Nieuwe verplichtingen inzagerecht voor MKB ondernemers
Iedereen van wie je persoonsgegevens verwerkt (de betrokkene) heeft recht op inzage. Persoonsgegevens zijn bijvoorbeeld naam, adres of telefoonnummer. Op verzoek van de betrokkene moet je laten zien welke persoonsgegevens je bijhoudt. Het gaat zowel om persoonsgegevens die digitaal worden bijgehouden als op papier, voor zover de persoonsgegevens in een bestand zitten of bedoeld zijn om daarin te worden opgenomen. Het gaat daarbij alleen om
de eigen persoonsgegevens van de betrokkene. Voor kinderen tot 16 jaar geldt dat
de ouders of wettelijke vertegenwoordigers het verzoek mogen doen.
Hoe moet ik het doen?
- waarom je de persoonsgegevens verwerkt;
- wat voor persoonsgegevens je verwerkt;
- met wat voor soort partijen worden de persoonsgegevens gedeeld;
- hoe lang worden de persoonsgegevens bewaard;
- dat de betrokkene het recht heeft gegevens te laten aanpassen of verwijderen en de verwerking te beperken of bezwaar te maken;
- dat de betrokkene het recht heeft een klacht in te dienen bij de toezichthouder;
- als de gegevens buiten de grenzen van EU/EER zijn gegaan, welke passende waarborgen zijn genomen.
Uitzonderingen
Je bent verplicht een kopie te verstrekken van de persoonsgegevens zoals je die bijhoudt. In principe moet je altijd aan het inzageverzoek voldoen, maar er zijn enkele uitzonderingen. Zo hoef je uiteraard geen persoonsgegevens te verstrekken als je die van de betrokkene niet bijhoudt. En je mag alleen een kopie verstrekken als het verstrekken van de persoonsgegevens geen inbreuk doet op de privacy van anderen of hierdoor bedrijfsgeheimen of intellectueel eigendom moet worden prijsgegeven. Als laatste uitzondering is opgenomen dat wanneer de persoonsgegevens in een archief zitten dat in een archiefbewaarplaats is ondergebracht de persoonsgegevens niet verstrekt hoeven te worden. Of je nu wel of niet aan een inzageverzoek kunt voldoen, je zult altijd binnen 1 maand na het verzoek moeten reageren.
Aandachtspunten
1. Om te zorgen dat je de persoonsgegevens aan de juiste persoon verstrekt moet je altijd zorgen dat je degene die het inzageverzoek indient op de juiste wijze identificeert. Zo voorkom je direct een datalek.
2. Daarnaast moet je aan betrokkenen duidelijk maken hoe ze een inzageverzoek bij je kunnen doen. Dit neem je bijvoorbeeld op in je privacyreglement.
3. Ook is het verstandig om interne procedures te hebben zodat personeel op de hoogte is hoe ze moeten omgaan met inzageverzoeken, je hebt immers maar 1 maand om te reageren.
Optioneel.
Volgende week publiceren we weer een blog van onze kennispartner Privacy Zeker. Wil je met de hulp van Privacy Zeker klaar zijn voor de nieuwe privacywetgeving? Kijk voor meer informatie op www.privacyzeker.nl