Is uw organisatie inzagebestendig?

Privacy leeft. Steeds meer Nederlanders maken gebruik van hun ‘Recht op Inzage’. Mooi. Maar, wat betekent deze ontwikkeling van het recht voor uw organisatie? Dit betekent een toename in risico’s, indien uw organisatie niet inzagebestendig is. Wij zijn op zoek gegaan naar een duidelijk beeld van uw plicht. Leest u mee? 

  In augustus 2018 publiceerde de Autoriteit Persoonsgegevens (AP) een artikel. Over een Nederlandse organisatie die herhaaldelijk niet voldeed aan een verzoek om inzage van een klant. Deze organisatie gaf, in strijd met de privacywetgeving, geen volledig gehoor aan een verzoek om inzage van een klant. Toen zelfs na een last onder dwangsom van de AP niet werd gereageerd, kreeg de organisatie uiteindelijk een last onder dwangsom van €48.000,- opgelegd. €12.000,- voor elke week dat er niet volledig aan het verzoek om inzage werd voldaan.

Uw verplichtingen

Wanneer u als organisatie toegang heeft tot persoonsgegevens, in kan zien of ermee werkt, krijgt u te maken met verantwoordelijkheden. Anders gezegd betekent dit dat u bepaalde plichten heeft tegenover de persoon van wie u gegevens verwerkt, de betrokkene. Wanneer een betrokkene wil weten welke gegevens u verwerkt en met wie u deze deelt, kan hij/zij aanspraak maken op het recht op inzage van gegevens. Dit verzoek verplicht u om binnen één maand alle opgeslagen informatie over deze persoon te verzamelen en te delen met deze persoon. Dit mag in de vorm van kopieën of in de vorm van een overzicht. Aan de hand van deze informatieverstrekking kan de betrokkene vervolgens beslissen of er verdere acties dienen te worden ondernomen met deze informatie. Dit kan variëren van een eenvoudige update door middel van een beroep op het recht op rectificatie, tot beroeping op het recht om vergeten te worden. In dit geval dient u, wanneer u geen geldige reden (meer) heeft om de gegevens te bewaren, alle informatie van deze persoon te verwijderen uit uw systemen.

Met één muisklik voldoen

Zodra u een verzoek tot inzage ontvangt bent u verplicht binnen één maand een gepaste reactie te geven. Weet u wat uw medewerkers doen als een verzoek tot inzage binnenkomt? Laat iedereen spontaan alles uit handen vallen om door kantoor te rennen en her en der persoonsgegevens uit lades te toveren, of kan uw Privacy Officer met één muisklik eenvoudig alle verwerkingsactiviteiten opvragen? Dit zijn natuurlijk twee uitersten, maar het is waardevol om voor uw organisatie te bepalen wat de gewenste situatie zou zijn. Bijvoorbeeld door alle persoonsgegevens die u verwerkt op te nemen in een geautomatiseerd verwerkingsregister, zoals in ons AVG-Framework. Zo kunt u of een daarvoor aangewezen persoon, redelijk eenvoudig alle persoonlijke informatie van een betrokkene achterhalen. Het verzoek om inzage kan dan ruim binnen de termijn van één maand worden beantwoord.

Hoe staat u er nu voor?

De AVG verplicht u uw interne informatiestromen in kaart te brengen en te analyseren waar deze worden opgeslagen in de vorm van een verwerkingsregister. Zo kunt u onderzoeken hoe persoonsgegevens worden verwerkt en of dit juist gebeurd. Zodra dit overzicht er is, weet u binnen welke systemen informatie wordt verwerkt, binnen welke processen dit verloopt en hoe actueel en/of relevant de informatie is. Hoe zorgt u ervoor dat klanten op het juiste adres staan opgeslagen en dat alle aanvullende informatie ook klopt? Wanneer u deze vragen niet of lastig kunt beantwoorden zou dit een probleem kunnen opleveren. Wat nu van belang is, is om te bepalen hoe groot dit probleem zou zijn, mocht een verzoek om inzage zich voordoen. Inzage-bestendig? Is uw organisatie inzagebestendig? Bent u, met uw collega’s, in staat om binnen het gestelde termijn van één maand te reageren op een verzoek tot inzage? De privacy- en informatiebeveiligingsexperts van Audittrail hebben ruime ervaring met het inregelen van tooling en protocollen die bijdragen aan uw compliance. Benieuwd naar de oplossingen die we u kunnen bieden? Onze Business Developers Dennis en Erik komen graag bij u langs voor een kopje koffie.   

Bron: Audittrail | Graphic: Audittrail