Skip to content
Rechten & Verzoeken calendar_today Bijgewerkt: 11 april 2026 schedule 6 min leestijd

Hoe Stel Je een Verzoekenprocedure Op?

Een stapsgewijze handleiding voor het opzetten van een betrouwbaar proces voor het afhandelen van GDPR-verzoeken van betrokkenen. Van het aanwijzen van een contactpunt tot het documenteren van elke stap.

summarize Kernpunten
  • check_circle Wijs een duidelijk contactpunt aan voor alle verzoeken van betrokkenen
  • check_circle Elke vorm van verzoek telt - e-mail, telefoon, mondeling of social media
  • check_circle Registreer elk verzoek onmiddellijk en stel deadlineherinneringen in
  • check_circle Documenteer alles als bewijs voor de toezichthouder

Waarom je een procedure nodig hebt

De meeste KMO’s handelen hun eerste verzoek van een betrokkene af in paniek. Iemand mailt “welke gegevens hebben jullie over mij?” en niemand weet wie moet reageren, wat er gecontroleerd moet worden of wanneer de deadline is. Zo ontstaan fouten, en fouten leiden tot klachten en boetes.

Een duidelijke, schriftelijke procedure voorkomt dit. Het hoeft niet ingewikkeld te zijn. Negen stappen, een gedeeld register en een paar sjablonen zijn voldoende.

Stap 1: Wijs een contactpunt aan

Kies een persoon of een e-mailadres dat alle verzoeken van betrokkenen ontvangt. Dit kan privacy@uwbedrijf.nl zijn, je officemanager, of jijzelf als je een klein team hebt.

De belangrijkste regel: verzoeken mogen niet in een algemene inbox terechtkomen waar ze begraven raken. Iedereen in je organisatie moet weten waar een verzoek naartoe gestuurd moet worden zodra het binnenkomt.

Zorg voor een back-up. Als het contactpersoon op vakantie is, moet iemand anders de binnenkomende verzoeken controleren.

Stap 2: Herken een verzoek

Een verzoek van een betrokkene komt niet op een speciaal formulier. Het kan via elk kanaal binnenkomen:

  • E-mail - “Stuur me alsjeblieft alle gegevens die jullie over mij hebben”
  • Telefoon - “Ik wil dat mijn account verwijderd wordt”
  • Social media - een privebericht met het verzoek om te stoppen met verwerken
  • Brief - een formeel schriftelijk verzoek
  • Mondeling - tijdens een vergadering of aan de balie

Elke variatie van “welke gegevens hebben jullie?”, “verwijder mijn gegevens”, “stop met het verwerken van mijn informatie” of “corrigeer mijn gegevens” geldt als een formeel verzoek onder de GDPR (ook bekend als de AVG). Train je team om deze te herkennen en direct door te sturen.

Stap 3: Registreer onmiddellijk

Op het moment dat een verzoek binnenkomt, registreer het in je verzoekregister. Noteer:

  • Wie het verzoek doet (naam, contactgegevens)
  • Wanneer je het hebt ontvangen (hier begint de klok te lopen)
  • Via welk kanaal het binnenkwam
  • Welk type verzoek het is (inzage, verwijdering, rectificatie, beperking, overdraagbaarheid, bezwaar)
  • Deadline (een maand na ontvangst)
description

Sjabloon: Verzoekregister

Houd elk verzoek bij in een centraal register: wie, wanneer, welk type, deadline en uitkomst.

Bekijk het sjabloon arrow_forward

Stap 4: Verifieer de identiteit

Voordat je actie onderneemt op een verzoek, moet je bevestigen dat je met de juiste persoon communiceert. Gegevens aan de verkeerde persoon geven is een datalek.

Pas proportionele verificatie toe:

SituatieVerificatiemethode
Bekende klant met een accountVraag om bevestiging via het account of bekend e-mailadres
Bekende medewerker of contactpersoonBevestiging via het bekende e-mailadres is voldoende
Onbekende persoonVraag om kopie ID-bewijs, met foto en BSN onleesbaar gemaakt

Vraag nooit meer identificatie dan nodig. Een volledig paspoort voor een nieuwsbrief-uitschrijving is buitenproportioneel.

description

Sjabloon: Identiteitsverificatie

Een standaardbrief waarmee je de verzoeker vraagt om zijn of haar identiteit op een proportionele manier te bevestigen.

