Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

guidelines recht op inzage

European Data Protection Board

View source

Nov 21, 2025 edpb-guidelines-recht-op-inzage Source

Content

Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage

Versie 2.1

Vastgesteld op 28 maart 2023

Versiegeschiedenis

Versie 1.0	18 januari 2022	Vaststelling van de richtsnoeren voor openbare raadpleging
Versie 2.0	28 maart 2023	Vaststelling van de richtsnoeren na openbare raadpleging
Versie 2.1	30 mei 2024	Kleine correcties

SAMENVATTING

Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.

Doel en algemene structuur van het recht van inzage

Het algemene doel van het recht van inzage is om personen voldoende, transparante en gemakkelijk toegankelijke informatie te verstrekken over de verwerking van hun persoonsgegevens, zodat zij zich van de verwerking op de hoogte kunnen stellen en de rechtmatigheid daarvan en de nauwkeurigheid van de verwerkte gegevens kunnen controleren. Dit zal het voor de betrokkene gemakkelijker maken - maar is geen voorwaarde - om andere rechten uit te oefenen, zoals het recht op wissing of rectificatie.

Het recht van inzage volgens de gegevensbeschermingswetgeving moet worden onderscheiden van soortgelijke rechten met andere doelstellingen, bijvoorbeeld het recht van inzage in overheidsdocumenten, dat tot doel heeft de transparantie in de besluitvorming van overheidsinstanties en goede administratieve praktijken te waarborgen.

De betrokkene hoeft echter geen redenen op te geven voor het verzoek om inzage en het is niet aan de verwerkingsverantwoordelijke om te analyseren of het verzoek de betrokkene daadwerkelijk zal helpen om de rechtmatigheid van de betreffende verwerking te controleren of andere rechten uit te oefenen. De verwerkingsverantwoordelijke moet het verzoek in behandeling nemen, tenzij het duidelijk is dat het verzoek wordt gedaan op grond van andere regels dan de gegevensbeschermingsregels.

Het recht van inzage omvat drie verschillende bestanddelen:

 uitsluitsel over het al dan niet verwerken van persoonsgegevens van de betrokkene;
 inzage van deze persoonsgegevens, en
 inzage van informatie over de verwerking, zoals het doel, de categorieën gegevens en de ontvangers, de duur van de verwerking, de rechten van de betrokkenen en passende waarborgen in geval van doorgifte aan derde landen.

Algemene overwegingen bij de beoordeling van het verzoek van de betrokkene

Bij het analyseren van de inhoud van het verzoek moet de verwerkingsverantwoordelijke beoordelen of het verzoek betrekking heeft op persoonsgegevens van de persoon die het verzoek indient, of het verzoek binnen de reikwijdte van artikel 15 valt en of er andere, meer specifieke bepalingen zijn die de inzage in een bepaalde sector regelen. Hij moet ook beoordelen of het verzoek betrekking heeft op alle of slechts delen van de gegevens met betrekking tot de betrokkene die worden verwerkt.

Er zijn geen specifieke vereisten voor het formaat van een verzoek. De verwerkingsverantwoordelijke moet zorgen voor geschikte en gebruiksvriendelijke communicatiekanalen die gemakkelijk door de betrokkene kunnen worden gebruikt. De betrokkene is echter niet verplicht om deze specifieke kanalen te gebruiken en kan in plaats daarvan het verzoek sturen naar een officieel contactpunt van de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke is niet verplicht om te reageren op verzoeken die naar volstrekt willekeurige of ogenschijnlijk onjuiste adressen worden gestuurd.

Wanneer de verwerkingsverantwoordelijke niet in staat is gegevens te identificeren die naar de betrokkene verwijzen, informeert hij de betrokkene hierover en kan hij weigeren inzage te verlenen tenzij de betrokkene aanvullende informatie verstrekt die identificatie mogelijk maakt. Als de verwerkingsverantwoordelijke twijfelt of de betrokkene is wie hij beweert te zijn, kan de verwerkingsverantwoordelijke bovendien om aanvullende informatie vragen om de identiteit van de betrokkene te bevestigen. Het verzoek om aanvullende informatie moet in verhouding staan tot het soort gegevens dat wordt verwerkt, de schade die kan ontstaan enz. om te voorkomen dat er buitensporig veel gegevens worden verzameld.

Reikwijdte van het recht van inzage

De reikwijdte van het recht van inzage wordt bepaald door de reikwijdte van het begrip persoonsgegevens zoals gedefinieerd in artikel 4, punt 1, AVG. Naast elementaire persoonsgegevens zoals naam, adres, telefoonnummer enz. kan een grote verscheidenheid aan gegevens binnen deze definitie vallen, zoals medische bevindingen, aankoopgeschiedenis, kredietwaardigheidsindicatoren, activiteitenlogboeken, zoekactiviteiten enz. Persoonsgegevens die gepseudonimiseerd zijn, zijn nog steeds persoonsgegevens, in tegenstelling tot geanonimiseerde gegevens. Het recht van inzage heeft betrekking op persoonsgegevens van de persoon die het verzoek indient. Dit moet niet te restrictief worden geïnterpreteerd en kan gegevens omvatten die ook andere personen kunnen betreffen, bijvoorbeeld de communicatiegeschiedenis met inkomende en uitgaande berichten.

Naast het verlenen van inzage van de persoonsgegevens moet de verwerkingsverantwoordelijke aanvullende informatie verstrekken over de verwerking en over de rechten van de betrokkenen. Dergelijke informatie kan worden gebaseerd op wat al is verzameld in het register van de verwerkingsactiviteiten van de verwerkingsverantwoordelijke (artikel 30 AVG) en de privacyverklaring (de artikelen 13 en 14 AVG). Het kan echter nodig zijn deze algemene informatie aan te passen aan het tijdstip van het verzoek of aan de verwerkingsactiviteiten die worden uitgevoerd met betrekking tot de specifieke persoon die het verzoek indient.

Inzage verlenen

De manieren om inzage te verlenen, kunnen variëren afhankelijk van de hoeveelheid gegevens en de complexiteit van de verwerking die wordt uitgevoerd. Tenzij uitdrukkelijk anders vermeld, moet het verzoek worden opgevat als betrekking hebbend op alle persoonsgegevens van de betrokkene en kan de verwerkingsverantwoordelijke de betrokkene vragen het verzoek te specificeren als hij een grote hoeveelheid gegevens verwerkt.

De verwerkingsverantwoordelijke moet in alle IT-systemen en niet-IT-archiveringssystemen naar persoonsgegevens zoeken op basis van zoekcriteria die aansluiten op de structuur van de informatie, bijvoorbeeld naam en klantnummer. De communicatie van gegevens en andere informatie over de verwerking moet worden verstrekt in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, in duidelijke en eenvoudige taal. De meer precieze vereisten in dit verband zijn afhankelijk van de omstandigheden van de gegevensverwerking en het vermogen van de betrokkene om de communicatie te begrijpen (bijvoorbeeld rekening houdend met het feit dat de betrokkene een kind is of een persoon met speciale behoeften). Als de gegevens uit codes of andere 'ruwe gegevens' bestaan, moeten deze mogelijk worden uitgelegd om ze begrijpelijk te maken voor de betrokkene.

De belangrijkste manier om inzage te verlenen is het verstrekken van een kopie van de gegevens aan de betrokkene, maar andere manieren (zoals mondelinge informatie en inzage ter plaatse) zijn mogelijk als de betrokkene daarom vraagt. De gegevens kunnen per e-mail worden verzonden, op

voorwaarde dat alle nodige voorzorgsmaatregelen in acht worden genomen, rekening houdend met bijvoorbeeld de aard van de gegevens, of op een andere manier, bijvoorbeeld via een selfservicetool.

Soms, als sprake is van een grote hoeveelheid gegevens die lastig te begrijpen zouden zijn voor de betrokkene indien alles in één keer wordt doorgegeven - vooral in de onlinecontext - kan een gelaagde aanpak de beste optie zijn. De verstrekking van informatie in verschillende lagen kan het voor de betrokkene gemakkelijker maken om de gegevens te begrijpen. De verwerkingsverantwoordelijke moet kunnen aantonen dat de gelaagde aanpak een toegevoegde waarde heeft voor de betrokkene en alle lagen moeten tegelijkertijd worden verstrekt als de betrokkene daarvoor kiest.

De kopie van de gegevens en de aanvullende informatie moeten worden verstrekt in een permanente vorm, zoals geschreven tekst, die in een gangbare elektronische vorm kan zijn, zodat de betrokkene deze gemakkelijk kan downloaden. De gegevens kunnen in een transcript of een compilatie worden doorgegeven zolang alle informatie wordt opgenomen en dit de inhoud van de informatie niet verandert.

Aan het verzoek moet zo snel mogelijk worden voldaan en in ieder geval binnen een maand na ontvangst van het verzoek. Afhankelijk van de complexiteit en het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De betrokkene moet dan worden geïnformeerd over de reden voor de vertraging. De verwerkingsverantwoordelijke moet zo snel mogelijk de nodige maatregelen treffen om verzoeken te behandelen en deze maatregelen aanpassen aan de omstandigheden van de verwerking. Wanneer gegevens slechts voor een zeer korte periode worden opgeslagen, moeten er maatregelen zijn om te garanderen dat aan een verzoek om inzage kan worden voldaan zonder dat de gegevens worden gewist terwijl het verzoek wordt behandeld. Wanneer een grote hoeveelheid gegevens wordt verwerkt, zal de verwerkingsverantwoordelijke routines en mechanismen moeten invoeren die zijn aangepast aan de complexiteit van de verwerking.

De beoordeling van het verzoek moet de situatie weergeven op het moment dat het verzoek door de verwerkingsverantwoordelijke werd ontvangen. Zelfs gegevens die mogelijk onjuist of onrechtmatig verwerkt zijn, moeten worden verstrekt. Gegevens die al zijn verwijderd, bijvoorbeeld in overeenstemming met een bewaarbeleid, en daarom niet langer beschikbaar zijn voor de verwerkingsverantwoordelijke, kunnen niet worden verstrekt.

Beperkingen

De AVG staat bepaalde beperkingen van het recht van inzage toe. Er zijn geen verdere vrijstellingen of afwijkingen. Het recht van inzage geldt zonder enig algemeen voorbehoud ten aanzien van evenredigheid met betrekking tot de inspanningen die de verwerkingsverantwoordelijke moet leveren om aan het verzoek van de betrokkene te voldoen.

Volgens artikel 15, lid 4, mag het recht om een kopie te verkrijgen, geen afbreuk doen aan de rechten en vrijheden van anderen. De EDPB is van mening dat deze rechten niet alleen in aanmerking moeten worden genomen wanneer de inzage van gegevens wordt verleend door een kopie te verstrekken, maar ook wanneer de inzage op een andere manier wordt verleend (zoals inzage ter plaatse). Artikel 15, lid 4, is echter niet van toepassing op de aanvullende informatie over de verwerking zoals vermeld in artikel 15, lid 1, punten a) tot en met h). De verwerkingsverantwoordelijke moet kunnen aantonen dat de rechten of vrijheden van anderen in de concrete situatie nadelig zouden worden beïnvloed. De toepassing van artikel 15, lid 4 mag niet leiden tot het volledig afwijzen van het verzoek van de betrokkene, maar zou alleen leiden tot het weglaten of onleesbaar maken van die delen die negatieve gevolgen kunnen hebben voor de rechten en vrijheden van anderen.

