Wat is de maximale boete voor het verkeerd afhandelen van een verzoek?

Schendingen van betrokkenenrechten kunnen leiden tot boetes van maximaal EUR 20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. In de praktijk liggen KMO-boetes meestal tussen EUR 1.000 en EUR 50.000, maar ze lopen snel op bij herhaalde overtredingen.

Kan ik een boete krijgen als ik uiteindelijk wel reageer op het verzoek?

Ja. Als je na de termijn van een maand reageert zonder geldige verlenging, ben je in overtreding. Toezichthouders hebben organisaties beboet voor te late reacties, zelfs wanneer het antwoord zelf volledig was.

Wat moet ik doen als ik besef dat ik een fout heb gemaakt bij een verzoek?

Handel onmiddellijk. Neem contact op met de betrokkene, corrigeer de fout en documenteer wat er is gebeurd. Proactief herstel wordt positief beoordeeld door toezichthouders en kan mogelijke boetes verminderen.

Fouten bij Verzoeken die KMO's Boetes Kosten | GDPR (AVG)

Zes veelgemaakte fouten die KMO's maken bij het afhandelen van verzoeken van betrokkenen, met echte handhavingsvoorbeelden en praktisch advies om ze te vermijden. Van verzoeken negeren tot in paniek gegevens verwijderen.

De kosten van fouten

Verzoeken van betrokkenen zijn het punt waar GDPR-compliance (de GDPR, ook bekend als de AVG) de praktijk raakt. Je kunt het beste privacybeleid ter wereld hebben, maar als je een verzoek van een echt persoon verkeerd afhandelt, worden klachten ingediend en boetes opgelegd.

Toezichthouders in heel Europa handhaven consequent de rechten van betrokkenen. Voor KMO’s zijn de boetes niet de miljoenen die je in de krantenkoppen leest, maar ze zijn pijnlijk genoeg: EUR 5.000 hier, EUR 15.000 daar, plus juridische kosten en reputatieschade.

Hier zijn zes fouten die steeds terugkomen in handhavingsbeslissingen, en hoe je ze kunt vermijden.

Fout 1: Verzoeken volledig negeren

Wat er gebeurde: Een Duits bedrijf ontving een inzageverzoek per e-mail. Ze reageerden helemaal niet. De verzoeker diende een klacht in bij de deelstaattoezichthouder. Het bedrijf kreeg een boete van EUR 10.000.

Dit is geen geïsoleerd geval. De Spaanse AEPD legt regelmatig boetes op voor onbeantwoorde verzoeken, vaak in de range van EUR 2.000 tot EUR 10.000. Het patroon is altijd hetzelfde: iemand vraagt om zijn gegevens, het bedrijf doet niets, de persoon dient een klacht in.

Wat ze hadden moeten doen: Reageer op elk verzoek, zelfs als je denkt dat het ongegrond is. Als je niet kunt voldoen, leg dan schriftelijk uit waarom.

Les: Geen reactie is altijd de verkeerde reactie.

Fout 2: De 30-dagentermijn missen

Wat er gebeurde: Een Belgisch bedrijf ontving een verwijderingsverzoek. Ze bevestigden het, begonnen eraan te werken, maar voltooiden de verwijdering pas na 47 dagen. De Belgische GBA oordeelde dat de te late reactie de GDPR schond, ongeacht het feit dat de verwijdering uiteindelijk was uitgevoerd.

De deadlineval is veel voorkomend: bedrijven ontvangen een verzoek, beginnen met identiteitsverificatie en starten pas dan met het eigenlijke werk. Tegen de tijd dat ze reageren, is de maand voorbij.

Wat ze hadden moeten doen: Registreer het verzoek op dag een en laat de klok onmiddellijk lopen. Stel een herinnering in na twee weken en na drie weken. Als het verzoek complex is, informeer de verzoeker dan over een verlenging van twee maanden binnen de eerste maand.

Les: De klok begint te lopen wanneer het verzoek binnenkomt, niet wanneer je eraan begint te werken.

Fout 3: Kosten in rekening brengen terwijl dat niet mag

Wat er gebeurde: Een tandartspraktijk bracht een patient EUR 25 in rekening voor het verstrekken van een kopie van zijn medisch dossier in reactie op een inzageverzoek. De patient diende een klacht in. De toezichthouder oordeelde dat het eerste inzageverzoek gratis verstrekt moet worden, en de praktijk moest het bedrag terugbetalen en ontving een waarschuwing.

Onder de GDPR is het eerste verzoek gratis. Je mag alleen een “redelijke vergoeding” vragen voor verzoeken die “kennelijk ongegrond of buitensporig” zijn - bijvoorbeeld als dezelfde persoon elke week hetzelfde inzageverzoek indient. In de praktijk wordt deze drempel bijna nooit gehaald.