Bekijk het sjabloon arrow_forward

Stap 5: Beoordeel het verzoek

Bepaal welk recht wordt ingeroepen en of je kunt voldoen:

  • Welk recht? Inzage, verwijdering, rectificatie, beperking, overdraagbaarheid of bezwaar?
  • Kun je volledig voldoen? In de meeste gevallen wel.
  • Zijn er gronden voor (gedeeltelijke) weigering? Wettelijke bewaarplichten, rechten van anderen, kennelijk ongegronde verzoeken?
  • Gedeeltelijke naleving? Je moet mogelijk sommige gegevens verwijderen terwijl je andere gegevens behoudt die je wettelijk verplicht bent te bewaren.

Als je moet weigeren, moet je uitleggen waarom en de verzoeker informeren over het recht om te klagen bij de toezichthouder.

Stap 6: Stel deadlineherinneringen in

Je hebt een maand vanaf de datum van ontvangst. Niet vanaf verificatie, niet vanaf het moment dat je begon te werken aan het verzoek - vanaf ontvangst.

Stel twee herinneringen in:

  • Na twee weken - controleer de voortgang. Is de identiteit geverifieerd? Ben je begonnen met het verzamelen van gegevens?
  • Na drie weken - het antwoord moet bijna klaar zijn. Zo niet, overweeg of je een verlenging nodig hebt.

Als het verzoek complex is, mag je de deadline met twee maanden verlengen. Maar je moet de verzoeker hierover informeren binnen de eerste maand, met uitleg waarom.

Stap 7: Reageer

Reageer altijd schriftelijk, ook als het verzoek telefonisch binnenkwam. Je antwoord moet duidelijk uitleggen:

  • Wat je hebt gedaan - welke gegevens je hebt verstrekt, gecorrigeerd of verwijderd
  • Waarom - de juridische grondslag voor je acties (of je reden voor weigering)
  • Hun rechten - het recht om te klagen bij de toezichthouder

Gebruik antwoordsjablonen om ervoor te zorgen dat je alle verplichte elementen meeneemt:

description

Sjabloon: Bevestiging Inzageverzoek

Een kant-en-klaar antwoordsjabloon voor inzageverzoeken met alle verplichte informatie-elementen.

Bekijk het sjabloon arrow_forward

Voor andere verzoektypes gebruik je het bijbehorende sjabloon: bevestiging verwijdering, weigering verwijdering of bevestiging rectificatie. Elk sjabloon zorgt ervoor dat je de wettelijk vereiste informatie opneemt.

Stap 8: Documenteer alles

Je dossier per verzoek moet bevatten:

  • Het oorspronkelijke verzoek (of een samenvatting als het mondeling was)
  • Identiteitsverificatie-documenten
  • Je interne notities over welke systemen zijn doorzocht
  • Het antwoord dat je hebt verstuurd
  • Data van elke stap

Dit is je bewijs als de betrokkene een klacht indient bij de toezichthouder. Zonder documentatie is het jouw woord tegen het hunne.

Stap 9: Stel een escalatiepad in

Niet elk verzoek is eenvoudig. Bepaal van tevoren:

  • Wie beslist over weigeringen? Het contactpersoon mag niet alleen verzoeken weigeren.
  • Wanneer raadpleeg je een jurist? Bij complexe wettelijke bewaartermijnen, tegengestelde rechten of mogelijke rechtszaken.
  • Wanneer neem je contact op met je FG? Als je een Functionaris Gegevensbescherming hebt, moet deze betrokken worden bij niet-routinematige gevallen.
  • Wat als je twijfelt over het type verzoek? Behandel het bij twijfel als een geldig verzoek en zoek advies.

Schrijf dit escalatiepad op. Als een moeilijk verzoek binnenkomt om 16:00 op een vrijdag, wil je dit niet onder druk uitzoeken.

Alles samengevat

Je procedure past op een pagina:

  1. Verzoek komt binnen - doorsturen naar contactpunt
  2. Registreren in het verzoekregister
  3. Identiteit verifieren
  4. Verzoek beoordelen
  5. Gegevens verzamelen of actie ondernemen
  6. Antwoord voorbereiden met sjabloon
  7. Antwoord versturen binnen een maand
  8. Alles documenteren
  9. Zaak afsluiten in het register

Print dit uit, deel het met je team en loop het een keer door. Het eerste echte verzoek verloopt dan soepel.

auto_awesome Wees voorbereid op verzoeken

GDPRWise helpt je bij het opzetten van je verzoekenprocedure en genereert de sjablonen die je nodig hebt om correct te reageren.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.