Volgens de AVG heeft iedereen waarvan jij (“verwerkingsverantwoordelijke”) de persoonsgegevens verwerkt, het recht om informatie over die verwerking in te zien. Dit heet het recht op inzage. Dit recht is in het leven geroepen zodat een persoon (in de AVG de “betrokkene” genoemd) de rechtmatigheid van jouw verwerking controleren.
Deze gegevens mogen opgevraagd worden
Welke gegevens de betrokkene mag opvragen over de verwerking, zijn:
- wat het doel is van de verwerking van zijn persoonsgegevens (verwerkingsdoeleinde);
- de betrokken categorieën van persoonsgegevens;
- de (categorieën van) ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ook of dat ontvangers zijn buiten de EER. Wanneer persoonsgegevens worden doorgegeven buiten de EER, dan heeft de betrokkene het recht in kennis te worden gesteld van de waarborgen die je hebt genomen om zijn persoonsgegevens te beschermen.
- de bewaartermijn van zijn gegevens;
- wanneer jij de persoonsgegevens van de betrokkene niet bij de betrokkene hebt verzameld, dan moet je alle beschikbare informatie over de bron van die gegevens geven;
- of jij geautomatiseerd besluiten neemt over de betrokkene.
In juni 2023 heeft het Hof van Justitie van de Europese Unie geoordeeld dat de betrokkene ook mag opvragen wat de data en redenen zijn dat zijn persoonsgegevens door anderen zijn ingezien.
Voorbeeld
Stel, jij verzamelt de voornaam van (ik zeg maar wat) Anne Jansen, en haar e-mailadres, omdat ze zich had ingeschreven voor jouw nieuwsbrief. Jouw e-mailprovider is Mailchimp. Beroept Anne zich op haar recht op inzage, dan moet jij haar dus de volgende informatie geven:
- Verwerkingsdoeleinde: nieuwsbrief versturen;
- Betrokken categorieën van persoonsgegevens: naam en e-mailadres;
- Ontvangers aan wie de persoonsgegevens zijn verstrekt, plus de eventuele genomen waarborgen: e-mailprovider, die ontvanger is buiten de EER (Mailchimp is een Amerikaanse bedrijf). Ik heb een SCC (standard contractual clause) gesloten met Mailchimp;
- Bewaartermijn: net zolang tot Anne zich uitschrijft;
- Geautomatiseerde besluiten: nee.
Passende waarborgen?
Op moment van schrijven (juli 2023) zijn er helaas nog geen passende waarborgen die je kan nemen als je een Amerikaanse partij inschakelt. Het Hof van Justitie van de Europese Unie heeft namelijk in juli 2020 geoordeeld dat doorgifte van persoonsgegevens naar de Verenigde Staten sowieso niet toegestaan is (hieronder valt dat een partij die jij inschakelt data opslaat in de Verenigde Staten), omdat daar het recht op privacy sowieso niet voldoende gewaarborgd kan worden. De Amerikaanse inlichtingendiensten kunnen namelijk zomaar bij al deze persoonsgegevens. Dat kan in de EER niet.
Een SCC sluiten is, voor de VS, geen passende waarborg. Die Amerikaanse inlichtingendiensten kunnen nog steeds bij alle data, ook al sluit jij een contractje met de partij die je inschakelt. Totdat er een oplossing is gevonden, is het inzetten van Amerikaanse partijen dus niet AVG-proof.
Terug naar recht op inzage: waar haal ik al die gegevens vandaan?
Denk jij nu: ehhh… Waar tover ik in godsnaam nu AL die informatie vandaan die ik moet laten zien? Een groot deel kan je heel makkelijk afkijken uit je verwerkingsregister (en/of privacyverklaring). Verwerkingsregister? Ja, je weet wel. Dat verplichte interne document die aan de AVG moet voldoen en die de Autoriteit Persoonsgegevens altijd kan opvragen. Je moet je namelijk altijd kunnen verantwoorden. Heb je die nog niet? I’ve got your back. Ik heb een voorbeeld verwerkingsregister + invulhandleiding voor je gemaakt! Scheelt jou tijd en gedoe.