Inzage verzoek … Wat nu?

Burgers beschermen

De AVG privacy wet is ontwikkeld om alle EU burgers (betrokkenen) te beschermen tegen organisaties die je persoonsgegevens niet goed beschermen of jouw persoonsgegevens misbruiken. Iedere burger heeft het recht op privacy en kan daarom ook deze privacy-rechten inroepen.

Facilitatie-plicht

De AVG komt met een aantal verplichtingen, waaronder een “facilitatie-plicht”. Dit is de verplichting om te faciliteren dat betrokkenen hun privacy-rechten kunnen inroepen. Voorbeelden van de privacy-rechten die wij met z’n allen hebben:

  • Recht op inzage in persoonsgegevens
  • Recht op beperking van gegevens
  • Recht op rectificatie van gegevens
  • Recht op gegevens-wissing
  • Recht op dataportabiliteit

Een dergelijk verzoek van een klant/relatie dien je serieus te nemen. Je hebt 30 dagen de tijd om de gevraagde informatie aan de betrokkene te verstrekken. We hebben allemaal kunnen zien waar het toe kan leiden als een bedrijf een inzageverzoek weigert: De Autoriteit Persoonsgegevens heeft de Theodoor Gillissen Bank hiervoor een boete opgelegd van
€ 48.000. Zie onderaan dit artikel de link naar de bekendmaking op de website van de Autoriteit Persoonsgegevens.

Privacy-bewustzijn

In onze praktijk horen we van onze relaties en klanten dat ze regelmatig dergelijke verzoeken ontvangen. Het onderwerp privacy daalt steeds meer neer in de maatschappij en in het bewustzijn van mensen. Je geeft niet meer “zomaar” een kopietje van je paspoort af.  Je vraagt je steeds vaker af waarom bedrijven zoveel informatie van je willen hebben als je alleen maar een nieuwsbrief aanvraagt. Bij één van onze relaties waarvoor we alles met betrekking tot de AVG-implementatie regelen wordt momenteel zelfs 2-3 keer per maand door klanten gevraagd hoe met de privacy van hun gegevens wordt omgegaan.

Beleid

Om te kunnen faciliteren dat betrokkenen hun privacy-rechten kunnen uitvoeren is het verstandig om hiervoor een procedure op te stellen die nageleefd wordt op het moment dat er een dergelijk verzoek binnenkomt.

Allereerst is het natuurlijk van belang dat betrokkenen informatie kunnen vinden over waar ze het verzoek kunnen indienen. Deze informatie kun je opnemen in het privacy-statement op je website. In een goed opgesteld privacy-statement wordt aangegeven waar mensen terecht kunnen als ze vragen hebben over het privacy-beleid of als ze een verzoek willen indienen.

Bij een verzoek ben je verplicht om de identiteit van de verzoek(st)er vast te stellen om er zeker van te zijn dat er geen sprake is van identiteits-fraude. Hiervoor worden verschillende methodieken gebruikt door bedrijven. Je kunt de verzoek(st)er bijvoorbeeld vragen met een geldig ID-bewijs naar je kantoor te komen. Als je een andere methode wilt gebruiken overleg dat dan eerst met een privacy-expert. Sebyde Privacy beschikt over de nodige praktische en juridische kennis om hierbij goed advies te kunnen geven. Zie voor meer informatie over de activiteiten van Sebyde Privacy: www.sebydeprivacy.nl

En dan is het natuurlijk van belang om na te denken over hoe het verzoek intern wordt opgepakt. Wie gaat de gevraagde informatie verzamelen? Waar haal je die informatie vandaan? Wie moeten er toestemming verlenen? Hoe ga je de gevraagde informatie aanleveren? Zomaar per (beveiligde!) e-mail opsturen? Persoonlijk overhandigen aan de verzoek(st)er?

Het opstellen van een goede procedure hiervoor is van belang. Dit legt tevens een belangrijk punt bloot: Weet je wel welke persoonsgegevens je verwerkt in je bedrijf en waar je die informatie kunt vinden? Sebyde Privacy heeft ervaring met de ondersteuning van bedrijven op dit gebied. Inventarisaties, risico-analyses en het maken van een plan van aanpak zijn standaard onderdeel van ons RI&E-Privacy methodiek. Zie hiervoor ook: https://www.sebydeprivacy.nl/rie-privacy/

Privacy administratie

Informatie over welke persoonsgegevens er in het bedrijf worden verwerkt en welke verwerkingen er met die persoonsgegevens worden uitgevoerd heb je (als het goed is) beschikbaar in je privacy-administratie. Dat is namelijk de documentatie-plicht van de AVG.

Veel bedrijven proberen de privacy-administratie op te zetten en te onderhouden met behulp van verschillende spreadsheets en andere documenten. Het blijkt dan al snel dat dit niet de meest verstandige weg is. Invoeren van gegevens is makkelijk, het gaat erom dat je de ingevoerde gegevens ook op de juiste manier met elkaar in relatie kunt brengen en kunt rapporteren. Als je verschillende spreadsheets en andere documenten hebt gemaakt is het moeilijk te onderhouden als er bijvoorbeeld iets in een verwerking verandert of er wordt een verwerking toegevoegd.

Efficiënt

Er kan enorm veel tijd bespaard worden bij het opzetten van de privacy administratie als je gebruik maakt van PACT-Privacy. PACT-Privacy is geen bestaand tool waaraan wat privacy-functionaliteit is toegevoegd. PACT-Privacy is ontwikkeld in samenwerking met klanten en FG’s, met de AVG privacywetgeving als uitgangspunt. Dit is ook de reden waarom de tool zo goed is ontvangen door veel bekende bedrijven én hun FG’s. De FG (of een andere privacy expert) kan in de tool audits uitvoeren en de bevindingen, aanbevelingen en maatregelen registreren. De tool bevat voorgeprogrammeerde verwerkingen die we veel tegenkomen bij andere bedrijven zodat je ze niet zelf hoeft in te voeren. Dit spaart enorm veel tijd.

Met een Dashboard heb je overzicht in de privacy situatie en zie je direct waar punten van aandacht zitten of waar informatie nog niet compleet is ingevoerd.

Een gratis 30-dagen licentie van PACT-Privacy is aan te vragen via: https://www.sebydeprivacy.nl/pact-privacy/

Sebyde Privacy: AVG-implementatie en privacy-administratie

Wil je goed advies over de implementatie van de AVG en het opzetten en onderhouden van de privacy administratie? Sebyde Privacy adviseert en helpt je snel en praktisch naar de AVG-compliance. Met onze RI&E-Privacy methodiek in combinatie met de PACT-Privacy online administratie tool en ons FG-abonnement hebben we al veel bedrijven ondersteund. 

Wilt u meer informatie? Neem dan contact op met Sebyde via 085-2733376 of mail naar info@sebyde.nl

Website Sebyde Privacy: www.sebydeprivacy.nl

U kunt zich ook inschrijven voor ons Webinar wat we regelmatig organiseren over het opzetten  van de privacy administratie:  https://www.sebydeacademy.nl/webinar-pact-privacy/

Link naar aankondiging boete Theodoor Gillissen Bank op website van de AP:  https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/tgb-betaalt-dwangsom-na-niet-voldoen-aan-inzageverzoek