Verzoeken van betrokkenen onder de AVG
Een verzoek van een betrokkene is elk verzoek van een klant, werknemer, leverancier of iemand anders van wie, of waarvoor, u persoonsgegevens verwerkt. GDPR noemt die partijen Betrokkenen en die betrokkenen hebben rechten. Samenvattend hebben mensen het recht om te vragen:
- toegang tot hun persoonsgegevens
- rectificatie van hun persoonsgegevens
- beperking van de verwerking van hun persoonsgegevens
- wissen van hun persoonsgegevens
- en nog een paar… lees hier alles over de rechten van betrokkenen.
Als een algemene regel geldt dat u een verzoek van een betrokkene altijd zo snel mogelijk moet beantwoorden. Wij raden u aan de ontvangst van het verzoek zo snel mogelijk, maar uiterlijk binnen een maand te bevestigen. Gebruik de vele sjablonen in onze GDPRWise kennisbank om er zeker van te zijn dat u correct reageert. Nadat u de ontvangst van het verzoek heeft bevestigd, kunt u vervolgens overgaan tot de daadwerkelijke uitvoering van het verzoek.
Belangrijk om op te merken is dat de AVG-regelgeving wel stelt dat wanneer de AVG-verzoeken van een betrokkene duidelijk ongegrond, buitensporig of repetitief zijn, je ‘een redelijke vergoeding’ kunt vragen of deze kunt afwijzen. Hier volgen enkele voorbeelden om deze termen te verduidelijken:
- Een kennelijk ongegrond verzoek kan een verzoek zijn dat geen duidelijke rechtvaardiging of doel heeft, of duidelijk lichtzinnig of ergerlijk is. Een verzoek kan ongegrond zijn als de persoon duidelijk niet echt de bedoeling heeft om zijn recht uit te oefenen of als het verzoek kwaadwillig is. Ze kunnen het verzoek ook gebruiken om een organisatie lastig te vallen, met geen ander echt doel dan verstoring te veroorzaken. De term ‘kennelijk’ geeft aan dat organisaties bewijs moeten overleggen waaruit blijkt waarom het verzoek ongegrond is.
- Een buitensporig verzoek kan een verzoek zijn dat verder gaat dan redelijkerwijs nodig is om aan het verzoek van de betrokkene te voldoen. Als een betrokkene bijvoorbeeld alle persoonlijke gegevens opvraagt die een bedrijf over hem heeft, maar geen specifieke details verstrekt over de gegevens waarnaar hij op zoek is, en het bedrijf beschikt over een grote hoeveelheid gegevens over het individu, kan het voldoen aan een dergelijk verzoek als buitensporig worden beschouwd.
- Een herhaald verzoek is een verzoek zijn dat herhaaldelijk door dezelfde betrokkene wordt gedaan. Als een persoon bijvoorbeeld herhaaldelijk om toegang tot zijn persoonsgegevens vraagt, ondanks dat hij deze al heeft ontvangen, kan dit als een herhaald verzoek worden beschouwd.
Het is belangrijk op te merken dat hoewel het organisaties is toegestaan een vergoeding in rekening te brengen of verzoeken af te wijzen die kennelijk ongegrond, buitensporig of repetitief worden geacht, zij elk verzoek altijd geval per geval moeten beoordelen en een rechtvaardiging moeten geven voor hun beslissing. Met andere woorden, het is niet toegestaan om een algemeen beleid te hebben voor het bepalen van de aanvaardbaarheid van verzoeken, u dient elk verzoek afzonderlijk te beoordelen.
Kortom, deze uitzonderingen moeten met de nodige voorzichtigheid worden gebruikt. GDPR geeft geen specifieke definities of voorbeelden van wat telt als kennelijk ongegrond, buitensporig of repetitief, en u zou uw verzoek moeten kunnen rechtvaardigen. Idealiter zouden organisaties er ook voor moeten zorgen dat ze beschikken over passend beleid en passende procedures voor het afhandelen van dergelijke verzoeken, inclusief hoe te bepalen wanneer een verzoek duidelijk ongegrond, buitensporig of repetitief is.
Als je worstelt met de AVG, bekijk dan zeker onze AVG-kennisbank en hoe je aan de slag kunt
Het negeren van GDPR is een riskante strategie voor uw bedrijf en hoewel het enige moeite kost, zijn er ook veel voordelen. Bekijk hier ons kennisbankitem over veelvoorkomende bezwaren tegen de AVG en hoe u daar anders over kunt denken. Meld u nu aan bij GDPRWise en breng je GDPR snel en pijnloos in orde.
