Management

Dit is een bijdrage van KPMG
Security
Hoe reageert u op een verzoek tot inzage

Hoe reageert u op een ‘verzoek tot inzage'?

In 4 stappen goed voorbereid

8 april 2019
Door: KPMG, partner

In 4 stappen goed voorbereid

Verwerkt uw organisatie persoonsgegevens, bereidt u dan voor op een ‘verzoek tot inzage’. Op basis van de Algemene verordening gegevensbescherming (AVG) mag elke betrokkene – klant of andere relatie – namelijk zijn of haar gegevens bij u opvragen. Oftewel: een verzoek tot inzage indienen. De rapportages van de Autoriteit Persoonsgegevens (AP) laten zien dat veel mensen gebruikmaken van dit recht. Voorbereid zijn op dit verzoek is dus geen overbodige luxe.

Meer dan een ‘mijn profiel’-pagina
Biedt u uw klanten of relaties de mogelijkheid om via een eigen account of ‘mijn profiel’-pagina hun gegevens te beheren? Dan is een verwijzing hiernaar onvoldoende. In de AVG staat namelijk dat álle informatie over een natuurlijk persoon moet worden verstrekt. En dat is meer dan wat doorgaans in een ‘mijn profiel’-pagina staat.

Zo bereidt u zich voor
Organiseer deze 4 stappen goed, zodat u klaar bent om een verzoek tot inzage te beantwoorden.

  1. Neem verzoek tot inzage op in uw privacystatement
    Voor betrokkenen moet duidelijk zijn aan wie ze het verzoek kunnen richten en hoe ze het verzoek kunnen indienen. Dat doet u door in uw privacystatement op de website een contactpersoon met contactgegevens op te nemen. Dit kan bijvoorbeeld de Functionaris Gegevensbescherming (FG) zijn.
     
  2. Stel identiteit vast met zo min mogelijk gegevens
    Kunt u de identiteit van een verzoeker niet redelijkerwijs vaststellen? Van de AVG mag u niet zomaar om een kopie legitimatiebewijs vragen (dat mag alleen bij een wettelijke verplichting). Toch bent u wel verplicht de identiteit vast te stellen. Zorg dat u dat met zo weinig mogelijk gegevens kunt doen. Een e-mailadres in combinatie met een naam of adres kan bijvoorbeeld al voldoende zijn. Door het sturen van een verificatiemail kunt u de identiteit van de aanvrager en de juistheid van het verzoek tot inzage nagaan.
     
  3. Bepaal hoe te reageren op het inzageverzoek
    U kunt op verschillende manieren reageren. De meest praktische manier is door alle persoonsgegevens te exporteren naar – bijvoorbeeld – een Excelbestand. Soms komen dezelfde persoonsgegevens op meerdere plekken terug, bijvoorbeeld vanwege verschillende doeleinden van verwerking. In zo’n Excelbestand zullen veel gegevens dus dubbel staan. In sommige gevallen kan een verzoeker worden uitgenodigd om de persoonsgegevens ter plekke in te zien. Dat kan bijvoorbeeld wenselijk zijn wanneer het gaat om audiologs of camerabeelden.
     
    Voor welke manier uw organisatie ook kiest, het overzicht moet in ieder geval ook het volgende bevatten:
    - De aard van het document (bron) waarin de persoonsgegevens voorkomen of staan of hoe de organisatie aan uw  persoonsgegevens is gekomen.
    - Doel van de gegevens.
    - Met welke partijen/organisaties de gegevens worden gedeeld.
    - Hoelang de gegevens bewaard worden.
    - Of er sprake is van geautomatiseerde besluitvorming, waaronder profilering.
    - Of er persoonsgegevens worden doorgegeven aan landen buiten de EU en of daartoe de juiste maatregelen zijn getroffen.
    - Wat uw rechten zijn en hoe u een klacht kunt indienen bij de AP.
     
  4. Reageer binnen 1 maand
    De AVG verplicht u binnen 1 maand te reageren. Wanneer uw organisatie veel verzoeken ontvangt of wanneer het inzageverzoek erg ingewikkeld is, kunt u de termijn verlengen. Dat kan met maximaal 2 maanden. Vergeet niet de verzoeker daar tijdig over te informeren.

Zo helpt KPMG
Het onderhouden van een vertrouwensrelatie met uw klanten en medewerkers is essentieel voor een langdurig succesvolle organisatie. Om deze in stand te houden, kunt u een ‘Data Protection Officer’ (‘DPO’ of in het Nederlands Functionaris Gegevensbescherming of ‘FG’ genaamd) aanstellen.

Afhankelijk van de aard van de persoonsgegevens die door uw organisatie worden verwerkt en de privacy-volwassenheid van uw organisatie, biedt het extern inhuren van een DPO voordelen qua flexibiliteit, aanwezigheid op afroep en de juiste ervaring. KPMG beschikt over ervaren professionals die bij diverse organisaties en sectoren als externe DPO functioneren. Een dienstverlening die wij 'DPO as a Service' noemen.

Met DPO as a Service bieden we u een complete aanpak: onze privacy-experts kennen bedrijfsprocessen en -risico's door en door, kunnen privacyraamwerken goed doorvertalen naar uw bedrijf en hanteren daarbij een pragmatische en hands-on aanpak. Met een scala aan specialismen gerelateerd aan privacy, in Nederland én in Europa, weet u zeker dat u met een gerust hart verder kunt groeien.

Meer informatie
Wilt u meer informatie over hoe u de AVG voor ú kunt laten werken? Neem contact op met Chantal Rademaker de Ridder, Partner Cyber Security & Data Privacy.

Reactie toevoegen