Artikel 12, lid 5, AVG staat verwerkingsverantwoordelijken toe om verzoeken af te wijzen die kennelijk ongegrond of buitensporig zijn, of om een redelijke vergoeding aan te rekenen voor dergelijke verzoeken. Deze begrippen moeten eng worden geïnterpreteerd. Aangezien er zeer weinig voorwaarden gelden voor verzoeken om inzage, zijn de mogelijkheden om een verzoek als kennelijk ongegrond te beschouwen, vrij beperkt. Of een verzoek buitensporig is, hangt af van de specifieke kenmerken van de sector waarin de verwerkingsverantwoordelijke actief is. Hoe vaker er wijzigingen plaatsvinden in de gegevensbank van de verwerkingsverantwoordelijke, hoe vaker de betrokkene om inzage mag vragen zonder dat dit buitensporig is. In plaats van inzage te weigeren, kan de verwerkingsverantwoordelijke besluiten de betrokkene een vergoeding aan te rekenen. Dat kan alleen aan de orde zijn om de administratieve kosten te dekken die buitensporige verzoeken met zich kunnen meebrengen. De verwerkingsverantwoordelijke moet het kennelijk ongegronde of buitensporige karakter van een verzoek kunnen aantonen.

Beperkingen van het recht van inzage kunnen ook zijn vervat in de nationale wetgeving van de lidstaten overeenkomstig artikel 23 AVG en de daarin opgenomen afwijkingen. Verwerkingsverantwoordelijken die zich op dergelijke beperkingen willen beroepen, moeten zorgvuldig de vereisten van de nationale bepalingen controleren en nota nemen van eventuele toepasselijke specifieke voorwaarden. Dergelijke voorwaarden kunnen inhouden dat het recht van inzage slechts tijdelijk wordt uitgesteld of dat de beperking alleen geldt voor bepaalde categorieën van gegevens.

Inhoudsopgave

	4.3 Informatie over de verwerking en over de rechten van	4.3 Informatie over de verwerking en over de rechten van	betrokkenen.................................. 44
5	Hoe kan een verwerkingsverantwoordelijke inzage verlenen? ....................................................	Hoe kan een verwerkingsverantwoordelijke inzage verlenen? ....................................................	48
5.1	Hoe kan de verwerkingsverantwoordelijke de gevraagde gegevens ophalen?....................	Hoe kan de verwerkingsverantwoordelijke de gevraagde gegevens ophalen?....................	49
5.2	Passende maatregelenom inzage te bieden ........................................................................	Passende maatregelenom inzage te bieden ........................................................................	49
5.2.1	5.2.1	'Passende maatregelen' nemen...................................................................................	50
5.2.2	5.2.2	Verschillende manieren om inzage te verlenen............................................................	51
5.2.3 Inzage verlenen 'in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal'.............................................................	5.2.3 Inzage verlenen 'in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal'.............................................................	5.2.3 Inzage verlenen 'in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal'.............................................................	53
5.2.4 informatie	5.2.4 informatie	Een grote hoeveelheid informatie stelt specifieke eisen aan de manier waarop de wordt	verstrekt............................................................................................................ 55
5.2.5 Formaat .........................................................................................................................	5.2.5 Formaat .........................................................................................................................	5.2.5 Formaat .........................................................................................................................	56
5.3	Tijdschema voor het verlenen van inzage.............................................................................	Tijdschema voor het verlenen van inzage.............................................................................	59
6	Grenzen en beperkingen op het recht van inzage ........................................................................	Grenzen en beperkingen op het recht van inzage ........................................................................	61
6.1	6.1	Algemene opmerkingen........................................................................................................	61
6.2	6.2	Artikel 15, lid 4, AVG..............................................................................................................	61
6.3	6.3	Artikel 12, lid 5, AVG..............................................................................................................	65
6.3.1 Wat betekent 'kennelijk ongegrond'? .........................................................................	6.3.1 Wat betekent 'kennelijk ongegrond'? .........................................................................	6.3.1 Wat betekent 'kennelijk ongegrond'? .........................................................................	65
6.3.2 Wat betekent buitensporig?	6.3.2 Wat betekent buitensporig?	6.3.2 Wat betekent buitensporig?	......................................................................................... 66
6.3.3 Gevolgen........................................................................................................................	6.3.3 Gevolgen........................................................................................................................	6.3.3 Gevolgen........................................................................................................................	69
6.4	6.4	Mogelijke beperkingen in de wetgeving van de Unie of de lidstaten op basis van artikel 23	Mogelijke beperkingen in de wetgeving van de Unie of de lidstaten op basis van artikel 23
AVG en afwijkingen ...........................................................................................................................	AVG en afwijkingen ...........................................................................................................................	AVG en afwijkingen ...........................................................................................................................	70
Bijlage -Stroomdiagram .....................................................................................................................	Bijlage -Stroomdiagram .....................................................................................................................	Bijlage -Stroomdiagram .....................................................................................................................	72

Het Europees Comité voor gegevensbescherming

Gezien artikel 70, lid 1, punt e), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna 'AVG' genoemd),

Gezien de EER-overeenkomst en met name bijlage XI en Protocol nr. 37, zoals gewijzigd bij Besluit nr. 154/2018 van het Gemengd Comité van de EER van 6 juli 2018 1 ,

Gezien de artikelen 12 en 22 van zijn reglement van orde,

Bij de voorbereiding van deze richtsnoeren is de input van belanghebbenden verzameld, zowel schriftelijk als tijdens een speciale bijeenkomst voor belanghebbenden over de rechten van betrokkenen, om de uitdagingen en interpretatieproblemen bij de toepassing van de desbetreffende bepalingen van de AVG te identificeren;

HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD

1 INLEIDING - ALGEMENE OPMERKINGEN

In de huidige maatschappij worden persoonsgegevens verwerkt door publieke en particuliere entiteiten, in het kader van vele activiteiten, voor een breed spectrum van doeleinden en op vele verschillende manieren. Natuurlijke personen bevinden zich vaak in een nadelige positie wat betreft inzicht in de manier waarop hun persoonsgegevens worden verwerkt, inclusief de technologie die in het specifieke geval wordt gebruikt, of het nu gaat om een particuliere of een openbare entiteit. Om persoonsgegevens van natuurlijke personen in deze situaties te beschermen, is met de AVG een samenhangend en robuust wettelijk kader gecreëerd dat algemeen van toepassing is op verschillende soorten verwerking, inclusief specifieke bepalingen met betrekking tot de rechten van betrokkenen.
Het recht van inzage van persoonsgegevens is een van de rechten van de betrokkenen waarin hoofdstuk III van de AVG voorziet, naast andere rechten, zoals bijvoorbeeld het recht op rectificatie en wissing, het recht op beperking van de verwerking, het recht op overdraagbaarheid, het recht op bezwaar of het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming, met inbegrip van profilering 2 . Het recht van inzage van de betrokkene is vastgelegd in zowel het Handvest van de grondrechten van de Europese Unie (het Handvest) 3 als in artikel 15 AVG, waar het meer bepaald is geformuleerd als het recht van inzage van persoonsgegevens en andere gerelateerde informatie.
Krachtens de AVG bestaat het recht van inzage uit drie elementen, namelijk uitsluitsel over het al dan niet verwerken van persoonsgegevens, inzage van de gegevens en informatie over de verwerking zelf.

2 De artikelen 15 tot en met 22 AVG.

3 Krachtens artikel 8 lid 1 van het Handvest van de grondrechten van de Europese Unie heeft eenieder recht op bescherming van zijn persoonsgegevens. Krachtens de tweede zin van artikel 8, lid 2, heeft eenieder heeft recht van inzage van de over hem verzamelde gegevens en op rectificatie daarvan.

De betrokkene kan ook een kopie van de verwerkte persoonsgegevens krijgen, waarbij deze mogelijkheid geen extra recht voor de betrokkene is, maar de regeling om inzage van de gegevens te verlenen. Het recht van inzage kan dus worden opgevat als de mogelijkheid van de betrokkene om de verwerkingsverantwoordelijke te vragen of er persoonsgegevens over hem worden verwerkt en als de mogelijkheid om deze gegevens in te zien en te controleren. De verwerkingsverantwoordelijke verstrekt de betrokkene op diens verzoek de informatie die valt binnen het toepassingsgebied van artikel 15, leden 1 en 2, AVG.

De uitoefening van het recht van inzage gebeurt zowel in het kader van de gegevensbeschermingswetgeving, in overeenstemming met de doelstellingen van de gegevensbeschermingswetgeving, als meer specifiek in het kader van de ' grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens ', zoals bepaald in artikel 1, lid 2, AVG. Het recht van inzage is een belangrijk onderdeel van het hele systeem voor gegevensbescherming.
Het praktische doel van het recht van inzage is om natuurlijke personen in staat te stellen controle te hebben over hun eigen persoonsgegevens 4 . Om dit doel in de praktijk te verwezenlijken, wordt met de AVG beoogd de uitoefening van dit recht te vergemakkelijken middels een aantal garanties die de betrokkene in staat stellen dit recht gemakkelijk, zonder onnodige beperkingen, met redelijke tussenpozen en zonder buitensporige vertraging of kosten uit te oefenen. Dit alles moet leiden tot een effectievere handhaving van het recht van inzage van de betrokkene in het digitale tijdperk, waarvan in bredere zin ook het recht van de betrokkene om een klacht in te dienen bij de toezichthoudende autoriteit en het recht op effectieve rechtsbescherming deel uitmaken 5 .
Wat betreft de ontwikkeling van het recht van inzage als onderdeel van het rechtskader voor gegevensbescherming, moet worden benadrukt dat dit recht vanaf het begin deel heeft uitgemaakt van het Europese systeem voor gegevensbescherming. In vergelijking met Richtlijn 95/46/EG zijn de rechten van de betrokkenen in de AVG zowel verfijnd als versterkt; dit geldt ook voor het recht van inzage. Aangezien de regelingen van het recht van inzage nu nauwkeuriger zijn gespecificeerd in de AVG, is dit recht ook beter toepasbaar geworden vanuit het oogpunt van rechtszekerheid voor zowel de betrokkene als de verwerkingsverantwoordelijke. Bovendien is de verwerkingsverantwoordelijke door de specifieke bewoordingen van artikel 15, en de precieze termijn voor het verstrekken van gegevens op grond van artikel 12, lid 3, AVG, verplicht om voorbereid te zijn op vragen van betrokkenen door procedures te ontwikkelen voor het afhandelen van verzoeken.
Het recht van inzage moet niet op zichzelf worden gezien, aangezien het nauw verbonden is met andere bepalingen van de AVG, in het bijzonder met de gegevensbeschermingsbeginselen, waaronder de behoorlijkheid en rechtmatigheid van de verwerking, de transparantieverplichting van de verwerkingsverantwoordelijke en met andere rechten van de betrokkene die zijn vastgelegd in hoofdstuk III van de AVG.
In het kader van de rechten van de betrokkene moet ook worden gewezen op het belang van artikel 12 AVG, waarin eisen worden gesteld aan passende maatregelen die door de verwerkingsverantwoordelijke worden genomen bij het verstrekken van de informatie als bedoeld in de artikelen 13 en 14 AVG, en de communicatie bedoeld in de artikelen 15 tot en met 22 en artikel 34 AVG; deze vereisten specificeren in het algemeen de vorm, de manier en de termijn voor antwoorden aan de betrokkene, en in het bijzonder voor informatie gericht aan kinderen.
De EDPB acht het noodzakelijk om preciezere richtsnoeren te geven over hoe het recht van inzage in verschillende situaties moet worden toegepast. In deze richtsnoeren worden de verschillende aspecten van het recht van inzage geanalyseerd. Meer in het bijzonder biedt de volgende afdeling een algemeen overzicht en uitleg over de inhoud van artikel 15, terwijl de daaropvolgende afdelingen nader ingaan op de meest voorkomende praktische vragen en kwesties met betrekking tot de uitvoering van het recht van inzage.

