Artikel 15 AVG

Recht op inzage AVG, Inzagerecht AVG, Right of access, Article 15 GDPR, Artikel 15 GDPR, Recht op toegang persoonsgegevens, Inzageverzoek AVG
Artikel 15 AVG geeft personen het recht om bij een organisatie op te vragen welke persoonsgegevens worden verwerkt. Bedrijven moeten binnen 30 dagen antwoorden.

Wat is Artikel 15 AVG?

Artikel 15 AVG geeft iedere persoon het wettelijk recht om bij een organisatie op te vragen welke persoonsgegevens over hem of haar worden verwerkt, waar die vandaan komen, waarvoor ze gebruikt worden en met wie ze gedeeld worden. Dit inzagerecht is een van de belangrijkste privacyrechten uit de Algemene Verordening Gegevensbescherming en geldt voor alle bedrijven die persoonsgegevens verwerken van inwoners van de Europese Unie. Je bent als organisatie verplicht om binnen 30 dagen te antwoorden en een kopie van de gegevens te verstrekken, tenzij er sprake is van een uitzonderingssituatie.

Hoe werkt een inzageverzoek volgens Artikel 15 AVG

Een persoon dient een verzoek in bij jouw organisatie, vaak per e-mail of via een contactformulier. Je moet dan binnen één maand een volledig overzicht leveren van alle persoonsgegevens die je verwerkt: naam, adres, e-mailadres, aankoopgeschiedenis, IP-adressen, cookies, notities in je CRM-systeem, enzovoort. Daarnaast moet je aangeven wat het doel is van de verwerking, hoe lang je de gegevens bewaart, aan wie je ze doorgeeft en of er sprake is van geautomatiseerde besluitvorming. In de praktijk betekent dit dat je alle systemen moet doorzoeken: je webshop-database, je e-mailmarketingtool, je boekhoudsoftware en eventuele externe partijen zoals een hostingprovider of betaaldienst. Een goed georganiseerde datastructuur en documentatie scheelt enorm veel tijd bij het verwerken van zo'n verzoek.

Waarom het inzagerecht ontstond en waarom het nu telt

Het inzagerecht bestond al in eerdere Europese privacywetgeving, maar kreeg met de invoering van de AVG in mei 2018 een veel striktere vorm en hogere boetes bij overtreding. De achterliggende gedachte is dat mensen controle moeten hebben over hun eigen gegevens en moeten kunnen controleren of organisaties zich aan de regels houden. Voor MKB-bedrijven betekent dit dat je niet meer kunt volstaan met een algemene privacyverklaring. Je moet concreet kunnen aantonen welke gegevens je hebt, waarom je ze hebt en hoe je ze beveiligt. Sinds 2018 zien we dat consumenten zich bewuster zijn van hun rechten en vaker gebruik maken van het inzagerecht, zeker na datalekken of bij wisseling van dienstverlener.

Wat Artikel 15 AVG oplevert voor MKB-bedrijven

Op het eerste gezicht lijkt een inzageverzoek vooral werk. Toch levert naleving van Artikel 15 AVG je ook voordelen op. Ten eerste voorkom je boetes van de Autoriteit Persoonsgegevens, die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet. Ten tweede bouw je vertrouwen op bij klanten: wie transparant is over gegevensverwerking, scoort hoger op betrouwbaarheid. Ten derde dwingt het inzagerecht je om je datamanagement op orde te hebben, wat ook intern efficiënter werkt. Bedrijven die hun gegevens goed documenteren en structureren, kunnen sneller rapporteren, maken minder fouten en zijn beter voorbereid op audits. Meer informatie over de wettelijke vereisten vind je op de website van de Autoriteit Persoonsgegevens.

Toepassingen van Artikel 15 AVG

Artikel 15 AVG speelt in de praktijk vooral een rol bij klantverzoeken, audits en datalekken. Voor MKB-bedrijven is het belangrijk om te weten wanneer je een inzageverzoek moet honoreren, hoe je dat doet zonder jezelf kwetsbaar te maken en welke systemen je moet inrichten om snel te kunnen reageren.

Inzageverzoek van een klant of ex-medewerker

De meest voorkomende toepassing is een verzoek van een klant die wil weten welke gegevens je hebt opgeslagen. Dit gebeurt vaak na een aankoop, een klacht of een opzegging. Ook ex-medewerkers kunnen een inzageverzoek indienen om te controleren wat er in hun personeelsdossier staat. Je moet dan binnen 30 dagen een volledig overzicht geven, inclusief e-mailcorrespondentie, notities in je CRM en eventuele beoordelingen. In de praktijk zien we bij MKB-klanten dat dit vaak lastig is omdat gegevens verspreid staan over meerdere systemen: een webshop, een boekhoudsysteem, een e-mailmarketingtool en soms nog een extern CRM. Een goede API-integratie of centrale datalaag helpt om snel alle gegevens op te halen.

Voorbereiding op een audit of certificering

Bedrijven die werken met gevoelige gegevens of grote klanten moeten vaak aantonen dat ze AVG-compliant zijn. Artikel 15 AVG is dan een van de toetspunten: kun je aantonen dat je binnen 30 dagen een compleet inzageverzoek kunt afhandelen? Dit vereist een gestructureerd verwerkingsregister, duidelijke documentatie van je databronnen en een proces voor het verifiëren van de identiteit van de aanvrager. Een B2B-dienstverlener met 12 medewerkers die bijvoorbeeld met gemeenten of zorgorganisaties werkt, moet kunnen laten zien dat alle persoonsgegevens traceerbaar en opvraagbaar zijn. Dat betekent ook dat je moet weten welke externe partijen toegang hebben tot gegevens, zoals je hostingprovider of je CRM-leverancier.

