Dwangsom voor weigeren verzoek rechten van betrokkene.
Onlangs heeft de Autoriteit Persoonsgegevens een dwangsom opgelegd aan een financiële instelling (hierna: bank). Aanleiding voor de dwangsom was een verzoek van een betrokkene tot inzage van de gegevens die de bank van de betrokkene in bezit had. De bank gaf geen gehoor aan dit verzoek, waardoor de advocaat van de betrokkene een handhavingsverzoek indiende bij de Autoriteit Persoonsgegevens.
De bank had verscheidende motiveringen waarom de gegevens niet verstrekt konden worden aan de betrokkene. De betrokkene zou, zo motiveerde de bank, misbruik maken van het inzagerecht. Van belang is dat de betrokkene en de bank al in een procedure waren verwikkeld over een ander geschil. De Autoriteit Persoonsgegevens heeft echter gesteld dat er geen misbruik werd gemaakt van het inzagerecht door de betrokkene en stelde de betrokkene dan ook in het gelijk.
Inzagerecht
Iedereen heeft het recht om inzage te vorderen bij een organisatie die persoonsgegevens van de betrokkene in bezit heeft. Op grond van artikel 15 van de AVG kan zo’n verzoek worden ingediend. De verwerkingsverantwoordelijke dient de betrokkene te informeren over onderstaande punten:
- Informatie betreffende de verwerkingsdoeleinden;
- De betrokken categorieën van persoonsgegevens;
- De ontvangers of categorieën van ontvangers;
- Hoe lang de persoonsgegevens worden bewaard;
- Een mededeling dat de betrokkene het recht heeft om de gegevens te laten wissen of rectificeren;
- Het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
De verwerkingsverantwoordelijke is aan een termijn gebonden om te reageren op dit verzoek. Er dient immers binnen een maand op het verzoek gereageerd te worden. Wanneer een dergelijk verzoek niet wordt gehonoreerd heeft de betrokkene op grond van artikel 34 en 35 Uitvoeringswet AVG zes weken de tijd om middels een verzoekschrift aan de rechter inzage te vorderen. Wanneer er geen reactie is gekomen op het verzoek geldt de termijn van zes weken niet. De verwerkingsverantwoordelijke kan overigens wanneer het een complex verzoek betreft, de termijn van een maand met twee maanden verlengen.
Betekenis
Voor organisaties is het dus van belang dat er een uniforme werkwijze leidend is om dergelijke verzoeken af te handelen. Wanneer een dergelijke werkwijze ontbreekt, worden verzoeken mogelijk niet tijdig en correct afgehandeld. De directe gevolgen zullen de eerste keren niet desastreus zijn, maar wanneer dergelijke verzoeken structureel te laat of niet worden afgehandeld, kunnen verzoeken via gerechtelijke instanties of de toezichthouder worden afgedwongen.
Wat te doen?
Stel een intern protocol op voor uw organisatie. Ken een select aantal medewerkers de bevoegdheid toe om deze verzoeken af te handelen. Wanneer verzoeken digitaal ingediend worden, zorg dan voor een centraal e-mailadres waarop deze verzoeken worden ontvangen. Op deze manier voorkomt u dat een verzoek ergens in een mailbox onbeantwoord blijft.
mr. K.S. (Keshia) Echter
privacy specialist en Functionaris Gegevensbescherming bij (o.a.) Zaamzorg Amsterdam, PRO Groep, Kindercentrum Panta Rhei, stichting Nieuw Unicum en Equipe Zorgbedrijven.
E-mail: echter@avgjuristen.nl
AVG Juristen, praktisch met privacy
Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.