Een inzageverzoek (Data Subject Access Request of DSAR) is de formele uitoefening door een persoon van zijn recht van inzage op grond van artikel 15 GDPR. Het recht geeft personen de mogelijkheid om bevestiging te verkrijgen of de verwerkingsverantwoordelijke persoonsgegevens over hen verwerkt, en zo ja, om een kopie van die gegevens te ontvangen en de informatie die is gespecificeerd in artikel 15, lid 1: de verwerkingsdoeleinden, de betrokken datacategorieën, de ontvangers aan wie gegevens zijn of worden bekendgemaakt, de bewaartermijn, het recht op rectificatie, verwijdering en beperking, het recht om een klacht in te dienen bij een toezichthoudende autoriteit, alle beschikbare informatie over de bron van de gegevens indien niet bij de betrokkene verzameld, en informatie over geautomatiseerde besluitvorming inclusief profilering.
DSARs zijn een van de meest operationeel veeleisende rechten van betrokkenen in de praktijk. Zij vereisen dat organisaties alle persoonsgegevens met betrekking tot de persoon in alle systemen en dossiers opsporen, een coherent en volledig antwoord samenstellen, waar van toepassing uitzonderingen toepassen, en het antwoord binnen de termijn van één maand leveren (verlengbaar tot drie maanden voor complexe of talrijke verzoeken).
De standaardtermijn voor het beantwoorden van een DSAR is één kalendermaand vanaf ontvangst van het verzoek. De termijn loopt vanaf de dag van ontvangst, ongeacht of het verzoek per e-mail, brief of via een webformulier wordt ontvangen. Verwerkingsverantwoordelijken kunnen de klok niet vertragen door om verduidelijking te vragen, tenzij het verzoek daadwerkelijk onduidelijk is: wanneer de identiteit van de verzoeker niet in twijfel wordt getrokken en het verzoek kan worden begrepen, begint de termijn van één maand onmiddellijk.
Een verlenging van twee maanden is beschikbaar wanneer verzoeken complex of talrijk zijn, maar dient binnen de initiële termijn van één maand aan de betrokkene te worden meegedeeld met een toelichting van de redenen. Complexiteit die een verlenging rechtvaardigt, omvat gevallen waarbij zeer grote hoeveelheden gegevens zorgvuldige sortering vereisen, meerdere systemen uitgebreide zoekopdrachten vereisen, of verzoeken aanzienlijke redactie vereisen om gegevens van derden te beschermen.
Een systematisch DSAR-responsproces begint met een vastgelegd protocol voor het identificeren van alle persoonsgegevens met betrekking tot de verzoeker. Dit vereist scopedefinitie: welke systemen en gegevensopslagnplaatsen in scope zijn voor de zoekopdracht, of de zoekopdracht zich uitstrekt tot verwerkers die namens de verwerkingsverantwoordelijke gegevens bewaren, of back-ups in scope zijn, en hoe e-mail- en documentrepositories worden doorzocht. Het bereik van een DSAR is breed: het bestrijkt alle persoonsgegevens in het bezit van de verwerkingsverantwoordelijke in welke vorm dan ook, gestructureerd of ongestructureerd, inclusief e-mails, documenten, notities, geluidsopnamen en gegevens bij externe verwerkers.
Verwerkingsverantwoordelijken kunnen een redelijke vergoeding in rekening brengen of weigeren te handelen wanneer een verzoek kennelijk ongegrond of buitensporig is, met name wanneer het repetitief is. Maar deze uitzonderingen zijn beperkt en toezichthoudende autoriteiten hebben een restrictieve opvatting van de toepassing ervan.
Het recht van inzage is onderworpen aan beperkingen wanneer bekendmaking de rechten en vrijheden van anderen negatief zou beïnvloeden. De meest voorkomende beperking in de praktijk betreft gegevens die informatie over derden bevatten: wanneer naleving van een DSAR vereist dat persoonsgegevens over identificeerbare derden die niet met die bekendmaking hebben ingestemd worden bekendgemaakt, dient de verwerkingsverantwoordelijke het recht op inzage van de verzoeker af te wegen tegen de privacyrechten van de derde. Dit omvat doorgaans het redigeren van identificerende informatie van derden vóór bekendmaking.
Professioneel privilege en verschoningsrecht bieden uitzonderingen in bepaalde contexten: juridisch advies dat door de verwerkingsverantwoordelijke voor eigen doeleinden is ingewonnen, en communicatie die valt onder het verschoningsrecht van de advocaat, kan zijn vrijgesteld van DSAR-bekendmaking onder Belgisch nationaal recht dat de GDPR-derogatie in artikel 23 implementeert.
De standaard is dat op DSARs kosteloos moet worden gereageerd. Een redelijke, op kosten gebaseerde vergoeding mag alleen worden gevraagd wanneer een verzoek kennelijk ongegrond of buitensporig is, met name wanneer het repetitief van aard is. De vergoeding moet op kosten zijn gebaseerd en dient aan de betrokkene te worden meegedeeld vóór het antwoord wordt verstrekt, waarna de betrokkene de optie heeft het verzoek in te trekken.
Ja. Het recht van inzage is van toepassing op alle persoonsgegevens in het bezit van de verwerkingsverantwoordelijke, inclusief gegevens in e-mailsystemen, die vaak aanzienlijke hoeveelheden persoonsgegevens over individuen bevatten. De praktische uitdaging — dat e-mailarcheven jaren communicatie kunnen bevatten die moeilijk systematisch doorzoekbaar zijn — vermindert de wettelijke verplichting niet. Verwerkingsverantwoordelijken dienen e-mailzoekprotocollen vast te stellen als onderdeel van hun DSAR-procesontwerp.
Als de termijn van één maand niet haalbaar is, dient de verwerkingsverantwoordelijke binnen die maand contact op te nemen met de betrokkene om de verlenging van twee maanden in te roepen en de redenen voor de vertraging toe te lichten. Het is niet toegestaan de termijn te laten verstrijken zonder communicatie met de betrokkene. Toezichthoudende autoriteiten ontvangen een aanzienlijk deel van hun klachten rechtstreeks van betrokkenen die geen tijdig DSAR-antwoord hebben ontvangen, en deze klachten worden routinematig onderzocht.
Ja. Werknemers zijn betrokkenen met het volledige scala aan GDPR-rechten, inclusief het recht van inzage op grond van artikel 15. Een werknemer die een DSAR bij zijn werkgever indient, heeft dezelfde rechten als elke andere betrokkene: hij heeft recht op een kopie van alle persoonsgegevens die over hem worden bewaard in alle systemen van de werkgever, inclusief HR-systemen, e-mail, prestatiebeheerstools en eventuele AI-systeemoutputs die op hem betrekking hebben.
%402x.svg){kind=small}
%402x.svg){kind=icon}
%402x.svg){kind=icon}
