Inzage- en verwijderverzoeken komen steeds vaker binnen en blijken in de praktijk een stuk complexer dan ze op het eerste gezicht lijken. Organisaties worstelen met versnipperde data, strakke termijnen en lastige afwegingen over wat wel en niet moet worden verstrekt of gewist. In dit interview legt Vonne Laan, advocaat privacyrecht en partner bij The Data Lawyers, uit waar het vaak misgaat en waarom een zorgvuldige aanpak cruciaal is. Ook deelt zij hoe recente jurisprudentie en goed beleid het verschil kunnen maken.
Inzage- en verwijderverzoeken nemen duidelijk toe. Dit komt doordat betrokkenen beter weten welke rechten zij hebben en hoe zij om bijvoorbeeld inzage in hun gegevens kunnen vragen. In de praktijk lopen organisaties vooral vast op de versnippering van data binnen de organisatie: hoe krijg je binnen de termijn alle data boven water en hoe ga je verder in praktische zin het inzageverzoek afwikkelen? Ook is er vaak veel discussie over de vraag wat precies binnen de scope van het verzoek valt: welke persoonsgegevens moeten worden gevonden en verstrekt, hoe breed moet je zoeken, en hoe ga je om met informatie over derden of met interne notities? Juist omdat privacyverzoeken steeds vaker worden ingezet als opstap naar een klacht bij de toezichthouder of een procedure bij de rechter, is een goede afhandeling belangrijk. In de cursus leer je hoe je de scope van een verzoek kunt afbakenen en het afwikkelen van een verzoek praktisch werkbaar maakt.
Omdat een inzageverzoek zelden een simpele “data export” is. Het is een intern besluitvormingsproces waarin je keuzes moet maken over interpretatie van het verzoek, eventuele follow-up vragen, zoekslagen, formulering van de reactie en de motivering daarvan. Als je de verzoeken door iemand zonder enig verstand van zaken laat afhandelen, loop je het risico dat nuances worden gemist, of indicaties dat het verzoek een opmaat is naar een juridische procedure. Ook kan het dan zijn dat wettelijke uitzinderingen worden gemist of dat het verzoek om andere redenen niet in lijn met het wettelijk kader wordt afgehandeld. Of dat er juist te veel informatie wordt verstrekt, welke informatie vervolgens in een procedure tegen de organisatie wordt gebruikt. Kortom: privacyverzoeken kunnen maar beter zorgvuldig worden afgehandeld. En met een goed beleid daarvoor is dat prima te doen. In de cursus worden uiteraard ook onderwerpen en tips meegegeven om op te nemen in zulk beleid.
Het recht op gegevenswissing is geen automatische “delete-knop”. Een organisatie mag soms ook een verwijderverzoek weigeren, bijvoorbeeld wanneer gegevens nodig zijn voor het instellen, uitoefenen of onderbouwen van een rechtsvordering. Soms moet de organisatie het verzoek zelfs weigeren, bijvoorbeeld wanneer een wettelijke bewaarplicht geldt (zoals fiscale verplichtingen). In de praktijk gaat het vaak mis doordat organisaties te snel toezeggen te wissen, waardoor zijzelf geen enkel bewijs meer hebben om op terug te vallen. Ook zien we – andersom – vaak dat verwijderverzoeken te kort door de bocht zijn geweigerd, zonder goede motivering. In de cursus bespreken we de gronden voor gegevenswissing, de uitzonderingen, en ook de kennisgevingsplicht richting derden. Zo wordt duidelijk wanneer wissing wél moet en wanneer je het verzoek mag afwijzen.
Ja, jurisprudentie heeft de afgelopen jaren veel concreter gemaakt hoe ruim het inzagerecht kan uitpakken, onder meer bij interne communicatie, metadata, loggegevens en de vraag wat als “kopie” moet worden verstrekt. Ook zie je dat rechters en toezichthouders kritischer kijken naar te algemene weigeringen en naar onvoldoende onderbouwde redactie (blacklining). Dat betekent dat organisaties hun standaardaanpak regelmatig moeten herzien. In de cursus behandelen we actuele jurisprudentie en praktijkcases, juist om deelnemers niet alleen “de wet” te leren, maar vooral hoe de regels vandaag daadwerkelijk worden toegepast, en waar de grenzen liggen.
Bij identificatie gaat het vaak mis doordat organisaties óf te weinig controleren (met risico op verstrekking aan de verkeerde persoon en dus een potentieel datalek), óf juist standaard om een kopie-ID vragen terwijl dat niet altijd proportioneel is. Bij buitensporige of ongegronde verzoeken zie je dat “het kost veel tijd” te snel wordt gelijkgesteld aan “buitensporig”, terwijl dat niet in lijn is met de AVG. In de cursus bespreken we daarom concrete methodes voor identificatie en voor de beoordeling van buitensporigheid.
Open normen vergen een vertaalslag naar de praktijk. Met het nakauwen van de wettelijke bepalingen in een “Protocol rechten betrokkenen” of bergelijkbaar document, ben je er nog niet. In het interne beleid moeten ook allemaal praktische keuzes worden gemaakt: in welke systemen wordt door wie gezicht en op wat voor zoektermen? Hoe wordt dit gecommuniceerd aan de betrokkene? Kan de betrokkene hierin nog zelf kiezen? Bij wie komen de verzoeken intern binnen? Wie beoordeelt of het om een privacyverzoek in de AVG gaat, en – if so – wordt dit dan naar een dedicated iemand intern doorgezet voor afhandeling? Wie is er intern verantwoordelijke voor het in de gaten houden en naleven van de wettelijke termijnen? Dit alles vraagt om een duidelijke vertaalslag van de wet naar de organisatie en de praktijk, maar ook om een goede samenwerking tussen onder meer legal, de FG, IT en vaak ook HR. In de cursus leer je hoe je de open normen vertaalt naar concrete werkinstructies en afwegingskaders, zodat je sneller kunt handelen én juridisch sterker staat.
