Je hoeft niet altijd ja te zeggen
De GDPR geeft betrokkenen sterke rechten, maar die rechten zijn niet absoluut. Er zijn situaties waarin je een verzoek mag afwijzen. Wel is het belangrijk dat je dat correct doet: met een geldige reden, binnen de termijn en met de juiste communicatie.
Gronden om te weigeren
1. Kennelijk ongegrond verzoek
Een verzoek dat duidelijk niet is ingediend om privacyrechten uit te oefenen, maar om je te hinderen. Dit is een hoge drempel. Je moet kunnen aantonen dat het verzoek geen redelijk doel dient.
In de praktijk komt dit zelden voor. Wees voorzichtig met deze grond - toezichthouders accepteren hem niet snel.
2. Buitensporig verzoek
Als dezelfde persoon herhaaldelijk hetzelfde verzoek doet in een kort tijdsbestek zonder dat er relevante wijzigingen zijn. Bij een buitensporig verzoek heb je twee opties:
- Een redelijke vergoeding vragen voor de administratieve kosten
- Het verzoek weigeren
3. Wettelijke bewaarplicht
Bij verwijderverzoeken: als je wettelijk verplicht bent om de gegevens te bewaren (fiscale bewaarplicht, arbeidsrechtelijke termijnen), dan mag je niet verwijderen. Dit is geen weigering in de zin van “ik wil niet”, maar “ik kan niet zonder de wet te overtreden”.
4. Rechten van derden
Bij inzageverzoeken: als het verstrekken van gegevens de rechten en vrijheden van andere personen zou schaden. Denk aan dossiers waarin gegevens van meerdere personen staan. Je mag de gegevens van derden afschermen.
5. Rechtsvorderingen
Als je de gegevens nodig hebt voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Zolang een juridisch geschil loopt, mag je relevante gegevens bewaren.
6. Identiteit niet geverifieerd
Als je de identiteit van de verzoeker niet kunt verifieren, mag je het verzoek weigeren totdat de identiteit is bevestigd. Vraag om aanvullende informatie en pauzeer de termijn totdat je die ontvangt.
Hoe je correct weigert
Reageer altijd
Ook bij een weigering moet je binnen een maand reageren. Niet reageren is geen weigering, het is een overtreding.
Onderbouw je beslissing
Leg uit op welke grond je weigert. “We zien geen reden om aan uw verzoek te voldoen” is onvoldoende. Benoem de specifieke uitzondering die van toepassing is.
Informeer over rechten
Vermeld in je antwoord dat de betrokkene:
- Een klacht kan indienen bij de toezichthouder (vermeld de naam en contactgegevens)
- Een beroep kan doen op de rechter
Documenteer
Bewaar je beoordeling: welk verzoek, welke grond voor weigering, welke afweging je hebt gemaakt. Dit is je dossier als de toezichthouder vragen stelt.
Een voorbeeld
Een ex-klant vraagt je om al zijn gegevens te verwijderen. Je controleert je systemen en vindt:
- Facturen met zijn NAW-gegevens (fiscale bewaarplicht: 7 jaar)
- CRM-notities en communicatiehistorie (geen bewaarplicht)
- Een openstaande factuur (nodig voor rechtsvordering)
Je antwoord: “Wij hebben uw CRM-notities en communicatiehistorie verwijderd. Uw facturatiegegevens bewaren wij nog [X] jaar op grond van onze fiscale bewaarplicht. De gegevens gerelateerd aan de openstaande factuur bewaren wij totdat de vordering is afgewikkeld.”
Dat is een correct, transparant en goed onderbouwd antwoord.
Sjabloon: Weigering Verwijdering
Een professioneel antwoord dat de weigering onderbouwt met de specifieke wettelijke grond, en de betrokkene wijst op zijn klachtrecht.
Bekijk het sjabloon arrow_forwardDe bewijslast ligt bij jou
Dit is belangrijk: als een betrokkene een klacht indient bij de toezichthouder, moet jij aantonen dat je weigering gerechtvaardigd was. Niet de betrokkene moet bewijzen dat zijn verzoek gerechtvaardigd was. Zorg dus altijd voor goede documentatie.
GDPRWise helpt je om verzoeken te registreren, te beoordelen en correct te beantwoorden, inclusief sjablonen voor inzage, verwijdering en weigering.