Een inzageverzoek herkennen
Een inzageverzoek (ook wel DSAR - Data Subject Access Request) is het meest voorkomende verzoek dat je als ondernemer kunt ontvangen. Een klant, medewerker, sollicitant of websitebezoeker vraagt je om te vertellen welke persoonsgegevens je van hem of haar hebt.
Het verzoek hoeft niet formeel te zijn. “Welke gegevens hebben jullie van mij?” in een e-mail is al een inzageverzoek. Je hoeft er geen formulier voor te hebben.
Stap 1: Registreer het verzoek
Noteer direct:
- Wie het verzoek doet
- Wanneer je het hebt ontvangen (de maandtermijn begint nu)
- Via welk kanaal het binnenkwam
- Wat er precies gevraagd wordt
Sjabloon: Verzoekregister
Houd elk verzoek bij in een register: wie, wanneer, wat gevraagd en hoe afgehandeld.
Bekijk het sjabloon arrow_forwardStap 2: Verifieer de identiteit
Voordat je gegevens verstrekt, moet je zeker weten dat je met de juiste persoon communiceert. Anders riskeer je een datalek door gegevens aan de verkeerde persoon te geven.
Hoe verifieer je?
- Als de persoon al een account bij je heeft: laat het verzoek via dat account bevestigen
- Als je de persoon kent (bijv. een medewerker): een bevestiging via het bekende e-mailadres volstaat
- Bij onbekende personen: vraag om een kopie van een identiteitsbewijs. Vraag de verzoeker om het BSN en de pasfoto af te schermen - je hebt die niet nodig
Neem niet meer dan nodig: de identiteitscontrole moet proportioneel zijn.
Sjabloon: Identiteitsverificatie
Een standaard brief waarmee je de verzoeker vraagt om zijn identiteit te bevestigen.
Bekijk het sjabloon arrow_forwardStap 3: Verzamel de gegevens
Doorzoek al je systemen waar persoonsgegevens van de verzoeker kunnen staan:
- CRM-systeem - klantgegevens, notities, communicatiehistorie
- E-mailsysteem - correspondentie met de persoon
- Boekhouding - facturen, betalingsgegevens
- HR-systeem - als het een (ex-)medewerker betreft
- Website - formulierinzendingen, accountgegevens
- Papieren dossiers - contracten, correspondentie
Wees grondig. Als je later gegevens vergeet, kan de verzoeker een klacht indienen.
Stap 4: Stel je antwoord op
Je antwoord moet de volgende informatie bevatten:
De gegevens zelf
Een kopie van alle persoonsgegevens die je van de betrokkene verwerkt.
Aanvullende informatie
- Verwerkingsdoelen - waarom je de gegevens verwerkt
- Categorieen gegevens - welke soorten gegevens je hebt
- Ontvangers - met wie je de gegevens hebt gedeeld
- Bewaartermijn - hoe lang je de gegevens bewaart
- Rechten - de betrokkene heeft recht op rectificatie, verwijdering, beperking en bezwaar
- Klachtrecht - de betrokkene kan een klacht indienen bij de toezichthouder
- Bron - als je de gegevens niet van de betrokkene zelf hebt gekregen, waar ze dan vandaan komen
Sjabloon: Antwoord op Inzageverzoek
Een kant-en-klaar antwoord dat alle verplichte informatie-elementen bevat.
Bekijk het sjabloon arrow_forwardStap 5: Verstuur het antwoord
- Termijn - binnen een maand na ontvangst van het verzoek
- Verlenging - bij complexe verzoeken mag je met twee maanden verlengen, maar informeer de verzoeker binnen de eerste maand
- Formaat - als het verzoek elektronisch is gedaan, verstrek de gegevens in een gangbaar elektronisch formaat (PDF, Excel)
- Kosten - het eerste verzoek is gratis. Bij herhaaldelijke of kennelijk buitensporige verzoeken mag je een redelijke vergoeding vragen
- Veilig - verstuur de gegevens via een beveiligd kanaal, niet als onbeveiligde e-mailbijlage
Stap 6: Documenteer
Leg vast hoe je het verzoek hebt afgehandeld: wanneer ontvangen, wanneer beantwoord, welke gegevens verstrekt, welke systemen doorzocht. Dit is je bewijs als de betrokkene later een klacht indient.
Veelvoorkomende valkuilen
- Te laat reageren - een maand is snel voorbij. Registreer het verzoek direct en begin dezelfde dag
- Gegevens vergeten - doorzoek alle systemen, niet alleen je CRM
- Geen identiteitscontrole - gegevens verstrekken aan de verkeerde persoon is een datalek
- Te veel informatie afschermen - je mag gegevens van derden afschermen, maar niet de eigen gegevens van de verzoeker
GDPRWise genereert antwoordsjablonen en helpt je om een register bij te houden van alle ontvangen verzoeken.