Wat is een informatieverzoek volgens de AVG?

Mark van der Staaij – Business Consultant

Sinds mei 2018 is de AVG van kracht. De wet die ervoor moet zorgen dat bedrijven goed en netjes omgaan met persoonsgegevens van hun personeel, klanten en andere relaties. De wet beperkt het gebruik van persoonsgegevens door bedrijven. Het gebruik van persoonsgegevens is aan banden gelegd alsmede de verkopen hiervan aan derden. Maar de wet heeft nog meer geregeld. Dat is dat de gegevens eigendom zijn en blijven van de mensen in kwestie en dat zij het recht hebben om die te mogen inzien. In vaktaal een informatieverzoek. Wat is dat eigenlijk, een informatieverzoek?

Wat is een informatieverzoek

Bedrijven slaan veel persoonsgegevens op. Ook die van u en mij. Soms is het handig of gewoonweg interessant om op te vragen welke gegevens het bedrijf over u heeft opgeslagen. Dat noemen we in vakjargon dan een informatieverzoek.

Onbekend bij burgers en bedrijven

Veel burgers weten niet dat het opvragen van hun persoonsgegevens mogelijk is en dat deze gegevens een persoonlijk eigendom zijn. Organisaties hebben hier doorgaans ook geen weet van. We komen dan ook veel organisaties tegen die niet of niet goed weten hoe het zit. “Wat is een informatieverzoek? Moeten we daar verplicht aan mee werken? Gegevens eigendom van de mensen in kwestie?” Vragen die we regelmatig krijgen. Een mooie gelegenheid voor een blog om dat nog een keer uit te leggen.

U bent betrokken

Bijna elke organisatie verwerkt dus persoonsgegevens: van medewerkers, klanten, website-bezoekers en leveranciers. Volgens de AVG wetgeving worden deze mensen ‘betrokkenen’ genoemd. Betrokkenen hebben volgens de wet privacyrechten.

Privacyrechten

Mogelijk ziet u het wel eens terug op websites: in de cookiemelding of ergens onderaan de pagina. Een privacyverklaring, privacy statement, privacy policy. Allemaal termen voor hetzelfde document, waarin onder andere omschreven staat wat een organisatie doet met de persoonsgegevens en wat de rechten van de betrokkenen zijn.

Nieuwsgierigheid mag

Aangezien iedereen dus eigenaar is van gegevens over zichzelf, heeft iedereen dus ook het recht om in te zien welke persoonsgegevens er van/over u verwerkt worden door de organisatie. Ook mag de betrokkene vragen of de organisatie de informatie corrigeert of verwijdert. Bijvoorbeeld gegevens over aankopen of een mailwisseling over een dispuut. Dit laatste kan uiteraard als daar geen (juridische of wettelijke) gevolgen aan vastzitten. Dus een oud-medewerker kan niet verzoeken om het verwijderen van de salarisgegevens, omdat daar een wettelijke bewaartermijn aan vastzit.

Een uitdaging voor veel organisaties

Een verzoek om informatie. Als het om de producten en diensten gaat is het dagelijkse kost. Gaat het om de persoonsgegevens dan is het andere koek. Voor een organisatie kan dat best lastig zijn. De informatie staat vaak in verschillende systemen. Ook is het niet duidelijk hoe u dit terugkoppelt aan de persoon. Er zijn vaak geen processen voor ingericht.

Goed en duidelijk regelen

Afhankelijk van de persoonsgegevens die de organisatie verwerkt, kan het vaak of bijna nooit voorkomen dat dergelijke verzoeken binnenkomen. Ondanks de frequentie is het als organisatie evengoed belangrijk procedures in te richten en verantwoordelijken aan te wijzen om aan verzoeken te kunnen voldoen.

 

Wettelijke termijn

U wilt de verzoeken ook efficiënt afhandelen omdat er een wettelijke termijn aan vastzit. Als organisatie bent u verplicht zo snel mogelijk te reageren en binnen maximaal een maand het verzoek uit te voeren. U wilt immers als organisatie niet ineens al het dagelijkse werk laten vallen, voor het afhandelen van een informatieverzoek.

Is iedereen op de hoogte?

In eerste instantie is het goed als alle medewerkers er van op de hoogte zijn wat een informatieverzoek is, zodat het verzoek op de juiste manier wordt opgepakt.

Een voorbeeld hoe het niet moet: in het privacy statement van een groot warenhuis stond dat dergelijke verzoeken aan de klantenservice gericht konden worden. Na het indienen van een informatieverzoek bleek dat de medewerkster geen idee had wat er gevraagd werd en stuurde tot drie keer toe hetzelfde bericht, hetzij iets anders verwoord, terug: “Ik begrijp niet wat u bedoelt, ik kan niet bij uw gegevens en ik kan geen bestellingen plaatsen via jouw account. Jij kunt alleen zelf aanpassingen aanbrengen aan jouw account wegens de privacy van onze klanten”.

Dit is niet alleen slecht voor de reputatie van het bedrijf, maar als er vervolgens niet adequaat op gereageerd wordt, handelt de organisatie zelfs in strijd met de wetgeving.

De Functionaris Gegevensbescherming is de meest logische

Een organisatie doet er goed aan een aantal mensen aan te wijzen dat verantwoordelijk is voor het oppakken van informatieverzoeken. Als een Functionaris Gegevensbescherming (FG) is aangesteld, dan is dat de meest logische persoon.

Lang niet alle organisaties hoeven een FG aan te stellen (zie ook ons blog: Het nut van de Functionaris Gegevensbescherming). In dat geval is het van belang iemand verantwoordelijk te maken voor privacy. Bijvoorbeeld een Privacy Officer (PO). Een PO fungeert als aanspreekpunt voor privacy vraagstukken binnen de organisatie en kent de wegen binnen de organisatie.

Systemen

Veel organisaties hebben meerdere systemen waar persoonsgegevens in staan. Denk er goed over na welke dat zijn en weet wat u waar moet opvragen. Nu goed organiseren en beleggen kan in de toekomst veel tijd besparen.

Goede voorbereiding het halve werk

Zoals u ziet, komt er aardig wat bij kijken om een informatieverzoek in te willigen. Denk er dus goed over na wat bij uw organisatie past en hoe u dat zo goed mogelijk inregelt.

Goed georganiseerd

Kortom:

  • Wees u ervan bewust dat er informatieverzoeken binnen kunnen komen.
  • Richt het proces omtrent informatieverzoeken goed in.
  • Zorg ervoor dat u verantwoordelijkheden toekent.
  • Reageer binnen de wettelijke termijn.
  • Weet welke informatie waar opgevraagd kan worden.
  • Weet op welke manier u om verificatie van de identiteit vraagt.
  • Bespaar uzelf tijd in de toekomst.
  • En houd uw reputatie overeind.

Blog geschreven door Mark van der Staaij – Business Consultant

Deel dit bericht:

ISO 27001 & Annex A

ISO 27001 Annex A bevat 93 beheersmaatregelen voor informatiebeveiliging, onderverdeeld in organisatorische, mensgerichte, fysieke en technologische m...

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Heb je een vraag over onze diensten?

Wij bellen je graag binnen 24 uur terug. Neem gerust en geheel vrijblijvend contact met ons op!