Op grond van artikel 12 en 15 eerste lid van de Algemene verordening gegevensbescherming (AVG) heeft iedere burger sinds mei vorig jaar het recht op inzage in alle persoonsgegevens die een organisatie over hem of haar heeft opgeslagen.
Zo’n verzoek tot inzage (in het Engels “Data Subject Access Request”) kan uw organisatie veel werk opleveren. Het kan namelijk om heel veel data gaan. Denk bijvoorbeeld aan alle gegevens uit e-mails, eventueel opgenomen telefoongesprekken en alle correspondentie die u als organisatie over de aanvrager heeft gehad met andere instanties of organisaties.
Waarom doen mensen een inzageverzoek?
Soms is de reden voor een verzoek simpel. Een klant van een bedrijf stapt over naar een andere aanbieder en wil graag dat de oude leverancier alle gegevens over aankoopgedrag in het verleden overhandigt en vernietigt.
Soms is een consument bezorgd. De media staan vol met verhalen over privacygevoelige informatie die op straat terecht komt. De klant wil daarom graag weten welke persoonsgegevens een bedrijf heeft opgeslagen en wat deze daar mee doet. Zo kan hij of zij bepalen of deze data “vergeten moet worden”. Consumenten zijn beter op de hoogte van hun rechten en een stuk mondiger geworden.
En hoewel exacte cijfers (nog) niet zijn te geven, laten verschillende advocatenkantoren en bedrijven weten een toename te zien in het aantal inzageverzoeken rondom arbeidsconflicten en juridische geschillen. In deze gevallen kan een inzageverzoek worden gebruikt als pressiemiddel om zo’n conflict te beïnvloeden en bijvoorbeeld om een hogere ontslagvergoeding te bedingen.
Het inzageverzoek
Het eerste dat u van de aanvrager te zien krijgt, is een schriftelijk verzoek. De Autoriteit Persoonsgegevens (AP) raadt burgers aan om een verzoek tot inzage altijd schriftelijk in te dienen. Zo kan hij of zij indien noodzakelijk, altijd laten zien welke stappen wanneer zijn ondernomen. Op haar website biedt de AP een voorbeeldbrief aan die aanvragers hiervoor kunnen gebruiken.
In de meeste gevallen zal de aanvrager antwoord willen hebben op de volgende vragen:
- Waarvoor/voor welk doel gebruikt u zijn/haar gegevens.
- Aan wie hebt u de gegevens eventueel verstrekt.
- Welke passende waarborgen voor doorgifte hebt u getroffen als u deze gegevens hebt doorgegeven aan een ander land of aan een internationale organisatie.
- Wat is – indien bekend - de herkomst van de gegevens.
- Hoe lang u de gegevens naar verwachting opslaat.
- Of er sprake is van geautomatiseerde besluitvorming, waaronder profilering. In dat geval wil de aanvrager van u weten wat de onderliggende logica hiervan is.
Naast antwoord op deze vragen, zal de aanvrager binnen een maand kopieën van de persoonsgegevens willen ontvangen.
Het recht op inzage is een belangrijk onderdeel van de AVG en het aantal aanvragen is het afgelopen jaar drastisch toegenomen. Als organisatie bent u verplicht om zo goed mogelijk en binnen de strakke termijn van 30 dagen, gehoor te geven aan dit recht. Gelukkig zijn er stappen die u kunt ondernemen om de impact van zo’n verzoek voor uw organisatie te beperken. Hieronder leest u welke.
1. Bepaal en beperk de omvang van het inzageverzoek
De aanvrager moet in zijn of haar verzoek zelf zo goed mogelijk aangeven in welke gegevens inzage wordt gewenst. Als dat niet helemaal duidelijk is of wanneer de aanvraag te breed is, kunt u in overleg, proberen de omvang van de aanvraag zo goed mogelijk te bepalen en indien mogelijk, te verkleinen. In dit gesprek kunt u tevens overleggen waar precies naar gezocht moet worden.
