een procedure te starten. Daarvoor is het inzagerecht niet bedoeld.

2. Een compleet overzicht maken

Meestal zijn de hele documenten niet nodig voor de verzoeker om te kunnen controleren welke persoonsgegevens u van deze persoon verwerkt, of die gegevens kloppen en of u de gegevens op de juiste manier verwerkt. U mag dan een compleet overzicht maken. 

In het overzicht kopieert u alle persoonsgegevens die u van iemand verwerkt, tenzij anders met diegene afgesproken. Dat het een compleet overzicht moet zijn, betekent dat bepaalde persoonsgegevens vaker in het overzicht kunnen voorkomen. Bijvoorbeeld wanneer u iemands adres op meerdere plekken heeft staan. Zie het Voorbeeldoverzicht inzage persoonsgegevens. 

Om de persoon in kwestie goed te informeren, kan het ook nodig zijn dat u informatie geeft over het soort document waarin de persoonsgegevens staan. Bijvoorbeeld door aan te geven dat het persoonsgegeven in een e-mail voorkomt of door een bestandsnaam te vermelden.

Inzage geven in toegang tot persoonsgegevens

Mensen hebben ook het recht om te weten wie binnen uw organisatie toegang heeft gehad tot hun gegevens. Dus vraagt iemand die een inzageverzoek bij u doet hierom, dan verstrekt u een overzicht van (categorieën van) medewerkers die toegang hebben gehad. U stelt dit overzicht samen op basis van uw logbestanden.

Informatie geven over de verwerking

Naast een kopie van de persoonsgegevens moet u bij inzageverzoeken ook informatie geven over de verwerking.

Kosten rekenen bij extra kopieën

Als de aanvrager extra kopieën wil, mag u daarvoor een redelijke vergoeding vragen.