Reactie op een datalek of privacyincident

Na een datalek hebben betrokkenen het recht om te weten welke gegevens zijn gelekt en wat de mogelijke gevolgen zijn. Artikel 15 AVG geeft hen het recht om die informatie op te vragen, bovenop de meldplicht die je hebt richting de Autoriteit Persoonsgegevens. In zo'n situatie moet je snel kunnen achterhalen welke gegevens zijn getroffen en aan wie je dat moet melden. Bedrijven die hun security en monitoring goed op orde hebben, kunnen dit sneller en nauwkeuriger doen. Een webshop met 500 producten die bijvoorbeeld een hack heeft gehad, moet binnen 72 uur melden en binnen 30 dagen alle betrokkenen informeren over de omvang van het lek en de getroffen gegevens.

Wanneer Artikel 15 AVG de juiste keuze is en wanneer niet

Artikel 15 AVG is geen keuze maar een wettelijke verplichting zodra je persoonsgegevens verwerkt. Toch zijn er situaties waarin je een verzoek mag weigeren of beperken. Dat mag bijvoorbeeld als het verzoek kennelijk ongegrond of buitensporig is, zoals wanneer iemand maandelijks hetzelfde verzoek indient zonder nieuwe aanleiding. Ook mag je vragen om een vergoeding als het verzoek excessief veel werk vraagt. Let op: de bewijslast ligt bij jou. Je moet kunnen aantonen waarom je het verzoek weigert of beperkt. In de praktijk is het bijna altijd verstandiger om gewoon te voldoen aan het verzoek, tenzij er duidelijk sprake is van misbruik.

Wil je dit toepassen in jouw bedrijf? Monkey Vision helpt MKB-ondernemers met webdesign, SEO en slimme digitale oplossingen. Plan een vrijblijvende kennismaking en ontdek wat er voor jou mogelijk is.

Plan een kennismaking

Veelgestelde vragen

Nee, een inzageverzoek (Artikel 15 AVG) en een verwijderverzoek (Artikel 17 AVG, ook wel 'recht op vergetelheid') zijn twee verschillende rechten. Bij een inzageverzoek vraagt iemand om een overzicht van alle persoonsgegevens die je verwerkt, inclusief doel, herkomst en ontvangers. Bij een verwijderverzoek vraagt iemand om die gegevens te wissen. Je kunt een inzageverzoek niet weigeren omdat iemand ook om verwijdering vraagt, en andersom. In de praktijk komen beide verzoeken vaak tegelijk binnen, bijvoorbeeld van een ex-klant die wil weten wat je hebt en vervolgens alles verwijderd wil zien. Je moet beide verzoeken apart beoordelen en binnen 30 dagen afhandelen.

Ja, als je persoonsgegevens hebt doorgegeven aan externe partijen zoals een hostingprovider, een e-mailmarketingtool of een betaaldienst, moet je dat vermelden in je reactie op een inzageverzoek. Je hoeft niet zelf bij die partijen alle gegevens op te vragen, maar je moet wel aangeven aan wie je gegevens hebt verstrekt en voor welk doel. In de praktijk betekent dit dat je een actueel overzicht moet bijhouden van alle verwerkersovereenkomsten en doorgifte-afspraken. Een webshop die bijvoorbeeld Mollie gebruikt voor betalingen en Mailchimp voor nieuwsbrieven, moet beide partijen noemen en aangeven welke gegevens zijn gedeeld. Meer informatie over verwerkersovereenkomsten vind je in Artikel 5 AVG.

Je mag en moet de identiteit van de aanvrager verifiëren voordat je persoonsgegevens verstrekt, anders schend je juist de AVG door gegevens aan de verkeerde persoon te geven. In de praktijk vraag je om een kopie van een geldig identiteitsbewijs, waarbij je het BSN-nummer en de pasfoto mag afschermen. Stuur de gegevens nooit naar een ander e-mailadres dan het adres dat bij je bekend is, tenzij de aanvrager kan aantonen dat het nieuwe adres van hem of haar is. Bij twijfel kun je extra verificatiestappen toevoegen, zoals een telefonische check of een beveiligde inlogomgeving. Een veelgemaakte fout is dat bedrijven te snel reageren zonder verificatie, waardoor gegevens bij de verkeerde persoon terechtkomen. Dat kan leiden tot een datalek-melding en een boete.

De beste eerste stap is een inventarisatie van alle systemen waarin je persoonsgegevens verwerkt: je website, CRM, boekhoudsoftware, e-mailmarketing en externe tools. Maak een verwerkingsregister waarin je per systeem noteert welke gegevens je verzamelt, waarom en hoe lang je ze bewaart. Zorg dat je binnen 30 dagen een compleet overzicht kunt genereren, bijvoorbeeld via een export-functie of een centrale datalaag. Wil je weten hoe je jouw datastructuur AVG-proof maakt? Plan een gratis privacy-scan van 30 minuten bij Monkey Vision. We lopen live je systemen door, geven je drie concrete verbeterpunten en een eerlijke inschatting van de risico's. Geen verkooppraatje, wel praktisch advies.

Over de auteur

Monkey Vision

Monkey Vision is een full-service digitaal bureau in Nijmegen, gespecialiseerd in webdesign, SEO en AI-automatisering voor het MKB. De kennisbank is samengesteld door ons team van online-strategen en doorlopend bijgehouden op basis van actuele inzichten.

Publicatiedatum: 26-04-2026
Laatste update: 26-04-2026