2 DOEL VAN HET RECHT VAN INZAGE, STRUCTUUR VAN ARTIKEL 15 AVG EN ALGEMENE BEGINSELEN

2.1 Doel van het recht van inzage

Het recht van inzage is dus bedoeld om een natuurlijke persoon controle te geven over de persoonsgegevens die op hem betrekking hebben, ' zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren ' 6 . Meer in het bijzonder is het doel van het recht van inzage om de betrokkenen in staat te stellen te begrijpen hoe hun persoonsgegevens worden verwerkt en wat de gevolgen van deze verwerking zijn, en om de juistheid van de verwerkte gegevens te controleren zonder dat zij hun bedoeling hoeven te rechtvaardigen. Het recht van inzage heeft met andere woorden tot doel personen te voorzien van voldoende, transparante en gemakkelijk toegankelijke informatie over gegevensverwerking, ongeacht de gebruikte technologieën, en hen in staat te stellen verschillende aspecten van een bepaalde verwerkingsactiviteit uit hoofde van de AVG te controleren (bv. rechtmatigheid, nauwkeurigheid).
De interpretatie van de AVG in deze richtsnoeren is gebaseerd op de jurisprudentie van het Hof van Justitie tot nu toe. Rekening houdend met het belang van het recht van inzage, kan worden verwacht dat de jurisprudentie op dit gebied in de toekomst aanzienlijk zal evolueren.
Overeenkomstig de arresten van het Hof van Justitie 7 dient het recht op toegang het doel dat erin bestaat de bescherming te garanderen van het recht op persoonlijke levenssfeer van de betrokkene in verband met de verwerking van zijn persoonsgegevens 8 en kan het de uitoefening van hun rechten die voortvloeien uit, bijvoorbeeld de artikelen 16 tot en met 19, de artikelen 21 en 22 en artikel 82 AVG, faciliteren. De uitoefening van het recht op toegang is echter een individueel recht en niet afhankelijk van de uitoefening van die andere rechten, en de uitoefening van de andere rechten is niet afhankelijk van de uitoefening van het recht op toegang.
Aangezien het recht van inzage een breed doel heeft, is een analyse van dat doel door de verwerkingsverantwoordelijke als onderdeel van zijn beoordeling van verzoeken om inzage geen passende voorwaarde bij de uitoefening van het recht van inzage. Verwerkingsverantwoordelijken moeten dus niet beoordelen 'waarom' de betrokkene om inzage vraagt, maar alleen 'wat' de betrokkene vraagt (zie afdeling 3 over de analyse van het verzoek) en of ze beschikken over persoonsgegevens met betrekking tot die persoon (zie afdeling 4). Daarom mag de verwerkingsverantwoordelijke bijvoorbeeld geen inzage weigeren op grond van of het vermoeden dat de betrokkene de gevraagde gegevens zou kunnen gebruiken om zich in rechte te verdedigen in geval van ontslag of een commercieel geschil met de verwerkingsverantwoordelijke 9 . Zie afdeling 6 voor meer informatie over de grenzen en beperkingen van het recht van inzage.

Voorbeeld 1 : Een werkgever heeft iemand ontslagen. Een week later besluit de persoon bewijs te verzamelen om een rechtszaak wegens oneerlijk ontslag aan te spannen tegen de voormalige werkgever. Met dat in gedachten schrijft de betrokkene de voormalige werkgever aan met het verzoek

6 Overweging 63 van de AVG.

7 Hof van Justitie, C-434/16, Nowak, en gevoegde zaken C-141/12 en C-372/12, YS e.a.

8 Hof van Justitie, C-434/16, Nowak, punt 56.

9 Vragen over dit onderwerp komen aan de orde in een zaak die momenteel aanhangig is bij het Hof van Justitie (C-307/22).

om inzage te krijgen in alle persoonsgegevens die betrekking hebben op hem of haar, als betrokkene, en die de voormalige werkgever, als verwerkingsverantwoordelijke, verwerkt.

De verwerkingsverantwoordelijke beoordeelt de bedoeling van de betrokkene niet en de betrokkene hoeft de verwerkingsverantwoordelijke niet te informeren over de reden van het verzoek. Als het verzoek aan alle andere vereisten voldoet (zie afdeling 3), moet de verwerkingsverantwoordelijke dan ook aan het verzoek voldoen, tenzij het verzoek kennelijk ongegrond of buitensporig is in de zin van artikel 12, lid 5, AVG (zie afdeling 6.3), wat de verwerkingsverantwoordelijke moet aantonen.

Variant : De betrokkene oefent het recht van inzage uit met betrekking tot de persoonsgegevens die op hem of haar betrekking hebben in het kader van de rechtszaak. De nationale wetgeving van de lidstaat die de arbeidsrelatie tussen de verwerkingsverantwoordelijke en de betrokkene regelt, bevat echter enkele bepalingen die de reikwijdte beperken van informatie die moet worden verstrekt aan of uitgewisseld tussen partijen in lopende of toekomstige gerechtelijke procedures, die van toepassing zijn op de door de betrokkene aangespannen rechtszaak over onredelijk ontslag. In deze context en op voorwaarde dat deze nationale bepalingen voldoen aan de vereisten van artikel 23 AVG 10 , heeft de betrokkene niet het recht om meer informatie van de verwerkingsverantwoordelijke te ontvangen dan wordt voorgeschreven door de nationale wettelijke bepalingen van de lidstaat die de informatieuitwisseling tussen partijen bij juridische geschillen regelen.

Hoewel het doel van het recht van inzage breed is, heeft het Hof van Justitie ook de grenzen van de reikwijdte van het gegevensbeschermingsrecht en het recht van inzage geïllustreerd. Het Hof van Justitie oordeelde bijvoorbeeld dat het doel van het door de EU-wetgeving inzake gegevensbescherming gewaarborgde recht van inzage moet worden onderscheiden van dat van het recht op toegang tot overheidsdocumenten dat is vastgelegd in de EU- en nationale wetgeving, waarbij het laatstgenoemde recht tot doel heeft 'de transparantie van het besluitvormingsproces van overheidsorganen te verzekeren en goede administratieve praktijken te bevorderen' 11 , een doel dat niet wordt beoogd met de wetgeving inzake gegevensbescherming. Het Hof van Justitie concludeerde dat het recht van inzage van persoonsgegevens van toepassing is ongeacht of er een ander soort recht van inzage met een ander doel geldt, zoals in het kader van een onderzoeksprocedure.

2.2 Structuur van artikel 15 AVG

Om te kunnen antwoorden op een verzoek om inzage en ervoor te zorgen dat geen van de aspecten ervan buiten beschouwing wordt gelaten, is het noodzakelijk om eerst de structuur van artikel 15 en de elementen van het in dit artikel vastgelegde recht van inzage te begrijpen.
Artikel 15 kan worden onderverdeeld in acht verschillende elementen die in de onderstaande tabel worden opgesomd:

1.	De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens	Artikel 15, lid 1, eerste helft van de zin
2	Inzage van de persoonsgegevens van de verzoeker	Artikel 15, lid 1, tweede helft van de zin (eerste deel)

11 Hof van Justitie, gevoegde zaken C-141/12 en C-372/12, YS e.a., punt 47.

3.	Inzage van de volgende informatie over de verwerking:	Artikel 15, lid 1, tweede helft van de zin (tweede deel)
4	Informatie over waarborgen overeenkomstig artikel 46 wanneer de persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie	Artikel 15, lid 2
5	De verplichting van de verwerkingsverantwoordelijkeom de betrokkene een kopie te verstrekken van de persoonsgegevens die worden verwerkt	Artikel 15, lid 3, eerste zin
6	Het aanrekenen van een redelijke vergoeding door de verwerkingsverantwoordelijke op basis van de administratieve kosten indien de betrokkeneom bijkomende kopieën verzoekt	Artikel 15, lid 3, tweede zin
7	Verstrekken van informatie in elektronische vorm	Artikel 15, lid 3, derde zin
8	Rekening houden met de rechten en vrijheden van anderen	Artikel 15, lid 4

Terwijl alle elementen van artikel 15, leden 1 en 2, samen de inhoud van het recht van inzage bepalen, behandelt artikel 15, lid 3, de regelingen voor de inzage, naast de algemene vereisten van artikel 12 AVG. Artikel 15, lid 4, vult de grenzen en beperkingen aan die in artikel 12, lid 5, AVG zijn voorzien voor alle rechten van betrokkenen met een specifieke focus op rechten en vrijheden van anderen in de context van inzage.

2.2.1 De inhoud van het recht van inzage bepalen

Artikel 15, leden 1 en 2, bevatten de volgende drie aspecten: ten eerste, uitsluitsel over het al dan niet verwerken van persoonsgegevens van de verzoeker, zo ja, ten tweede, inzage van deze gegevens, en ten derde, informatie over de verwerking. Ze kunnen worden beschouwd als drie verschillende bestanddelen die samen het recht van inzage vormen.

2.2.1.1 Uitsluitsel over het al dan niet verwerken van persoonsgegevens

Bij een verzoek om inzage van persoonsgegevens moeten de betrokkenen allereerst weten of de verwerkingsverantwoordelijke al dan niet gegevens over hen verwerkt. Bijgevolg vormt deze informatie het eerste bestanddeel van het recht van inzage krachtens artikel 15, lid 1. Als de verwerkingsverantwoordelijke geen persoonsgegevens verwerkt met betrekking tot de betrokkene die om inzage verzoekt, is de te verstrekken informatie beperkt tot de bevestiging dat er geen persoonsgegevens met betrekking tot de betrokkene worden verwerkt. Wanneer de verwerkingsverantwoordelijke gegevens over de verzoeker verwerkt, moet de verwerkingsverantwoordelijke dit aan hem bevestigen. Deze bevestiging kan afzonderlijk worden meegedeeld of kan deel uitmaken van de informatie over de persoonsgegevens die worden verwerkt (zie hieronder).

2.2.1.2 Inzage van de persoonsgegevens die worden verwerkt

Inzage van persoonsgegevens is het tweede bestanddeel van het recht van inzage krachtens artikel 15, lid 1, en vormt de kern van dit recht. Het hangt samen met het begrip persoonsgegevens zoals gedefinieerd in artikel 4, punt 1, AVG. Naast basispersoonsgegevens zoals naam en adres, kan een onbeperkte verscheidenheid aan gegevens binnen deze definitie vallen, op voorwaarde dat ze binnen het materiële toepassingsgebied van de AVG vallen, met name met betrekking tot de manier waarop ze worden verwerkt (artikel 2 AVG). Inzage van persoonsgegevens betekent hierbij inzage van de feitelijke persoonsgegevens zelf, niet alleen een algemene beschrijving van de gegevens of een loutere verwijzing naar de categorieën persoonsgegevens die door de verwerkingsverantwoordelijke worden verwerkt. Als er geen grenzen en beperkingen van toepassing zijn 12 , hebben de betrokkenen recht van inzage van alle verwerkte gegevens die op hen betrekking hebben of tot delen van de gegevens, afhankelijk van de reikwijdte van het verzoek (zie afdeling 2.3.1). De verplichting om inzage te verlenen in de gegevens hangt niet af van het type of de bron van die gegevens. Deze verplichting is in zijn volle omvang van toepassing, zelfs wanneer de verzoeker de gegevens aanvankelijk aan de verwerkingsverantwoordelijke had verstrekt, omdat het doel ervan is de betrokkene te informeren over de feitelijke verwerking van die gegevens door de verwerkingsverantwoordelijke. De reikwijdte van persoonsgegevens uit hoofde van artikel 15 wordt in detail uitgelegd in afdelingen 4.1 en 4.2.

