Artikel 15 AVG geeft iedere persoon het wettelijk recht om bij een organisatie op te vragen welke persoonsgegevens over hem of haar worden verwerkt, waar die vandaan komen, waarvoor ze gebruikt worden en met wie ze gedeeld worden. Dit inzagerecht is een van de belangrijkste privacyrechten uit de Algemene Verordening Gegevensbescherming en geldt voor alle bedrijven die persoonsgegevens verwerken van inwoners van de Europese Unie. Je bent als organisatie verplicht om binnen 30 dagen te antwoorden en een kopie van de gegevens te verstrekken, tenzij er sprake is van een uitzonderingssituatie.
Hoe werkt een inzageverzoek volgens Artikel 15 AVG
Een persoon dient een verzoek in bij jouw organisatie, vaak per e-mail of via een contactformulier. Je moet dan binnen één maand een volledig overzicht leveren van alle persoonsgegevens die je verwerkt: naam, adres, e-mailadres, aankoopgeschiedenis, IP-adressen, cookies, notities in je CRM-systeem, enzovoort. Daarnaast moet je aangeven wat het doel is van de verwerking, hoe lang je de gegevens bewaart, aan wie je ze doorgeeft en of er sprake is van geautomatiseerde besluitvorming. In de praktijk betekent dit dat je alle systemen moet doorzoeken: je webshop-database, je e-mailmarketingtool, je boekhoudsoftware en eventuele externe partijen zoals een hostingprovider of betaaldienst. Een goed georganiseerde datastructuur en documentatie scheelt enorm veel tijd bij het verwerken van zo'n verzoek.
Waarom het inzagerecht ontstond en waarom het nu telt
Het inzagerecht bestond al in eerdere Europese privacywetgeving, maar kreeg met de invoering van de AVG in mei 2018 een veel striktere vorm en hogere boetes bij overtreding. De achterliggende gedachte is dat mensen controle moeten hebben over hun eigen gegevens en moeten kunnen controleren of organisaties zich aan de regels houden. Voor MKB-bedrijven betekent dit dat je niet meer kunt volstaan met een algemene privacyverklaring. Je moet concreet kunnen aantonen welke gegevens je hebt, waarom je ze hebt en hoe je ze beveiligt. Sinds 2018 zien we dat consumenten zich bewuster zijn van hun rechten en vaker gebruik maken van het inzagerecht, zeker na datalekken of bij wisseling van dienstverlener.
Wat Artikel 15 AVG oplevert voor MKB-bedrijven
Op het eerste gezicht lijkt een inzageverzoek vooral werk. Toch levert naleving van Artikel 15 AVG je ook voordelen op. Ten eerste voorkom je boetes van de Autoriteit Persoonsgegevens, die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet. Ten tweede bouw je vertrouwen op bij klanten: wie transparant is over gegevensverwerking, scoort hoger op betrouwbaarheid. Ten derde dwingt het inzagerecht je om je datamanagement op orde te hebben, wat ook intern efficiënter werkt. Bedrijven die hun gegevens goed documenteren en structureren, kunnen sneller rapporteren, maken minder fouten en zijn beter voorbereid op audits. Meer informatie over de wettelijke vereisten vind je op de website van de Autoriteit Persoonsgegevens.