AVG compliance: verzoeken om inzage of correctie, hoe gaat u daarmee om? (14/20)

De nieuwe Europese privacywet, de Algemene Verordening Gegevensbescherming of AVG, brengt niet alleen nieuwe regels voor bedrijven maar ook nieuwe rechten voor personen. Deze rechten zijn bedoeld om mensen de macht te geven hun gegevens juist en volledig te houden. Dit is uitgewerkt als rechten van inzage en correctie, maar ook verwijdering (“recht te worden vergeten”) is een wettelijk recht.

Het recht van inzage is fundamenteel. Iedereen heeft het recht om aan een organisatie te vragen welke persoonsgegevens van hem worden verwerkt. Hij moet dan een gecategoriseerd overzicht krijgen van de betreffende gegevens, inclusief voor welke doelen deze worden gebruikt, de ontvangers, de bewaartermijn en de bron daarvan. Ook moet hij op zijn overige rechten (correctie, verwijdering, klacht bij toezichthouder) worden gewezen.

Er mogen geen kosten worden gerekend, ook niet als het gaat om veel informatie en ook niet als het veel tijd kost om het een en ander te verzamelen. Alleen als iemand evident het recht misbruikt, is weigering mogelijk. Hiervan is vrijwel nooit sprake, en de bewijslast ligt bij de verantwoordelijke dat er sprake is van misbruik.

De betrokken persoon heeft in beginsel recht op een kopie van álle persoonsgegevens van hem. Niet alleen het formele dossier, maar ook andere gegevens die over hem gaan. Een werknemer mag dus zijn personeelsdossier inzien, maar ook zijn in- en uitkloktijden bij de receptie bijvoorbeeld. Weigeren bepaalde gegevens te verstrekken (zoals een mail van de manager naar een collega die óver deze persoon gaat) zou alleen kunnen als de privacy van andere personen daardoor onevenredig wordt geschaad.

Specifiek wanneer de persoonsgegevens worden verwerkt met toestemming of onder een contract (waarover we het in deel 5 hebben gehad), heeft de betrokken persoon het expliciete recht om die persoonsgegevens in een digitaal leesbaar standaardformaat te ontvangen. Met de gegevens in dat formaat kan hij ze dan elders hergebruiken of publiceren.

Wie inzage heeft gehad, ziet wellicht fouten of onvolledigheden. De betrokkene heeft dan ook het recht om deze te laten corrigeren. Dit moet onverwijld worden doorgevoerd, en ook hier mogen geen kosten voor worden gerekend. Het moet wel gaan om evidente fouten (zoals typefouten of verouderde informatie), men kan niet via een correctieverzoek bijvoorbeeld beoordelingen of uitkomsten laten veranderen.

Blijken gegevens achterhaald of niet meer relevant, dan kan men in plaats van correctie ook verwijdering van de gegevens te verlangen. De verantwoordelijke mag dit alleen weigeren als hij kan aantonen dat de gegevens nog wél relevant zijn.

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.