2.2.1.3 Informatie over de verwerking en over de rechten van betrokkenen

Het derde bestanddeel van het recht van inzage is de informatie over de verwerking en over de rechten van de betrokkenen die de verwerkingsverantwoordelijke moet verstrekken op grond van artikel 15, lid 1, punten a) tot en met h), en artikel 15, lid 2. Dergelijke informatie kan worden gebaseerd op tekst uit bijvoorbeeld de privacyverklaring van de verwerkingsverantwoordelijke 13 of uit diens register van de verwerkingsactiviteiten als bedoeld in artikel 30 AVG, maar moet mogelijk worden bijgewerkt en aangepast aan het verzoek van de betrokkene. De inhoud en mate van detail van de informatie wordt verder uitgewerkt in afdeling 4.3.

12 Zie afdeling 6 van deze richtsnoeren.

2.2.2 Bepalingen inzake regelingen

Artikel 15, lid 3, vult de regels inzake de reactie op verzoeken om inzage in artikel 12 AVG aan met enkele specificaties met betrekking tot dergelijke verzoeken.

2.2.2.1 Een kopie verstrekken

Op grond van de eerste zin van artikel 15, lid 3, AVG verstrekt de verwerkingsverantwoordelijke een gratis kopie van de persoonsgegevens waarop de verwerking betrekking heeft. De kopie verwijst daarom alleen naar het tweede bestanddeel van het recht van inzage ('inzage van de verwerkte persoonsgegevens', zie hierboven). De verwerkingsverantwoordelijke moet ervoor zorgen dat de eerste kopie gratis is, zelfs als hij van mening is dat de reproductiekosten hoog zijn (zoals de kosten voor het verstrekken van een kopie van de opname van een telefoongesprek).
De verplichting om een kopie te verstrekken moet niet worden gezien als een aanvullend recht van de betrokkene, maar als een manier om inzage te verlenen in de gegevens. Dit versterkt het recht van inzage van de gegevens 14 en helpt bij de interpretatie van dit recht, omdat het duidelijk maakt dat de inzage van de gegevens op grond van artikel 15, lid 1, inhoudt dat volledige informatie moet worden verstrekt over alle gegevens en dat de verstrekking van slechts een samenvatting van de gegevens niet volstaat. Tegelijkertijd is de verplichting om een kopie te verstrekken niet bedoeld om de reikwijdte van het recht van inzage uit te breiden: de verplichting betreft (enkel) een kopie van de persoonsgegevens die worden verwerkt, en niet noodzakelijkerwijs een reproductie van de originele documenten (zie afdeling 5, punt 152). Meer in het algemeen hoeft de betrokkene bij het verstrekken van een kopie geen aanvullende informatie te krijgen: de reikwijdte van de informatie die in de kopie moet worden opgenomen, is de reikwijdte van de inzage van de gegevens krachtens artikel 15, lid 1 (tweede bestanddeel van het recht van inzage zoals hierboven bedoeld, zie punt 19), die alle informatie omvat die de betrokkene nodig heeft om de rechtmatigheid van de verwerking te begrijpen en te controleren 15 .
In het licht van het bovenstaande wordt, indien inzage van de gegevens in de zin van artikel 15, lid 1, wordt verleend door het verstrekken van een kopie, voldaan aan de verplichting om een kopie te verstrekken als bedoeld in artikel 15, lid 3. De verplichting om een kopie te verstrekken, dient de doelstellingen van het recht van inzage zodat de betrokkene zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren (overweging 63). Om deze doelstellingen te verwezenlijken, zal de betrokkene in de meeste gevallen niet slechts tijdelijk inzage moeten krijgen in de gegevens. Daarom moet de betrokkene inzage krijgen in de informatie door een kopie van de persoonsgegevens te ontvangen.
In het licht van het bovenstaande moet het begrip 'kopie' ruim worden geïnterpreteerd en omvat het de verschillende soorten inzage van persoonsgegevens, zolang deze volledig is (d.w.z. alle gevraagde persoonsgegevens omvat) en de betrokkene deze kan bewaren. De eis om een kopie te verstrekken betekent dus dat de informatie over de persoonsgegevens van de verzoeker, op zodanige wijze aan de betrokkene wordt verstrekt dat deze alle informatie kan bewaren en kan raadplegen.
Ondanks deze brede opvatting van een kopie en het feit dat een kopie de belangrijkste wijze is om inzage te verlenen, kunnen onder sommige omstandigheden andere regelingen geschikt zijn. Verdere

15 Vragen met betrekking tot het onderwerp van dit lid zijn aan de orde in een zaak die momenteel aanhangig is bij het Hof (C-487/21).

uitleg over kopieën en andere manieren om inzage te verlenen wordt gegeven in afdeling 5, in het bijzonder 5.2.2 tot en met 5.2.5.

2.2.2.2 Bijkomende kopieën verstrekken

Artikel 15, lid 3, tweede zin, heeft betrekking op situaties waarin de betrokkene de verwerkingsverantwoordelijke om meer dan één kopie verzoekt, bijvoorbeeld wanneer de eerste kopie is kwijtgeraakt of beschadigd of wanneer de betrokkene een kopie aan een andere persoon of een toezichthoudende autoriteit wil geven. Op grond van het feit dat de verwerkingsverantwoordelijke op verzoek van de betrokkene bijkomende kopieën moet verstrekken, is in artikel 15, lid 3, bepaald dat de verwerkingsverantwoordelijke een redelijke vergoeding op basis van de administratieve kosten kan aanrekenen voor elke gevraagde bijkomende kopie (artikel 15, lid 3, tweede zin).
Als de betrokkene om een extra kopie vraagt nadat het eerste verzoek is gedaan, kan de vraag rijzen of dit als een nieuw verzoek moet worden beschouwd, of dat de betrokkene een extra kopie van de gegevens wil in de zin van artikel 15, lid 3, tweede zin, in welk geval een vergoeding voor een extra kopie kan worden aangerekend. Het antwoord op deze vragen hangt uitsluitend af van de inhoud van het verzoek: het verzoek moet worden geïnterpreteerd als een verzoek om een extra kopie indien het, in termen van tijd en reikwijdte, dezelfde verwerking van persoonsgegevens betreft als het eerste verzoek. Als de betrokkene echter informatie wil krijgen over de gegevens die op een ander tijdstip worden verwerkt of die betrekking hebben op een andere reeks gegevens dan de oorspronkelijk gevraagde, is het recht op een gratis kopie uit hoofde van artikel 15, lid 3, opnieuw van toepassing. Dit geldt ook in gevallen waarin de betrokkene kort tevoren een eerste verzoek heeft ingediend. Een betrokkene kan zijn recht van inzage uitoefenen door middel van een volgend verzoek en een gratis kopie verkrijgen, tenzij het verzoek als buitensporig wordt beschouwd in de zin van artikel 12, lid 5, met de mogelijkheid een redelijke vergoeding aan te rekenen overeenkomstig artikel 12, lid 5, punt a) (over het buitensporige karakter van herhaalde verzoeken, zie afdeling 6).

Voorbeeld 2: Een klant dient een verzoek om inzage in bij een handelsonderneming. Een jaar na het antwoord van de onderneming doet dezelfde klant een verzoek om inzage op grond van artikel 15 bij dezelfde onderneming. Ongeacht of er sinds het vorige verzoek nieuwe zakelijke transacties of andere contacten tussen de partijen hebben plaatsgevonden, moet dit tweede verzoek als een nieuw verzoek worden beschouwd. Zelfs als de gegevensverwerking door de onderneming niet is gewijzigd - wat niet noodzakelijkerwijs duidelijk is voor de betrokkene - heeft de betrokkene het recht op een gratis kopie van de gegevens.

Variant 1 : Zelfs als de klant in de bovengenoemde gevallen het nieuwe verzoek bijvoorbeeld pas een week na het eerste verzoek doet, kan dit worden beschouwd als een nieuw verzoek op grond van artikel 15, lid 1 en lid 3, eerste zin, indien het niet moet worden beschouwd als een loutere herinnering aan het eerste verzoek. Gelet op de korte tussenpoos en afhankelijk van de specifieke omstandigheden van het nieuwe verzoek, kan het verzoek buitensporig zijn overeenkomstig artikel 12, lid 5 (zie afdeling 6).

Variant 2 : Het verzoek om een 'nieuwe kopie' van de informatie die al in de vorm van een kopie is verstrekt in antwoord op een eerder verzoek, bijvoorbeeld indien de klant de eerder ontvangen kopie is kwijtgeraakt, moet vanzelfsprekend worden beschouwd als een verzoek om een extra kopie, aangezien het qua reikwijdte en tijdstip van de verwerking verwijst naar het eerdere verzoek.

Als de betrokkene een eerste verzoek om inzage herhaalt met als reden dat het ontvangen antwoord niet volledig was of dat er geen redenen waren gegeven voor de weigering, mag dit verzoek niet als

een nieuw verzoek worden beschouwd, aangezien het slechts een herinnering is aan een eerste nietingewilligd verzoek.

Met betrekking tot de toewijzing van kosten in geval van verzoeken om een extra kopie is in artikel 15, lid 3, bepaald dat de verwerkingsverantwoordelijke een redelijke vergoeding mag aanrekenen in het licht van de administratieve kosten die door het verzoek worden veroorzaakt. Dit betekent dat de administratieve kosten een relevant criterium zijn voor het vaststellen van de hoogte van de vergoeding. Tegelijkertijd moet de vergoeding passend zijn, rekening houdend met het belang van het recht van inzage als een grondrecht van de betrokkene. De verwerkingsverantwoordelijke mag geen overheadkosten of andere algemene kosten doorberekenen aan de betrokkene, maar moet uitgaan van de specifieke kosten die het verstrekken van de extra kopie met zich meebrengt. Bij de afhandeling hiervan moet de verwerkingsverantwoordelijke zijn personele en materiële middelen efficiënt inzetten om de kosten van de kopie laag te houden, ook als de verwerkingsverantwoordelijke externe ondersteuning inschakelt.
Indien de verwerkingsverantwoordelijke besluit een vergoeding aan te rekenen, moet hij vooraf aangeven dat een vergoeding zal worden aangerekend en - zo nauwkeurig mogelijk - het bedrag van de kosten opgeven dat hij aan de betrokkene wil aanrekenen, zodat de betrokkene kan bepalen of hij het verzoek handhaaft of intrekt.

2.2.2.3 De informatie beschikbaar maken in een gangbare elektronische vorm

Wanneer een verzoek elektronisch wordt ingediend, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt (zie artikel 12, lid 3, AVG). Artikel 15, lid 3, derde zin, vult deze eis in de context van verzoeken om inzage aan door te stellen dat de verwerkingsverantwoordelijke bovendien verplicht is het antwoord in een gangbare elektronische vorm te verstrekken, tenzij de betrokkene anderszins verzoekt. Artikel 15, lid 3, veronderstelt dat het voor verwerkingsverantwoordelijken die elektronische verzoeken kunnen ontvangen, mogelijk is het antwoord op het verzoek in een gangbare elektronische vorm te verstrekken (zie voor nadere bijzonderheden afdeling 5.2.5). Deze bepaling verwijst naar alle informatie die moet worden verstrekt in overeenstemming met artikel 15, leden 1 en 2. Daarom moet, als de betrokkene het verzoek om inzage langs elektronische weg indient, alle informatie worden verstrekt in een gangbare elektronische vorm. Vragen over het formaat worden verder uitgewerkt in afdeling 5. De verwerkingsverantwoordelijke moet, zoals altijd, passende beveiligingsmaatregelen treffen, met name wanneer hij te maken heeft met bijzondere categorieën persoonsgegevens (zie afdeling 2.3.4).