Wat ze hadden moeten doen: Verstrek de gegevens gratis. Overweeg alleen kosten in rekening te brengen als het verzoek duidelijk herhaaldelijk en buitensporig is, en documenteer je redenering.

Les: Breng bijna nooit kosten in rekening. Bij twijfel is het gratis.

Fout 4: Buitensporige identificatie vragen

Wat er gebeurde: Een bedrijf vroeg een klant om een volledige, niet-bewerkte paspoortkopie voordat ze het inzageverzoek in behandeling namen. De klant had een account en mailde vanaf het geregistreerde e-mailadres. De Nederlandse AP bekritiseerde het bedrijf voor buitenproportionele identificatie-eisen, en merkte op dat de klant geverifieerd had kunnen worden via zijn bestaande account.

Buitensporige identificatie is een dubbel probleem: het schendt het principe van dataminimalisatie (je verzamelt meer gegevens dan nodig) en het creëert een drempel die mensen ontmoedigt hun rechten uit te oefenen.

Wat ze hadden moeten doen: Verifieer de identiteit via het bestaande account. Als de klant mailt vanaf zijn geregistreerde e-mailadres, is dat meestal voldoende. Vraag alleen om identiteitsdocumenten bij onbekende personen, en sta altijd toe dat onnodige velden worden doorgehaald.

Les: Alleen proportionele verificatie. Gebruik wat je al hebt.

Fout 5: Onvolledige antwoorden geven

Wat er gebeurde: Een Oostenrijks bedrijf reageerde op een inzageverzoek door gegevens uit hun CRM-systeem te verstrekken. Ze vergaten echter e-mailcorrespondentie, papieren dossiers en gegevens die door een derde partij namens hen werden verwerkt. De Oostenrijkse DSB oordeelde dat het antwoord onvolledig was en legde een boete op.

Deze fout is vaak niet opzettelijk. Bedrijven doorzoeken hun hoofddatabase en vergeten e-mails, cloudopslag, papieren archieven, back-upsystemen en gegevens bij verwerkers.

Wat ze hadden moeten doen: Doorzoek alle systemen waar persoonlijke gegevens opgeslagen kunnen zijn. Maak een checklist:

CRM en klantendatabases
E-mailsystemen (zoek op naam en e-mailadres)
Boekhouding en facturatiesoftware
HR-systemen (voor werknemersverzoeken)
Cloudopslag (Google Drive, Dropbox, OneDrive)
Papieren dossiers en archieven
Gegevens bij verwerkers (hostingproviders, e-mailmarketingtools, analytics)
Back-upsystemen

Les: Zoek overal. Een onvolledig antwoord is bijna net zo erg als geen antwoord.

Fout 6: Gegevens verwijderen die je had moeten bewaren

Wat er gebeurde: Een bedrijf ontving een verwijderingsverzoek en verwijderde in paniek alles - inclusief facturen die ze wettelijk zeven jaar moesten bewaren, correspondentie over een lopend geschil en documenten die nodig waren voor belastingdoeleinden. Toen de belastingdienst later om die documenten vroeg, konden ze die niet produceren.

Het recht op verwijdering is niet absoluut. Je moet elke categorie gegevens beoordelen voordat je verwijdert:

Type gegevens	Verwijderen?
Marketingvoorkeuren, nieuwsbriefabonnementen	Ja, verwijderen
CRM-notities zonder juridische grondslag	Ja, verwijderen
Facturen binnen de bewaarperiode	Nee, wettelijke bewaarplicht
Gegevens gerelateerd aan lopende geschillen	Nee, gerechtvaardigd belang om te bewaren
Personeelsdossiers binnen verplichte bewaartermijn	Nee, wettelijke bewaarplicht
Contractgegevens binnen wettelijke bewaartermijn	Nee, wettelijke bewaarplicht

Wat ze hadden moeten doen: Beoordeel elke dataset individueel. Verwijder wat verwijderd moet worden, bewaar wat je wettelijk verplicht bent te bewaren, en leg de verzoeker precies uit wat is verwijderd en wat is bewaard (en waarom).

Les: Niet in paniek alles verwijderen. Eerst beoordelen, dan handelen.

Hoe je het wel goed doet

Elk van deze fouten is te voorkomen met een duidelijk proces. Als je er nog geen hebt opgezet, begin dan met onze stapsgewijze handleiding voor het opzetten van een verzoekenprocedure. Deze behandelt alles, van het aanwijzen van een contactpunt tot het documenteren van je antwoord.

Het patroon bij alle zes fouten is hetzelfde: ze gebeuren wanneer er geen procedure is, geen register en geen sjablonen. Los die drie dingen op en je lost het probleem op.

auto_awesome Vermijd kostbare fouten

GDPRWise scant je huidige opzet en identificeert hiaten in je verzoekenprocedure voordat ze klachten worden.

Start je gratis scan