Inzage- of verwijderverzoek ontvangen?

Heeft jouw organisatie een inzage- of verwijderverzoek ontvangen van een betrokkene? Weet je dan wat de vervolgstappen zijn? Wij merken dat veel organisaties het lastig vinden om een verzoek af te handelen. Welke afdeling pakt het verzoek op, waar staan alle persoonsgegevens, en hebben we de gegevens nog nodig of kunnen we alles zo klakkeloos verwijderen? In deze blog geven we tips en tricks om verzoeken van betrokkenen af te handelen.

De tijd tikt

Let op: het verzoek van de betrokkene moet binnen een maand na ontvangst afgehandeld worden. En als zo vaak in het recht geldt er een uitzondering, want in geval van een complex verzoek mag deze termijn met twee maanden verlengd worden. Doorgaans ontvangen organisaties “normale verzoeken” die dus binnen een maand afgerond moeten zijn. Zorg er dan ook voor dat een verzoek direct opgepakt wordt en laat het niet liggen tot het laatste moment. Betrek tijdig de functionaris gegevensbescherming er eventueel bij als diegene om advies gevraagd moet worden.

Kopie van de gegevens verstrekken

Wil een betrokkene weten welke persoonsgegevens een organisatie van hem/haar heeft, dan doet een betrokkene daarmee een beroep op het inzagerecht. Verwerkt de organisatie inderdaad persoonsgegevens van de betrokkene, dan heeft diegene onder meer het recht op onderstaande informatie:

  • Verwerkingsdoeleinden: waarom verwerkt de organisatie de persoonsgegevens?
  • Categorieën persoonsgegevens: om welke persoonsgegevens gaat het?
  • Categorieën ontvangers en derde landen: naar welke soort derde partijen worden de persoonsgegevens doorgestuurd, en naar welke landen?
  • Bewaartermijn: hoelang worden de gegevens bewaard?

De betrokkene heeft ook het recht op een kopie van de persoonsgegevens die verwerkt worden. En dat kan soms een heet hangijzer zijn. Als het verwerkingsregister namelijk niet op orde is, dan wordt het vrij lastig om te achterhalen welke persoonsgegevens er eigenlijk verwerkt worden van de betrokkene. Zorg er dan ook voor dat er een overzicht is van de persoonsgegevens die binnen de organisatie worden verwerkt.

Mogen alle gegevens weg?

Organisaties raken soms in paniek als zij een boos bericht ontvangen van een betrokkene. ‘Verwijder mijn gegevens!’, ‘Ik ga een klacht indienen als jullie mijn gegevens niet verwijderen!’, dat soort berichten hebben wij wel vaker gezien. Niet in alle gevallen mogen de gegevens verwijderd worden. Vaak geldt er een wettelijke bewaartermijn voor de organisatie. Denk bijvoorbeeld aan een kopie van het identiteitsbewijs van een medewerker (tot 5 jaar na uitdiensttreding), de fiscale bewaartermijn van 7 jaar, of een wettelijke bewaartermijn van minimaal 20 jaar voor medische dossiers. Controleer of er een wettelijke bewaartermijn geldt voordat persoonsgegevens worden verwijderd. En is dat het geval, leg dat dan ook rustig uit aan de betrokkene. Privacy is niet altijd een lastig onderwerp, soms maken we het onszelf moeilijk.


Meer lezen over dit onderwerp? Lees verder:

Terug naar overzicht