2.2.3 Mogelijke beperking van het recht van inzage

Ten slotte bevat artikel 15, lid 4, een specifieke beperking in de context van het recht van inzage, namelijk dat rekening moet worden gehouden met mogelijke negatieve gevolgen voor de rechten en vrijheden van anderen. Vragen met betrekking tot de reikwijdte en de gevolgen van deze beperking, evenals met betrekking tot aanvullende grenzen en beperkingen zoals uiteengezet in artikel 12, lid 5, AVG of uit hoofde van artikel 23 AVG worden uitgelegd in afdeling 6.

2.3 Algemene beginselen van het recht van inzage

Wanneer betrokkenen een verzoek om inzage van hun gegevens indienen, moet in principe de informatie waarnaar wordt verwezen in artikel 15 AVG altijd volledig worden verstrekt. Wanneer de verwerkingsverantwoordelijke gegevens over de betrokkene verwerkt, verstrekt de verwerkingsverantwoordelijke bijgevolg alle in artikel 15, lid 1, bedoelde informatie en, indien van toepassing, de in artikel 15, lid 2, bedoelde informatie. De verwerkingsverantwoordelijke moet

passende maatregelen nemen om ervoor te zorgen dat de informatie volledig, juist en bijgewerkt is en zo nauw mogelijk aansluit bij de stand van de gegevensverwerking op het moment van ontvangst van het verzoek 16 . Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk gegevens verwerken, heeft de regeling van de gezamenlijke verwerkingsverantwoordelijken met betrekking tot hun respectieve verantwoordelijkheden ten aanzien van de uitoefening van de rechten van de betrokkene, met name wat betreft de beantwoording van verzoeken om inzage, geen invloed op de rechten van de betrokkene ten aanzien van de verwerkingsverantwoordelijke tot wie hij zijn verzoek richt 17 .

2.3.1 Volledigheid van de informatie

Betrokkenen hebben het recht om, met inachtneming van de hieronder genoemde uitzonderingen, volledige openbaarmaking te verkrijgen van alle hen betreffende gegevens (zie afdeling 4.2 voor meer informatie over de reikwijdte). Tenzij de betrokkene uitdrukkelijk anders verzoekt, wordt een verzoek tot uitoefening van het recht van inzage in algemene termen opgevat en omvat het alle persoonsgegevens betreffende de betrokkene 18 . In de volgende gevallen kan worden overwogen om de inzage tot een deel van de informatie te beperken:

a) De betrokkene heeft het verzoek expliciet beperkt tot een subreeks. Om te voorkomen dat onvolledige informatie wordt verstrekt, kan de verwerkingsverantwoordelijke deze beperking van het verzoek van de betrokkene alleen in overweging nemen als hij er zeker van kan zijn dat deze interpretatie overeenkomt met de wens van de betrokkene (zie voor meer informatie afdeling 3.1.1, punt 51). In principe hoeft de betrokkene het verzoek om toezending van alle gegevens waarop hij recht heeft, niet te herhalen.
b) Wanneer de verwerkingsverantwoordelijke een grote hoeveelheid gegevens over de betrokkene verwerkt, kan de verwerkingsverantwoordelijke twijfelen of een verzoek om inzage, dat in zeer algemene bewoordingen is gesteld, werkelijk tot doel heeft informatie te ontvangen over alle soorten gegevens die worden verwerkt, of gedetailleerde informatie over alle activiteitengebieden van de verwerkingsverantwoordelijke. Dit kan zich met name voordoen wanneer het niet mogelijk was de betrokkene instrumenten te bieden om zijn verzoek vooraf te specificeren of wanneer de betrokkene hier geen gebruik van heeft gemaakt. De verwerkingsverantwoordelijke wordt dan geconfronteerd met de vraag hoe hij een volledig antwoord kan geven en tegelijkertijd kan voorkomen dat de betrokkene wordt overspoeld met informatie waarin hij niet geïnteresseerd is en die hij niet effectief kan verwerken. Dit probleem kan mogelijk worden opgelost, afhankelijk van de omstandigheden en de technische mogelijkheden, bijvoorbeeld door selfservicetools aan te bieden in onlinecontexten (zie afdeling 5 over de gelaagde aanpak). Als dergelijke oplossingen niet voorhanden zijn, kan een verwerkingsverantwoordelijke die een grote hoeveelheid informatie over de betrokkene verwerkt, de betrokkene verzoeken om de informatie of verwerking waarop het verzoek betrekking heeft te specificeren voordat de informatie wordt verstrekt (zie overweging 63 AVG). Voorbeelden hiervan zijn een bedrijf met verschillende werkterreinen of een overheidsinstantie met verschillende administratieve eenheden, als de verwerkingsverantwoordelijke heeft vastgesteld dat er in die eenheden veel gegevens over de betrokkene worden verwerkt. Daarnaast kan een grote hoeveelheid

17 Richtsnoeren 07/2020 van de EDPB over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG, punt 162. Verwerkers moeten de verwerkingsverantwoordelijke bijstand verlenen, Richtsnoeren 07/2020 van de EDPB, punt 129.

gegevens worden verwerkt door verwerkingsverantwoordelijken die gegevens verzamelen over frequente activiteiten van de betrokkene gedurende een langere periode.

Voorbeeld 3: Een overheidsinstantie verwerkt gegevens over de betrokkene in een aantal verschillende afdelingen met betrekking tot verschillende contexten. Dossierbeheer en het bijhouden van bestanden gebeurt gedeeltelijk op niet-geautomatiseerde wijze en de meeste gegevens worden alleen op papier opgeslagen. Op basis van de algemene formulering van het verzoek betwijfelt de overheidsinstantie of de betrokkene zich bewust is van de omvang van het verzoek, met name de verscheidenheid aan verwerkingen die het zou omvatten, de hoeveelheid informatie en het aantal pagina's dat de betrokkene zou ontvangen.

Voorbeeld 4: Een grote verzekeringsmaatschappij ontvangt schriftelijk een algemeen verzoek om inzage van een langjarige klant. Hoewel de wissingstermijnen volledig in acht worden genomen, verwerkt de maatschappij een grote hoeveelheid gegevens over de klant, omdat de verwerking nog steeds nodig is om te voldoen aan contractuele verplichtingen die voortvloeien uit de contractuele relatie met de klant (zoals doorlopende verplichtingen, communicatie over verschillen van inzicht met de klant en met derden enz.) of om te voldoen aan wettelijke verplichtingen (gearchiveerde gegevens die moeten worden opgeslagen voor belastingdoeleinden enz.). De verzekeringsmaatschappij kan betwijfelen of het verzoek, dat in zeer algemene bewoordingen is gedaan, echt gericht is op al die gegevens. Dit kan vooral problematisch zijn als de verzekeringsmaatschappij alleen een postadres van de betrokkene heeft en daarom alle informatie op papier moet versturen. Dezelfde twijfels kunnen echter ook rijzen wanneer de informatie op een andere manier wordt verstrekt.

Als de verwerkingsverantwoordelijke in dergelijke gevallen besluit om de betrokkene te vragen het verzoek te specificeren, zal hij, om te voldoen aan zijn verplichting om de uitoefening van het recht van inzage te faciliteren (artikel 12, lid 2, AVG), tegelijkertijd nuttige informatie geven over zijn verwerkingsactiviteiten die de betrokkene zouden kunnen betreffen, door informatie te verstrekken over relevante onderdelen van zijn activiteiten, databanken enz.

Voorbeeld 5: Bij een algemeen geformuleerd verzoek om inzage is het in een arbeidsrelatie niet noodzakelijkerwijs duidelijk dat de werknemer alle inloggegevens, gegevens over toegang tot een werkplek, gegevens over afrekeningen in de kantine, gegevens over salarisbetalingen enz. wil ontvangen. Een verzoek van de werkgever om specificatie zou bijvoorbeeld duidelijk kunnen maken dat de werknemer wil weten of controleren aan wie zijn prestatiebeoordeling is doorgegeven. Zonder verzoek om specificatie zou de werknemer een grote hoeveelheid informatie ontvangen, terwijl hij bij de meeste gegevens geen belang heeft. Tegelijkertijd zou de werkgever informatie moeten geven over de verschillende contexten van verwerking die de werknemer zouden kunnen betreffen, zodat de werknemer het verzoek op een zinvolle manier kan specificeren.

Het is belangrijk om te onderstrepen dat het verzoek om specificatie niet tot doel mag hebben het antwoord op het verzoek om inzage te beperken en niet mag worden gebruikt om informatie over de gegevens of de verwerking met betrekking tot de betrokkene te verbergen. Als de betrokkene, die is gevraagd om de reikwijdte van zijn verzoek te specificeren, bevestigt dat hij alle hem betreffende persoonsgegevens opvraagt, moet de verwerkingsverantwoordelijke deze uiteraard volledig verstrekken.

In elk geval moet de verwerkingsverantwoordelijke altijd kunnen aantonen dat het verzoek wordt behandeld met een zo breed mogelijke uitoefening van het recht van inzage voor ogen en dat dit in overeenstemming is met zijn verplichting om de uitoefening van de rechten van de betrokkenen te faciliteren (artikel 12, lid 2, AVG). Met inachtneming van deze beginselen mag de

verwerkingsverantwoordelijke het antwoord van de betrokkene afwachten alvorens aanvullende gegevens te verstrekken overeenkomstig de wens van de betrokkene, indien de verwerkingsverantwoordelijke de betrokkene een duidelijk overzicht heeft gegeven van alle verwerkingen die de betrokkene zouden kunnen betreffen, waaronder met name verwerkingen die de betrokkene mogelijk niet had verwacht, indien de verwerkingsverantwoordelijke ook inzage heeft gegeven in alle gegevens waar de betrokkene duidelijk om had gevraagd, en indien deze informatie bovendien is gecombineerd met duidelijke aanwijzingen over hoe inzage kan worden verkregen in de resterende delen van de verwerkte gegevens.

c) Er gelden uitzonderingen of beperkingen op het recht van inzage (zie afdeling 6). In dergelijke gevallen moet de verwerkingsverantwoordelijke zorgvuldig controleren op welke delen van de informatie de uitzondering betrekking heeft en alle informatie verstrekken die niet door de uitzondering wordt uitgesloten. Zo valt de bevestiging van de verwerking van persoonsgegevens zelf (bestanddeel 1) mogelijk niet onder de uitzondering. Bijgevolg moet informatie worden verstrekt over alle persoonsgegevens en alle informatie bedoeld in artikel 15, leden 1 en 2, die niet onder de uitzondering of de beperking vallen.

2.3.2 Juistheid van de informatie

De informatie in de kopie van de persoonsgegevens die aan de betrokkene is verstrekt, moet de feitelijke informatie of persoonsgegevens bevatten die over de betrokkene worden bewaard. Dit omvat de verplichting om informatie te verstrekken over gegevens die onjuist zijn of over gegevensverwerking die niet of niet langer rechtmatig is. De betrokkene kan het recht van inzage bijvoorbeeld gebruiken om de bron te achterhalen van onjuiste gegevens die tussen verschillende verwerkingsverantwoordelijken worden verspreid. Als de verwerkingsverantwoordelijke onjuiste gegevens corrigeert voordat hij de betrokkene hierover informeert, wordt de betrokkene deze mogelijkheid ontnomen. Hetzelfde geldt in geval van onrechtmatige verwerking. De mogelijkheid om kennis te nemen van onrechtmatige verwerking met betrekking tot de betrokkene is een van de hoofddoelen van het recht van inzage. De verplichting om te informeren over de ongewijzigde staat van de verwerking doet geen afbreuk aan de verplichting van de verwerkingsverantwoordelijke om een einde te maken aan onrechtmatige verwerking of om onjuiste gegevens te corrigeren. Vragen over de volgorde waarin aan deze verplichtingen moet worden voldaan, worden hieronder beantwoord.