Door de overeengekomen zoektermen en “search queries” te gebruiken, krijgt u snel een eerste inzicht in de omvang of “scope” van de aanvraag.
Mocht het verzoek ook na overleg nog ingewikkeld zijn of heeft de aanvrager meerdere verzoeken gestuurd, dan mag u er twee maanden langer over doen. U moet dan wel binnen een maand laten weten dat het langer gaat duren en waarom.
2. Stel standaardantwoorden op voor het inzageverzoek
Voor antwoord op veel van de algemene vragen kunt u verwijzen naar uw retentiebeleid en privacyverklaring. Hierin staat - als het goed is- vastgelegd welke gegevens u met welke reden en voor welke periode (verplicht) bewaart en vernietigt. Hierin moeten ook uw beleid en procedures voor data- en privacybescherming staan beschreven.
Het opstellen van standaardantwoorden, bespaart u al veel tijd. Maar de grootste tijdswinst kunt u halen uit het gebruik van de juiste technologie.
3. Gebruik technologie voor het achterhalen van persoonsgegevens
Het achterhalen van persoonsgegevens in geordende systemen zal niet zo veel problemen opleveren. Tegenwoordig zit er echter ook veel informatie in e-mails, opgenomen telefoongesprekken en allerlei andere communicatievormen. Daarnaast zult u ook moeten kijken naar conversaties en correspondentie die uw organisatie over de aanvrager heeft gehad met werknemers van eventuele andere instanties en organisaties.
Het gebruik van geavanceerde zoektechnologie is eigenlijk de enige manier om deze informatie compleet en snel te achterhalen. Nadat u (eventueel in extra overleg) de zoektermen hebt bepaald en de databronnen (email boxen, SharePoint locatie, home- en group shares etc.) heeft geselecteerd, kunt u gaan zoeken op entiteiten als naam, email adressen, telefoonnummers, etc. Denk bij het zoeken op namen ook aan eventuele spelfouten en variaties, bijvoorbeeld Henk/Henkie.
De voordelen van technologie zijn hierbij evident:
- Relevante informatie kan direct worden gecollecteerd van de databronnen;
- Zogenaamde containerfiles zoals ZIP, PST en NSF-bestanden worden automatisch uitgepakt zodat alle afzonderlijke componenten ook doorzoekbaar worden.
- Bestanden die normaal gesproken niet doorzoekbaar zijn, zoals foto’s, audio-bestanden, niet-doorzoekbare PDF’s en scans – kunnen worden verrijkt zodat ook deze toch doorzocht kunnen worden.
- De gevonden informatie kan worden geanalyseerd, geclassificeerd en georganiseerd, zodat de uiteindelijke beoordeling snel kan plaatsvinden.
4. Gebruik technologie voor het beschermen van persoonsgegevens
Ook bij het voldoen aan een inzageverzoek moet de bescherming van persoonsgegevens altijd worden gewaarborgd. De aanvrager heeft dan ook alleen recht op inzage in zijn of haar eigen gegevens. Alle persoonsgegevens van anderen en anderszins vertrouwelijke informatie, moeten worden afgelakt.
Dat kan op verschillende manieren (anonimiseren of pseudonimiseren) maar belangrijk is dat dit efficiënt en snel gebeurt. Het automatisch aflakken (auto-redaction) van geselecteerde entiteiten zoals namen, telefoon- en ISBN-nummers, email adressen etc.) is misschien wel de meest waardevolle functionaliteit van een technologische oplossing.
De dataset die overblijft is nu klaar voor definitieve review door de counsel of een andere jurist. Zorg dat u deze bijtijds heeft ingepland om onnodige vertraging te voorkomen. Na de definitieve review is de uiteindelijke dataset klaar. Deze kan dan automatisch worden geconverteerd naar PDF zodat alle redacties worden ingebrand en kan worden overgedragen aan de aanvrager.
Wilt u zien hoe dat in de praktijk werk? Kom dan naar onze hands-on demo op 3 oktober. Schrijf u nu in.