Verwerking persoonsgegevens en inzageverzoek AVG

0
520

Ik zie ik zie wat jij niet ziet…

Inge Brattinga
Inge Brattinga

Over het inzageverzoek van de AVG; wat houdt het in en hoe werkt het in de praktijk?

Door Inge Brattinga, VRF Advocaten

Vanaf deze maand zult u maandelijks door Gerrit van Rooij van Hello Flex Group en/of Inge Brattinga van VRF Advocaten geïnformeerd worden over allerlei praktische zaken met betrekking tot privacy. Deze maand start de reeks met het inzageverzoek op grond van artikel 15 Algemene Verordening Gegevensbescherming (AVG).

Steeds vaker worden organisaties in de flexbranche geconfronteerd met een verzoek van een (ex)uitzendkracht of kandidaat om informatie over de persoonsgegevens die van hem/haar worden verwerkt. In dit artikel ga ik in op het wettelijk kader van een dergelijke (inzage)verzoek en hoe u hier in de praktijk mee om kunt gaan.

Inzageverzoek artikel 15 AVG en artikel 35 UAVG
Een betrokkene van wie persoonsgegevens worden verwerkt heeft allerlei rechten, waaronder het recht van inzage ingevolge artikel 15 AVG.
Wat houdt dit recht van inzage nu precies in?

Als van iemand persoonsgegevens worden verwerkt of iemand vermoedt dit, dan heeft die betrokkene recht om bij die organisatie, de verwerkingsverantwoordelijke, uitsluitsel te krijgen over het al dan niet verwerken van persoonsgegevens, en wanneer dat het geval is, om inzage te verkrijgen in die persoonsgegevens en in de volgende informatie:

  • de verwerkingsdoeleinden;
  • de betrokken categorieën van persoonsgegevens;
  • de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name in derde landen of internationale organisaties (in dat geval ook welke waarborgen er zijn gesteld aan deze doorgifte);
  • de periode dat de persoonsgegevens naar verwachting zullen worden opgeslagen, of de criteria voor deze periode;
  • het recht van de betrokkene om de verwerkingsverantwoordelijke te verzoeken om persoonsgegevens aan te passen of wissen, of beperking van de verwerking van de persoonsgegevens, dan wel bezwaar te maken tegen de verwerking;
  • de betrokkene heeft het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens;
  • alle beschikbare informatie over de bron van die gegevens wanneer de persoonsgegevens niet bij de betrokkene worden verzameld;
  • het wel/niet bestaan van geautomatiseerde besluitvorming (denk aan profilering).

Er moet een kopie van de verwerkte persoonsgegevens worden verstrekt, voor zover dit geen inbreuk maakt op de rechten en vrijheden van anderen. Dit is bijvoorbeeld het geval in een verslag van een selectiegesprek met namen en meningen van deelnemers. Deze mag u niet verstrekken aan de betrokkene.

De Autoriteit Persoonsgegevens heeft voor betrokkenen een voorbeeldbrief voor het opvragen van persoonsgegevens op haar website opgenomen, zie voorbeeldbrief_inzage.pdf (autoriteitpersoonsgegevens.nl).

Het doel van dit recht is om een betrokkene in staat te stellen om zich van verwerking van persoonsgegevens op de hoogte te stellen en de rechtmatigheid van deze verwerking te controleren. In dit licht moet u het verzoek dan ook beoordelen. Het is dan ook van belang om de juiste maar ook niet meer gegevens te verstrekken dan waartoe u verplicht bent. Het inzagerecht volgens artikel 15 AVG is beperkt tot persoonsgegevens. De uitleg van dit begrip ‘persoonsgegevens’ is dus bepalend voor de reikwijdte van het inzagerecht.1 Dit betekent niet dat een betrokkene zonder meer recht heeft op inzage in, of kopieën van, de stukken of bestanden als daarin zijn persoonsgegevens voorkomen (denk aan e-mails etc.). Het Hof van Justitie heeft op 17 juli 2014 reeds bepaald dat ook gekeken moet worden of het mogelijk is aan het inzageverzoek te voldoen met een andere vorm van verstrekking.2

Er bestaat dus geen absoluut recht op inzage in alle stukken. Maar er bestaat in ieder geval een recht op een volledig verwerkingsoverzicht (in begrijpelijke vorm) van alle persoonsgegevens. Dat wil zeggen in een vorm die de betrokkene in staat stelt kennis te nemen van zijn gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met de AVG.3

De rechtbank Midden-Nederland merkt in haar uitspraak van 10 maart 2021 op dat het inzagerecht zich niet uitstrekt tot (delen van) interne notities die de persoonlijke gedachten van medewerkers van de verwerkingsverantwoordelijke bevatten (denk aan de indruk van de recruiter over een kandidaat) die uitsluitend bedoeld zijn voor intern overleg en beraad.4

Betrokkene kan op grond van artikel 35 Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) zich tot de rechtbank wenden met een schriftelijk verzoek om de verwerkingsverantwoordelijke te bevelen het verzoek als bedoeld in onder meer artikel 15 AVG al dan niet uit te voeren als de verwerkingsverantwoordelijke niet aan het inzageverzoek heeft voldaan of betrokkene het niet eens is met de wijze waarop door de verwerkingsverantwoordelijke aan het inzageverzoek is voldaan. Kortom, het niet of niet correct of tijdig voldoen aan een inzageverzoek kan u ook nog een procedure bij de rechtbank opleveren.