2.3.3 Tijdreferentiepunt van de beoordeling

De beoordeling van de gegevens die worden verwerkt, moet zo nauw mogelijk aansluiten bij de situatie op het moment waarop de verwerkingsverantwoordelijke het verzoek ontvangt en het antwoord moet betrekking hebben op alle gegevens die op dat moment beschikbaar zijn. Dit betekent dat de verwerkingsverantwoordelijke moet proberen om alle gegevensverwerkingsactiviteiten met betrekking tot de betrokkene onverwijld te achterhalen. Verwerkingsverantwoordelijken hoeven dus geen persoonsgegevens te verstrekken die zij in het verleden hebben verwerkt, maar waarover zij niet langer beschikken 19 . De verwerkingsverantwoordelijke kan bijvoorbeeld persoonsgegevens hebben gewist in overeenstemming met zijn gegevensbewaringsbeleid en/of wettelijke bepalingen en daardoor niet langer in staat zijn om de gevraagde persoonsgegevens te verstrekken. In dit verband

moet eraan worden herinnerd dat de periode gedurende welke de gegevens worden opgeslagen, moet worden vastgesteld in overeenstemming met artikel 5, lid 1, punt e), van de AVG, aangezien het bewaren van gegevens objectief gerechtvaardigd moet zijn.

Tegelijkertijd treft de verwerkingsverantwoordelijke vooraf de nodige maatregelen om de uitoefening van het recht van inzage te faciliteren en om dergelijke verzoeken zo snel mogelijk te behandelen (zie artikel 12, lid 3) en voordat de gegevens moeten worden verwijderd. Daarom moeten in het geval van korte bewaartermijnen de maatregelen die worden genomen om het verzoek te beantwoorden, worden aangepast aan de passende bewaartermijn om de uitoefening van het recht van inzage te faciliteren en te voorkomen dat het permanent onmogelijk is om inzage te verlenen in de gegevens die worden verwerkt op het moment van het verzoek 20 . In sommige gevallen is het echter niet mogelijk om een verzoek te beantwoorden vóór het tijdstip waarop de gegevens volgens de planning moeten worden gewist. Als een verwerkingsverantwoordelijke bijvoorbeeld in het kader van een zo spoedig mogelijke beantwoording van een verzoek persoonsgegevens opvraagt die de volgende dag gewist hadden moeten worden, kan de verwerkingsverantwoordelijke wat extra tijd nodig hebben om te overwegen of er bewerkingen moeten worden aangebracht om de vrijheden van anderen te beschermen, voordat hij een kopie van de persoonsgegevens aan de verzoeker vrijgeeft. Als de gegevens binnen de geplande bewaartermijn zijn opgevraagd, mag de verwerkingsverantwoordelijke deze gegevens blijven verwerken om te voldoen aan zijn verplichting om het verzoek te beantwoorden. De verwerking kan in dergelijke gevallen gebaseerd zijn op artikel 6, lid 1, punt c) in combinatie met artikel 15 AVG en de duur ervan moet voldoen aan de vereisten van artikel 12, lid 3, AVG 21 . De toepassing van deze rechtsgrondslag is beperkt tot de verwerking van de gegevens waarvan is vastgesteld dat ze noodzakelijk zijn voor het beantwoorden van het concrete verzoek en mag niet worden gebruikt als rechtvaardiging voor algemene verlengingen van de bewaartermijnen.
Bovendien mag de verwerkingsverantwoordelijke zich niet opzettelijk onttrekken aan de verplichting om de gevraagde persoonsgegevens te verstrekken door persoonsgegevens te wissen of te wijzigen in antwoord op een verzoek om inzage (zie afdeling 2.3.2). Als de verwerkingsverantwoordelijke tijdens de verwerking van het verzoek om inzage onjuiste gegevens of onrechtmatige verwerking ontdekt, moet de verwerkingsverantwoordelijke de staat van de verwerking beoordelen en de betrokkene hierover informeren voordat hij zijn andere verplichtingen nakomt. In zijn eigen belang, om te voorkomen dat hierover verder moet worden gecommuniceerd en om te voldoen aan het transparantiebeginsel, moet de verwerkingsverantwoordelijke informatie toevoegen over de daaropvolgende rectificaties of verwijderingen.

Voorbeeld 6 : Bij het beantwoorden van een verzoek om inzage realiseert een verwerkingsverantwoordelijke zich dat een sollicitatie van de betrokkene naar een vacature in het bedrijf van de verwerkingsverantwoordelijke langer is bewaard dan de bewaartermijn. In dit geval mag de verwerkingsverantwoordelijke de gegevens niet eerst wissen en vervolgens de betrokkene antwoorden dat er geen gegevens (over de sollicitatie) worden verwerkt. Hij moet eerst inzage geven

20 Er kan bijvoorbeeld worden overwogen om een selfservicetool te implementeren waarmee de betrokkene gemakkelijk toegang krijgt tot de gevraagde persoonsgegevens, en een meldingssysteem waarmee de verwerkingsverantwoordelijke wordt gewaarschuwd over een verzoek dat betrekking heeft op persoonsgegevens met een korte bewaartermijn, zodat er sneller actie kan worden ondernomen.

21 Dit laat latere verwerking van gegevens voor bewijsdoeleinden in verband met de behandeling van het verzoek om inzage gedurende een passende periode, onverlet.

en daarna de gegevens verwijderen. Om een daaropvolgend verzoek om verwijdering te voorkomen, is het raadzaam om informatie over het feit en het tijdstip van de verwijdering toe te voegen.

Om aan het transparantiebeginsel te voldoen, moeten verwerkingsverantwoordelijken de betrokkene informeren over het specifieke tijdstip van de verwerking waarop de reactie van de verwerkingsverantwoordelijke betrekking heeft. In sommige gevallen, bijvoorbeeld in contexten van frequente communicatieactiviteiten, kunnen aanvullende verwerkingen of wijzigingen van de gegevens plaatsvinden tussen dit referentietijdstip, waarop de verwerking werd beoordeeld, en de reactie van de verwerkingsverantwoordelijke. Als de verwerkingsverantwoordelijke op de hoogte is van dergelijke wijzigingen, wordt aanbevolen om informatie over deze wijzigingen op te nemen, evenals informatie over de aanvullende verwerking die nodig is om aan het verzoek te voldoen.

2.3.4 Voldoen aan vereisten voor gegevensbeveiliging

Aangezien het communiceren en beschikbaar stellen van persoonsgegevens aan de betrokkene een verwerking is, is de verwerkingsverantwoordelijke altijd verplicht om passende technische en organisatorische maatregelen te treffen om een op het risico van de verwerking afgestemd beveiligingsniveau te waarborgen (zie artikel 5, lid 1, punt f) en de artikelen 24 en 32 AVG). Dit geldt ongeacht de regeling aan de hand waarvan inzage wordt verleend. In geval van niet-elektronische overdracht van de gegevens aan de betrokkene kan de verwerkingsverantwoordelijke, afhankelijk van de risico's die de verwerking met zich meebrengt, overwegen om gebruik te maken van aangetekende post of om de betrokkene aan te bieden, maar niet te verplichten, om het bestand tegen ondertekening rechtstreeks af te halen bij een van de vestigingen van de verwerkingsverantwoordelijke. Indien, in overeenstemming met artikel 12, leden 1 en 3, informatie langs elektronische weg wordt verstrekt, kiest de verwerkingsverantwoordelijke elektronische middelen die voldoen aan de vereisten voor gegevensbeveiliging. Ook indien een kopie van de gegevens wordt verstrekt in een gangbare elektronische vorm (zie artikel 15, lid 3), moet de verwerkingsverantwoordelijke bij de keuze van de wijze waarop het elektronische bestand aan de betrokkene wordt verstrekt, rekening houden met de gegevensbeveiligingseisen. Dit kan het toepassen van versleuteling, wachtwoordbeveiliging enz. omvatten. Om de inzage van de versleutelde gegevens te vergemakkelijken, moet de verwerkingsverantwoordelijke er ook voor zorgen dat passende informatie beschikbaar wordt gesteld zodat de betrokkene inzage kan krijgen in de ontsleutelde informatie. Indien end-to-end versleuteling van e-mails noodzakelijk is uit hoofde van de vereisten voor gegevensbeveiliging, maar de verwerkingsverantwoordelijke alleen een normale e-mail zou kunnen versturen, zal de verwerkingsverantwoordelijke andere middelen moeten gebruiken, zoals het versturen van een USB-stick per (aangetekende) briefpost naar de betrokkene.

3 ALGEMENE OVERWEGINGEN BIJ DE BEOORDELING VAN VERZOEKEN OM INZAGE

3.1 Inleiding

Wanneer de verwerkingsverantwoordelijke verzoeken om inzage van persoonsgegevens ontvangt, moet hij elk verzoek afzonderlijk beoordelen. De verwerkingsverantwoordelijke houdt onder meer rekening met de volgende zaken, die in de volgende punten verder worden uitgewerkt: of het verzoek betrekking heeft op persoonsgegevens van de verzoeker en wie de verzoeker is. Deze afdeling is bedoeld om te verduidelijken met welke elementen van het verzoek om inzage de verwerkingsverantwoordelijke rekening moet houden bij zijn beoordeling en om mogelijke scenario's

voor een dergelijke beoordeling en de gevolgen ervan te bespreken. Bij de beoordeling van een verzoek om inzage van persoonsgegevens houdt de verwerkingsverantwoordelijke ook rekening met de verplichting van artikel 12, lid 2, AVG om de uitoefening van de rechten van de betrokkene te faciliteren, zonder daarbij de passende beveiliging van de persoonsgegevens uit het oog te verliezen 22 .

Daarom moeten de verwerkingsverantwoordelijken proactief klaarstaan om verzoeken om inzage tot persoonsgegevens te behandelen. Dit betekent dat de verwerkingsverantwoordelijke voorbereid moet zijn om het verzoek te ontvangen, het naar behoren te beoordelen (deze beoordeling is het onderwerp van deze afdeling van de richtsnoeren) en de verzoeker onverwijld een passend antwoord te geven. Verwerkingsverantwoordelijken moeten zich op adequate en evenredige wijze voorbereiden op de behandeling van verzoeken om inzage, rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking, evenals met de risico's voor de rechten en vrijheden van natuurlijke personen, in overeenstemming met artikel 24 AVG. Afhankelijk van de bijzondere omstandigheden kunnen de verwerkingsverantwoordelijken bijvoorbeeld worden verplicht om een passende procedure te volgen, die de beveiliging van de gegevens moet waarborgen zonder de uitoefening van de rechten van de betrokkene te belemmeren.

3.1.1 Analyse van de inhoud van het verzoek

Deze kwestie kan specifieker worden beoordeeld door de volgende vragen te stellen.

a) Heeft het verzoek betrekking op persoonsgegevens?

Volgens de AVG mag het verzoek alleen betrekking hebben op persoonsgegevens 23 . Een verzoek om informatie over andere onderwerpen, waaronder algemene informatie over de verwerkingsverantwoordelijke, zijn bedrijfsmodellen of zijn verwerkingsactiviteiten die geen verband houden met persoonsgegevens, mag daarom niet worden beschouwd als een verzoek op grond van artikel 15 AVG. Bovendien valt een verzoek om informatie over anonieme gegevens of gegevens die geen betrekking hebben op de verzoeker of de persoon namens wie de gemachtigde het verzoek heeft ingediend, niet onder het recht van inzage. Deze vraag wordt meer in detail geanalyseerd in afdeling 4.
In tegenstelling tot anonieme gegevens (die geen persoonsgegevens zijn), zijn gepseudonimiseerde gegevens, die met behulp van aanvullende informatie aan een natuurlijke persoon kunnen worden gekoppeld, wel persoonsgegevens 24 . Gepseudonimiseerde gegevens die aan een betrokkene kunnen worden gekoppeld - bijvoorbeeld wanneer de betrokkene de desbetreffende identificator verstrekt waarmee hij kan worden geïdentificeerd, of wanneer de verwerkingsverantwoordelijke de gegevens

met zijn eigen middelen aan de verzoeker kan koppelen - moeten dus worden beschouwd als vallende onder het toepassingsgebied van het verzoek 25 .

b) Heeft het verzoek betrekking op de verzoeker (of de persoon namens wie de gemachtigde persoon het verzoek indient)?

