Alles over het inzagerecht en wat u ermee kunt

Sinds de komst van de AVG-wet op 25 mei 2018 is er een aantal privacyrechten verduidelijkt waar iedereen een beroep op kan doen. Zo heeft u het recht om bij bedrijven en organisaties persoonsgegevens op te vragen en in te zien. Hoe dient u een inzageverzoek in en wat kunt u ermee? 
 
Overheidsorganisaties en andere bedrijven die gegevens van u nodig hebben, kunnen en mogen deze gegevens bewaren. Er bestaan verschillende bewaartermijnen voor zowel de huisartsen, werkgevers en overheidsinstanties. De AVG zelf schrijft geen concrete bewaartermijnen voor, maar het uitgangspunt is dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is. Een bedrijf kan in het privacybeleid bijvoorbeeld vastleggen en onderbouwen hoe lang persoonsgegevens worden bewaard.  
Persoonsgegevens kunnen gaan om een naam en adres, maar in sommige gevallen kan ook om een e-mailadres en telefoonnummer gaan. Daarnaast kan er sprake zijn van bijzondere persoonsgegevens. Bijvoorbeeld als het gaat om gevoelige informatie zoals godsdienst, ras of gezondheid.

Inzagerecht

Een reden om een inzageverzoek bij een bedrijf of organisatie in te dienen, kan zijn omdat u vermoedt dat uw gegevens misschien niet kloppen. Ook kan het zijn dat u zich afvraagt of de gegevens wel op een juiste manier gebruikt worden. Het opvragen van uw gegevens kan inzicht geven in wat er precies over u bekend is.
Zelf kunt u bij verschillende organisaties de informatie die over u wordt bewaard, opvragen en inzien. In principe heeft u het recht om alles op te vragen wat er over u is verzameld. Daarnaast kunt u via een persoonlijk account bij bijvoorbeeld een webshop al heel veel bewaarde persoonsgegevens inzien, maar misschien dat de organisatie waar u een aanvraag bij doet meer data over u bezit. Dit kunnen bijvoorbeeld opgenomen telefoongesprekken zijn of e-mailcorrespondentie. Daarom is het slim om in de aanvraag te specificeren welke gegevens u graag in wilt zien.
Geeft u dit niet specifiek aan en heeft een bedrijf veel gegevens over u verzameld? Dan kan de organisatie contact opnemen om te vragen waar u precies inzage in wilt.
Een inzage aanvragen doet u door middel van een schriftelijk verzoek per brief of e-mail. Via de website van Autoriteit Persoonsgegevens kunt u een voorbeeldbrief downloaden, maar je kunt ook door middel van de website ‘My Data Done Right’ een verzoek aan een organisatie maken.
Een organisatie krijgt één maand de tijd om schriftelijk op uw inzageverzoek te reageren. Als u meerdere verzoeken indient of als het een ingewikkelde aanvraag is, dan mag de organisatie er twee maanden langer over doen. Wel moet de organisatie binnen één maand laten weten hoelang het nog zal duren en waarom.
Doorgaans mag een organisatie geen kosten in rekening brengen wanneer zij gegevens aan u verstrekt. Dat mag alleen als er extra kopieën worden verstrekt.

Identificeren

Daarnaast moet een bedrijf of organisatie kunnen identificeren wie de gegevens opvraagt. U kunt niet lukraak informatie van een willekeurig persoon opvragen. Hoewel het wel wordt gedaan, is het bijna nooit toegestaan om te vragen naar een kopie van uw ID. Wanneer een organisatie aangeeft dat een kopie noodzakelijk is, zorg dan dat je een veilige kopie verstrekt. Verberg het BSN (Burgerservicenummer) en geef duidelijk aan voor wie de kopie bedoeld is. Lees hier meer over hoe u op een veilige manier omgaat met een kopie van uw identiteitsbewijs.
Een bedrijf of organisatie kan iemand ook identificeren door middel van een inlogsysteem, een dubbele verificatie via sms of e-mail of door te vragen om in persoon langs te komen. Dat laatste mag geen reden zijn om een drempel op te werpen om inzage te geven. Als iemand niet in de buurt woont of niet in staat is om langs te komen, is het beter om bezoek als alternatief identificatiemiddel aan te bieden.

Verzoek ingediend, en dan?

Uiteindelijk krijgt u een kopie van uw verzamelde persoonsgegevens toegestuurd. Dit kan op verschillende manieren. Zo kunt u een kopie krijgen van complete documenten die over u verzameld zijn, maar kan een organisatie er ook voor kiezen om informatie over u te kopiëren en te plakken in een compleet overzicht.
Daarnaast moet een organisatie extra informatie aan u verstrekken. Bijvoorbeeld over het doel waarvoor uw gegevens worden gebruikt, welke soorten gegevens er door de organisatie gebruikt worden, welke andere organisatie(s) eventueel uw gegevens krijgen, hoe lang uw gegevens worden bewaard, of uw gegevens met landen buiten de EU worden gedeeld, wat uw privacyrechten zijn, hoe de organisatie aan uw gegevens is gekomen als u die zelf niet hebt verstrekt en of de organisatie automatische besluiten over mensen neemt.

Weigering van inzage

In sommige gevallen kan de inzage worden geweigerd, bijvoorbeeld als u heel veel verzoeken indient. Als een organisatie kan aantonen dat door uw verzoeken de administratieve lasten extreem hoog worden, mag het verzoek in een uitzonderlijk geval geweigerd worden. 
Daarnaast zijn er ook wettelijke uitzonderingen. Zo kan een inzageverzoek geweigerd worden als de openbare veiligheid in het geding komt, maar ook om strafbare feiten te voorkomen en op te sporen en om de rechten en vrijheden van anderen te beschermen. Ook kan een organisatie een inzage gedeeltelijk weigeren, bijvoorbeeld als er informatie over anderen in staat. En als iemand anders er naar verwachting bezwaar tegen heeft als u inzage in uw documenten krijgt, moet de organisatie die persoon de kans geven om zijn of haar mening te geven voordat u de gegevens mag inzien.
Overigens kan een organisatie of bedrijf niet zomaar een inzageverzoek weigeren. Daar moeten argumenten voor gegeven worden en moet de organisatie aan degene die het verzoek indient, kunnen aantonen dat er een zorgvuldige afweging is gemaakt tussen de belangen van alle betrokken partijen.

Andere rechten

Tot slot zijn er andere rechten waar u, naar aanleiding van uw inzageverzoek, een beroep op kunt doen. Zo kunt u beroep doen op uw recht op rectificatie, om foutieve informatie te laten wijzigen of aan te vullen. In sommige gevallen kunt u uw recht op vergetelheid uitoefenen om persoonsgegevens te laten vernietigen. En mits het mogelijk is, kunt u gegevens van de ene naar de andere organisatie laten overdragen, door middel van uw recht op dataportabiliteit.