Inleiding
Instellingen hebben met regelmaat te maken met inzageverzoeken als: 'Ik wil graag alles zien wat jullie over mij hebben.' of 'Verwijder al mijn gegevens a.u.b.' Als instelling wil je zo'n inzageverzoek correct én binnen de wettelijke termijn afhandelen.
De gevraagde informatie kun je pas overhandigen nadat je de identiteit van de betrokkene hebt vastgesteld. Je wilt immers voorkomen dat je gegevens aan een kwaadwillende overhandigt. Het is ook fijn als je iets meer weet over de scope van het inzageverzoek, want álles gaat zelfs over de registratiemomenten van de toegangspas. Maar dan komt het probleem: de aanvrager is vaak niet bereikbaar of reageert niet op vragen waarop je antwoord nodig hebt om het verzoek correct af te handelen.
Vraag
Hoe kun je beste handelen, ook met inachtneming van de wettelijke termijn van een maand?
Antwoord
Je bent als instelling weliswaar verplicht om binnen één maand te reageren op zo'n verzoek, maar het is niet verplicht om het verzoek binnen één maand volledig af te handelen en gegevens te verstrekken. Wel moet je de persoon die het verzoek indient binnen één maand op de hoogte stellen over de wijze van afhandeling van het verzoek. Meestal is dit ook het moment waarop je kunt afstemmen hoe je omgaat met de identificatie van die persoon, navraag over wat de persoon precies wil zien (de scope van het verzoek bepalen). Je meldt eventueel - afhankelijk van je inschatting - dat het het verwerken van het verzoek langer kan duren dan een maand als het om een complexe situatie gaat.
Dus:
- reageer binnen een maand en vertel wat je nodig hebt om de aanvraag correct af te handelen (inclusief identificatie wanneer dat nodig is) en vertel wat de verwachte doorlooptijd is
- als het een complexe situatie is, leg dan uit dat de doorlooptijd langer kan zijn dan een maand
- lukt het niet om binnen een maand de identiteit van de aanvrager te verifiëren of de scope van het verzoek te bepalen, dan kun je nog niet voldoen aan de aanvraag. Omdat je verplicht bent om de scope van het verzoek en de identiteit van de persoon te verifiëren, kan de termijn van één maand worden gepauzeerd als het niet mogelijk is om de persoon te identificeren of de scope te bepalen. Dit laat je ook aan de aanvrager weten. Je kunt de tijd dan gebruiken om de gegevens compleet te krijgen zodat het verzoek kan worden afgehandeld.
Tips voor je interne proces
Een organisatie mag voor de controle van iemands identiteit geen kopie van een ID-bewijs maken of verwerken. Een digitaal toegestuurde kopie heeft geen rechtsgeldigheid. De aanvrager moet daarom het ID-bewijs in theorie in persoon bij de organisatie tonen. De organisatie kan ervoor kiezen bepaalde manieren van verificatie als voldoende te beschouwen, bijvoorbeeld:
- als het verzoek afkomstig is van een eigen instellingsaccount;
- tonen van de instellingspas/toegangspas (mits foto)
Is er geen geldig verificatiemiddel aanwezig, dan is in persoon tonen van het identiteitsbewijs (paspoort, ID-kaart of rijbewijs) nodig, bijvoorbeeld bij de servicedesk. Een alternatief kan zijn het tonen van het ID-bewijs via een onlinemeeting (geen opname toegestaan, zorg voor encryptie). Er zijn nog andere manieren denkbaar (zoals de app Kopie-ID), maar het is belangrijk om goed te kunnen inschatten of daadwerkelijk de juiste persoon de aanvraag doet en zich identificeert.
Voorbeeld voor de procedures van het inzageverzoek door de betrokkene en de interne afhandeling ervan volgen in mei 2025.
Het antwoord op deze pagina is gebaseerd op een advies van ICTRecht aan MBO Digitaal.