Als algemene regel geldt dat een verzoek alleen betrekking mag hebben op de gegevens van de persoon die het verzoek indient. Inzage van andermans gegevens kan alleen worden aangevraagd met de juiste toestemming 26 .

Voorbeeld 7: Betrokkene X werkt als afdelingsmanager voor een bedrijf dat parkeerplaatsen ter beschikking stelt voor zijn managers op een bedrijfsparkeerterrein. Hoewel betrokkene X een vaste parkeerplaats heeft, is deze vaak al bezet door een andere auto wanneer de betrokkene op kantoor aankomt om te werken in de tweede ploeg. Omdat deze situatie zich herhaaldelijk voordoet, vraagt de betrokkene de beheerder van het videobewakingssysteem op het parkeerterrein van het kantoor om inzage in de persoonsgegevens van deze bestuurder, teneinde degene te identificeren die zonder toestemming zijn parkeerplaats bezet. In een dergelijk geval is het verzoek van betrokkene X geen verzoek om inzage van zijn persoonsgegevens, aangezien het verzoek geen betrekking heeft op de gegevens van de verzoeker, maar op die van een andere persoon - en daarom moet het niet worden beschouwd als een verzoek op grond van artikel 15 AVG .

c) Zijn er andere bepalingen dan de AVG van toepassing die de inzage in een bepaalde categorie gegevens regelen?

Betrokkenen hoeven de rechtsgrondslag niet te specificeren in hun verzoek. Als de betrokkenen echter verduidelijken dat hun verzoek is gebaseerd op sectorale wetgeving of op nationale wetgeving die de specifieke kwestie van inzage in bepaalde categorieën van gegevens regelt, en niet op de AVG, behandelt de verwerkingsverantwoordelijke een dergelijk verzoek overeenkomstig die sectorale of nationale regels, indien van toepassing. Afhankelijk van de relevante nationale wetgeving moeten de verwerkingsverantwoordelijken vaak afzonderlijke antwoorden geven, die elk betrekking hebben op de specifieke vereisten van de verschillende wetgevingshandelingen. Dit moet niet worden verward met nationale of EU-wetgeving die beperkingen stelt aan het recht van inzage waaraan moet worden voldaan bij het beantwoorden van verzoeken om inzage.
Als de verwerkingsverantwoordelijke twijfelt over welk recht de betrokkene wil uitoefenen, wordt aanbevolen om de betrokkene die het verzoek indient te vragen het onderwerp van het verzoek toe te lichten. Dergelijke correspondentie met de betrokkene laat de plicht van de verwerkingsverantwoordelijke om onverwijld te handelen, onverlet 27 . In geval van twijfel moet de verwerkingsverantwoordelijke, als hij de betrokkene om nadere uitleg vraagt en geen antwoord ontvangt en gelet op zijn verplichting om de uitoefening van het recht van inzage van de betrokkene te faciliteren, evenwel de informatie in het eerste verzoek interpreteren en op basis daarvan handelen. In overeenstemming met het verantwoordingsbeginsel kan de verwerkingsverantwoordelijke een passende termijn vaststellen waarbinnen de betrokkene verdere uitleg kan geven. Bij het vaststellen van een dergelijke termijn moet de verwerkingsverantwoordelijke voldoende tijd laten om aan het

verzoek te voldoen nadat het is afgehandeld en daarom nagaan hoeveel tijd objectief gezien nodig is om de gevraagde gegevens te verzamelen en te verstrekken nadat de specificatie (al dan niet) door de betrokkene is verstrekt.

Als het verzoek binnen het toepassingsgebied van de AVG valt, heeft het bestaan van dergelijke specifieke wetgeving geen invloed op de algemene toepassing van het recht van inzage, zoals bepaald door de AVG. Er kunnen beperkingen zijn op grond van EU- of nationale wetgeving, indien toegestaan door artikel 23 AVG (zie afdeling 6.4).

d) Valt het verzoek binnen de reikwijdte van artikel 15?

De AVG voert geen formele vereisten in voor personen die om inzage van gegevens vragen. Om het verzoek om inzage in te dienen, hoeft de verzoeker enkel aan te geven dat hij wil weten welke persoonsgegevens de verwerkingsverantwoordelijke over hem verwerkt. Daarom kan de verwerkingsverantwoordelijke niet weigeren om de gegevens te verstrekken door aan te geven dat de rechtsgrondslag van het verzoek niet is opgegeven, en met name dat niet specifiek is verwezen naar het recht van inzage of naar de AVG.

Om een verzoek in te dienen, volstaat het bijvoorbeeld als de verzoeker aangeeft dat:

 hij inzage wil krijgen in de hem betreffende persoonsgegevens;
 hij zijn recht van inzage uitoefent; of
 hij wil weten welke informatie de verwerkingsverantwoordelijke over hem verwerkt.

Verzoekers zijn overigens mogelijk niet bekend met de fijne kneepjes van de AVG en het is raadzaam coulant om te gaan met personen, met name minderjarigen, die hun recht van inzage uitoefenen. Zoals hierboven aangegeven, is het bij twijfel raadzaam dat de verwerkingsverantwoordelijke de betrokkene die het verzoek indient vraagt het onderwerp van het verzoek te specificeren.

e) Willen de betrokkenen inzage van alle gegevens die over hen wordt verwerkt, of in delen daarvan?

Daarnaast moet de verwerkingsverantwoordelijke beoordelen of de verzoeken van de verzoekers betrekking hebben op alle informatie die over hen wordt verwerkt, of op delen daarvan. De reikwijdte van een verzoek van betrokkenen mag alleen tot een specifieke bepaling van artikel 15 AVG worden beperkt wanneer het verzoek daar duidelijk en ondubbelzinnig over is. Als de betrokkenen bijvoorbeeld letterlijk 'informatie over de gegevens die met betrekking tot hen worden verwerkt' opvragen, moet de verwerkingsverantwoordelijke ervan uitgaan dat de betrokkenen hun recht op grond van artikel 15, leden 1 en 2, AVG volledig wensen uit te oefenen. Een dergelijk verzoek mag niet worden geïnterpreteerd in de zin dat de betrokkenen alleen de categorieën persoonsgegevens willen ontvangen die worden verwerkt en afstand willen doen van hun recht om de in artikel 15, lid 1, punten a) tot en met h), genoemde informatie te ontvangen. Dit zou bijvoorbeeld anders zijn wanneer de betrokkenen toegang willen hebben tot de bron of oorsprong van de door hen gespecificeerde persoonsgegevens of willen worden geïnformeerd over de gespecificeerde opslagperiode. In dat geval kan de verwerkingsverantwoordelijke zijn antwoord beperken tot de gevraagde specifieke informatie.

3.1.2 Vorm van het verzoek

Zoals eerder opgemerkt, stelt de AVG geen eisen aan betrokkenen met betrekking tot de vorm van het verzoek om inzage in de persoonsgegevens. Daarom zijn er in principe geen vereisten uit hoofde van

de AVG die de betrokkenen in acht moeten nemen bij het kiezen van een communicatiekanaal om in contact te komen met de verwerkingsverantwoordelijke.

De EDPB moedigt verwerkingsverantwoordelijken aan om de meest geschikte en gebruiksvriendelijke communicatiekanalen aan te bieden, in overeenstemming met artikel 12, lid 2 en artikel 25 AVG, om de betrokkene in staat te stellen een effectief verzoek in te dienen. Als een betrokkene echter een verzoek indient via een communicatiekanaal dat door de verwerkingsverantwoordelijke wordt aangeboden 28 en dat afwijkt van het kanaal dat als het te prefereren kanaal is aangegeven, wordt een dergelijk verzoek over het algemeen als geldig beschouwd en moet de verwerkingsverantwoordelijke een dergelijk verzoek dienovereenkomstig behandelen (zie de onderstaande voorbeelden). De verwerkingsverantwoordelijken moeten alle redelijke inspanningen leveren om de uitoefening van de rechten van de betrokkene te faciliteren (wanneer een betrokkene bijvoorbeeld een verzoek om inzage stuurt naar een werknemer die met verlof is, kan een redelijke inspanning bestaan in een automatisch bericht waarin de betrokkene wordt geïnformeerd over een alternatief kanaal om het verzoek in te dienen).
De verwerkingsverantwoordelijke is overigens niet verplicht om in te gaan op een verzoek dat is verzonden naar een willekeurig of onjuist e-mailadres (of postadres) dat niet rechtstreeks door de verwerkingsverantwoordelijke is opgegeven, of naar een communicatiekanaal dat duidelijk niet is bedoeld voor de ontvangst van verzoeken met betrekking tot de rechten van de betrokkene, indien de verwerkingsverantwoordelijke een passend communicatiekanaal heeft aangeboden dat door de betrokkene kan worden gebruikt.
De verwerkingsverantwoordelijke is ook niet verplicht om in te gaan op een verzoek dat is gestuurd naar het e-mailadres van een medewerker van de verwerkingsverantwoordelijke die niet betrokken is bij de verwerking van verzoeken betreffende de rechten van betrokkenen (bv. chauffeurs, schoonmaakpersoneel enz.). Dergelijke verzoeken worden als ongeldig beschouwd als de verwerkingsverantwoordelijke de betrokkene duidelijk een passend communicatiekanaal heeft geboden. Als de betrokkene echter een verzoek stuurt naar een medewerker van de verwerkingsverantwoordelijke die aan hem is toegewezen als vaste contactpersoon (zoals een persoonlijke accountmanager bij een bank of een vaste adviseur bij een aanbieder van mobiele telefonie), mag een dergelijk contact niet als willekeurig worden beschouwd en moet de verwerkingsverantwoordelijke alle redelijke inspanningen leveren om een dergelijk verzoek te behandelen, zodat het kan worden doorgestuurd naar het contactpunt en kan worden beantwoord binnen de door de AVG bepaalde termijnen.
Desalniettemin beveelt de EDPB als goede praktijk aan dat verwerkingsverantwoordelijken passende mechanismen invoeren om de uitoefening van de rechten van betrokkenen te vergemakkelijken, met inbegrip van automatische respons om betrokkenen op de hoogte te stellen van de afwezigheid van personeel en van een passend alternatief contact en, waar mogelijk, mechanismen invoeren ter verbetering van de interne communicatie tussen werknemers over verzoeken die zijn ontvangen door personen die mogelijk niet bevoegd zijn om dergelijke verzoeken te behandelen.

28 Het kan bijvoorbeeld gaan om communicatiegegevens van de verwerkingsverantwoordelijke die worden verstrekt in rechtstreeks aan betrokkenen gerichte mededelingen of om contactgegevens die door de verwerkingsverantwoordelijke openbaar worden gemaakt, zoals in zijn privacybeleid of andere verplichte wettelijke mededelingen van de verwerkingsverantwoordelijke (bv. contactgegevens van de eigenaar of het bedrijf op een website).

Voorbeeld 8 : Verwerkingsverantwoordelijke C geeft zowel op zijn website als in de privacyverklaring twee e-mailadressen - zijn algemene e-mailadres: CONTACT@C.COM en het e-mailadres van zijn contactpunt voor gegevensbescherming. QUERIES@C.COM. Bovendien geeft verwerkingsverantwoordelijke C op zijn website aan dat personen voor vragen of verzoeken met betrekking tot de verwerking van persoonsgegevens contact moeten opnemen met het contactpunt voor gegevensbescherming via het opgegeven e-mailadres. De betrokkene stuurt echter een verzoek naar het algemene e-mailadres van de verwerkingsverantwoordelijke. CONTACT@C.COM.