Hoe gaat u dan correct en volledig om met een inzageverzoek? Dit leest u in het vervolg van dit artikel.

Inzageverzoek in de praktijk
Stel allereerst vast waar betrokkene inzage in wil. Zijn dit alle persoonsgegevens die u van de betrokkene verwerkt of alleen de wijze waarop u met deze persoonsgegevens omgaat? Bepaal dus eerst de omvang van het inzageverzoek voordat u gaat reageren en verstrek niet meer dan waar om gevraagd wordt.

Let er vervolgens op dat u de identiteit van de betrokkene moet vaststellen, bijvoorbeeld door de aanvraag via de portal te laten doen waar de uitzendkracht toegang toe heeft, of eventueel een beperkt deel van het ID-bewijs van betrokkene te laten overleggen (alleen naam en plaats hoeven zichtbaar te zijn, het overige mag zwart worden gemaakt). Let wel op dat de drempel voor identificatie niet onnodig hoog wordt gemaakt. Iemand moet bijvoorbeeld langskomen, ID tonen en de gegevens ophalen of een volledig ID-bewijs sturen. Over dit laatste heeft de Spaanse toezichthouder in de case van Michael Page reeds geoordeeld dat dit onnodig is en leidde tot een forse boete.5

Als een gemachtigde van betrokkene het inzageverzoek doet dan moet hier een volmacht bij worden verstrekt, behoudens bij advocaten waarbij de volmacht op grond van de wet aanwezig is. Is er geen volmacht bijgevoegd, verstrek de gegevens dan alsnog rechtstreeks aan betrokkene en niet aan de gemachtigde. U wilt tenslotte niet de persoonsgegevens verstrekken aan een onbevoegd persoon, dan heeft u immers een datalek! Waarover in een ander artikel meer.

Daarnaast heeft u maximaal één maand de tijd om aan het verzoek te voldoen. Desalniettemin is het aan te bevelen zo snel als mogelijk aan het verzoek te voldoen. Dit geeft aan de betrokkene ook de juiste indruk, namelijk dat u weet waar u mee bezig bent en uw zaken goed op orde heeft.

U kunt aan een inzageverzoek voldoen door kopieën te maken van de documenten waarin de gegevens van betrokkene staan of door de persoonsgegevens te kopiëren in een overzicht. Bijvoorbeeld als volgt:


Maar natuurlijk is het het makkelijkste als betrokkene inzage krijgen via de eigen portal. Bijvoorbeeld ‘klik hier om te zien welke persoonsgegevens wij van u verwerken’, of ‘klik hier om uw verzoek in te dienen’.

Voldoe aan een inzageverzoek per post, beveiligde portal of encrypte e-mail. Maar niet in een onbeveiligde mail! U mag overigens geen kosten in rekening brengen hiervoor. De Autoriteit Persoonsgegevens heeft Bureau Kredietregistratie hiervoor een boete opgelegd.6

Tenslotte, zorg dat u in de organisatie beleid heeft over op welke wijze aan een inzageverzoek wordt voldaan, wie dit in behandeling neemt en let op de termijn van één maand waarbinnen aan het verzoek moet worden voldaan. Houdt voorts een overzicht bij van de verzoeken die u krijgt en hoe deze zijn afgewikkeld, maar leg hierbij minimale persoonsgegevens vast.

Voetnoten
1] ECLI:RBMNE:2021:1355
2] Hof van Justitie 17 juli 2014 (gevoegde zaken C-141/12 en C-372/12 YS tegen Minister voor Immigratie, Integratie en Asiel)
3] ECLI:RBMNE:2021:1355
4] O.a. Hof Amsterdam 5 juli 2011 ECLI:NL:GHAMS:2011:BR3020, Hoge Raad 29 juni 2007 ECLI:NL:HR:2007:AZ4663, ECLI:NL:HR:2007:AZ4664, ECLI:NL:HR:2007:BA3529.
5] Spaanse boete voor recruiter na Nederlandse klacht | Autoriteit Persoonsgegevens
6] Stichting Bureau Kredietregistratie (autoriteitpersoonsgegevens.nl)

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here