In een dergelijk geval moet de verwerkingsverantwoordelijke alle redelijke inspanningen verrichten om zijn diensten op de hoogte te stellen van het verzoek dat via de algemene e-mail is gedaan, zodat het kan worden doorgestuurd naar het contactpunt voor gegevensbescherming en kan worden beantwoord binnen de door de AVG voorgeschreven termijnen. Bovendien heeft de verwerkingsverantwoordelijke niet het recht om de termijn voor het beantwoorden van een verzoek te verlengen alleen omdat de betrokkene een verzoek naar zijn algemene e-mailadres heeft gestuurd en niet naar het e-mailadres van zijn contactpunt voor gegevensbescherming.

Voorbeeld 9 : Verwerkingsverantwoordelijke Y runt een netwerk van fitnessclubs. Verwerkingsverantwoordelijke Y geeft op zijn website en in de privacyverklaring voor klanten van de fitnessclub aan dat personen voor vragen of verzoeken met betrekking tot de verwerking van persoonsgegevens contact met hem moeten opnemen via het e-mailadres: QUERIES@Y.COM. Desondanks stuurt de betrokkene een verzoek naar een e-mailadres dat te vinden is in de kleedkamer, waar hij een bericht vindt met de tekst: 'Als u niet tevreden bent over de netheid van de zaal, neem dan contact met ons op via: SCHOONMAKERS@Y.COM', wat het e-mailadres is van het schoonmaakpersoneel dat in dienst is bij Y. Het schoonmaakpersoneel is uiteraard niet betrokken bij de behandeling van zaken die betrekking hebben op de uitoefening van de rechten van betrokkenenklanten van de fitnessclub. Hoewel het e-mailadres beschikbaar was in de gebouwen van de fitnessclub, kon de betrokkene redelijkerwijs niet verwachten dat dit een geschikt contactadres was voor dergelijke verzoeken, aangezien de website en de privacyverklaring duidelijk informeerden over het communicatiekanaal dat de betrokkene moest gebruiken om zijn rechten uit te oefenen.

Op de datum van ontvangst van het verzoek door de verwerkingsverantwoordelijke start in de regel de termijn van één maand waarbinnen de verwerkingsverantwoordelijke informatie moet verstrekken over het gevolg dat aan een verzoek is gegeven, in overeenstemming met artikel 12, lid 3, AVG (meer informatie over het tijdschema is te vinden in afdeling 5.3). De EDPB beschouwt het als een goede praktijk dat de verwerkingsverantwoordelijken de ontvangst van verzoeken schriftelijk bevestigen, bijvoorbeeld door e-mails (of informatie per post, indien van toepassing) naar de verzoekende personen te sturen waarin wordt bevestigd dat hun verzoeken zijn ontvangen en dat de periode van één maand loopt van dag X tot dag Y.

3.2 Identificatie en authenticatie

Om de veiligheid van de verwerking te waarborgen en het risico van ongeoorloofde openbaarmaking van persoonsgegevens te minimaliseren, moet de verwerkingsverantwoordelijke kunnen achterhalen welke gegevens betrekking hebben op de betrokkene (identificatie) en de identiteit van die persoon kunnen bevestigen (authenticatie).
Wanneer het met het oog op het doel waarvoor de persoonsgegevens worden verwerkt, niet of niet langer nodig is een betrokkene te identificeren, hoeft de verwerkingsverantwoordelijke overigens geen identificatie bij te houden met als enige doel te voldoen aan de rechten van de betrokkenen, ook

in het licht van het beginsel van gegevensminimalisering. Deze situaties worden behandeld in artikel 11, lid 1, AVG.

In artikel 12, lid 2, AVG is bepaald dat de verwerkingsverantwoordelijke niet mag weigeren gevolg te geven aan het verzoek van de betrokkene om diens rechten uit te oefenen, tenzij de verwerkingsverantwoordelijke persoonsgegevens verwerkt voor een doel waarvoor geen identificatie van de betrokkene nodig is en aantoont dat hij niet in staat is om de betrokkene te identificeren. In dergelijke omstandigheden kan de betrokkene echter besluiten om aanvullende gegevens te verstrekken die het mogelijk maken hem te identificeren (artikel 11, lid 2, AVG) 29 .
De verwerkingsverantwoordelijke is niet verplicht om dergelijke aanvullende informatie te verkrijgen om de betrokkene te identificeren met als enig doel om aan het verzoek van de betrokkene te voldoen, ook in het licht van het beginsel van gegevensminimalisering. Hij mag evenwel niet weigeren dergelijke door de betrokkene tot staving van de uitoefening van zijn rechten verstrekte aanvullende gegevens aan te nemen (overweging 57 AVG).

Voorbeeld 10 : C is de verwerkingsverantwoordelijke van de gegevens die worden verwerkt in verband met de videobewaking van een gebouw. In overeenstemming met artikel 11, lid 1, AVG is de verwerkingsverantwoordelijke niet verplicht om alle personen te identificeren die door een beveiligingscamera zijn geregistreerd in het kader van het toezicht (een doel waarvoor geen identificatie vereist is). De verwerkingsverantwoordelijke ontvangt een verzoek om inzage van de persoonsgegevens van de persoon die beweert te zijn opgenomen door de camera's van de verwerkingsverantwoordelijke. De acties van de verwerkingsverantwoordelijke hangen af van de aanvullende informatie die wordt verstrekt. Als de aanvrager een bepaalde dag en tijd aangeeft waarop de camera's de gebeurtenis in kwestie hebben opgenomen, is het waarschijnlijk dat de verwerkingsverantwoordelijke dergelijke gegevens kan verstrekken (artikel 11, lid 2, AVG). Als de verwerkingsverantwoordelijke echter niet in staat is de betrokkene te identificeren (bv. als het hij er niet zeker van kan zijn dat een verzoeker daadwerkelijk de betrokkene is of als het verzoek bijvoorbeeld betrekking heeft op een lange periode van opnamen en hij niet in staat is een dergelijk grote hoeveelheid gegevens te verwerken), kan de verwerkingsverantwoordelijke weigeren actie te ondernemen als hij aantoont dat hij niet in staat is om de betrokkene te identificeren (artikel 12, lid 2, AVG).

Voorbeeld 11: Verwerkingsverantwoordelijke C verwerkt persoonsgegevens met als doel gedragsgericht te adverteren naar zijn webgebruikers. Persoonsgegevens die worden verzameld voor gedragsgerichte reclame, worden meestal verzameld door middel van cookies en gekoppeld aan pseudonieme willekeurige identificatoren. Een betrokkene, de heer X, oefent zijn recht van inzage bij C uit via de website van C. C kan heer X nauwkeurig identificeren teneinde de gedragsgerichte reclame van de betrokkene weer te geven, door de eindapparatuur van de heer X te koppelen aan zijn reclameprofiel met de cookies die in de eindapparatuur zijn geplaatst. C moet dan ook in staat zijn om de heer X nauwkeurig te identificeren om hem inzage te verlenen van zijn persoonsgegevens, aangezien er een verband kan worden gelegd tussen de verwerkte gegevens en de betrokkene. Daarom, en rekening houdend met de principes van de AVG, zou het bovenstaande voorbeeld niet vallen binnen het toepassingsgebied van artikel 11 AVG. Meer bepaald vereisen de doeleinden van C

in het bovenstaande voorbeeld dat de betrokkenen worden geïdentificeerd, terwijl artikel 11 AVG betrekking heeft op verwerkingen waarbij identificatie niet vereist is, waarbij een verwerkingsverantwoordelijke niet verplicht is om aanvullende gegevens te verwerken in de zin van artikel 11, lid 1, AVG met als enige doel te kunnen voldoen aan de AVG. Bijgevolg hoeven in sommige gevallen geen aanvullende gegevens te worden opgevraagd om de rechten van de betrokkene uit te oefenen.

Als de heer X zijn recht van inzage echter probeert uit te oefenen via e-mail of gewone post, dan moet C de heer X wel vragen om 'aanvullende informatie' (artikel 12, lid 6, AVG) te verstrekken om het reclameprofiel dat aan de heer X is gekoppeld, te kunnen identificeren. In dit geval is de aanvullende informatie de cookie-identificator die is opgeslagen in de eindapparatuur van de heer X.

Indien het aantoonbaar onmogelijk is om de betrokkene te identificeren (artikel 11 AVG), moet de verwerkingsverantwoordelijke de betrokkene daar indien mogelijk van op de hoogte stellen, aangezien de verwerkingsverantwoordelijke onverwijld moet reageren op verzoeken van de betrokkene en redenen moet opgeven indien hij niet van plan is aan dergelijke verzoeken te voldoen. Deze informatie moet alleen worden verstrekt 'indien mogelijk', aangezien de verwerkingsverantwoordelijke mogelijk niet in staat is de betrokkenen te informeren als zij niet kunnen worden geïdentificeerd.
Zowel wanneer voor de verwerking geen identificatie vereist is als wanneer dat wel het geval is, kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient, om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene (artikel 12, lid 6, AVG).
De AVG stelt geen eisen aan de authenticatie van de betrokkene. De artikelen 11 en 12 AVG geven echter de voorwaarden aan voor de uitoefening van alle rechten van de betrokkene, waaronder het recht van inzage van persoonsgegevens.
De verwerkingsverantwoordelijke kan overigens in de regel niet meer persoonsgegevens opvragen dan nodig is om deze authenticatie mogelijk te maken, en het gebruik van dergelijke informatie moet strikt beperkt blijven tot het voldoen aan het verzoek van de betrokkenen .
Er bestaan vaak al authenticatieprocedures tussen de betrokkenen en de verwerkingsverantwoordelijken. De verwerkingsverantwoordelijken kunnen deze authenticatieprocedures gebruiken om de identiteit vast te stellen van de betrokkenen die hun persoonsgegevens opvragen of de bij de AVG verleende rechten uitoefenen 30 . Anders moeten verwerkingsverantwoordelijken daartoe een authenticatieprocedure volgen 31 .
Indien de verwerkingsverantwoordelijke aanvullende informatie vraagt of krijgt van de betrokkene die nodig is om de identiteit van de betrokkene te bevestigen, beoordeelt de verwerkingsverantwoordelijke telkens met welke informatie hij die identiteit kan bevestigen en stelt hij eventueel aanvullende vragen aan de verzoeker of verzoekt hij de betrokkene enkele aanvullende identificatiegegevens te verstrekken, indien dat evenredig is (zie afdeling 3.3).
Om de betrokkene in staat te stellen de aanvullende informatie te verstrekken die nodig is om zijn gegevens te identificeren, moet de verwerkingsverantwoordelijke de betrokkene informeren over de aard van de aanvullende informatie die nodig is om identificatie mogelijk te maken. Dergelijke

aanvullende informatie mag niet meer behelzen dan de informatie die aanvankelijk nodig was voor de authenticatie van de betrokkene. In het algemeen mag het feit dat de verwerkingsverantwoordelijke aanvullende informatie kan vragen om de identiteit van de betrokkene te beoordelen, niet leiden tot buitensporige eisen en tot het verzamelen van persoonsgegevens die niet relevant of noodzakelijk zijn om het verband tussen de persoon en de gevraagde persoonsgegevens te versterken 32 .

Wanneer online verzamelde informatie gekoppeld is aan pseudoniemen of andere unieke identificatoren, kan de verwerkingsverantwoordelijke passende procedures instellen waarmee de verzoeker een verzoek om inzage van gegevens kan indienen en de hem betreffende gegevens kan ontvangen 33 .

Voorbeeld 12: De betrokkene, mevrouw X, verzoekt in een gesprek met een helpdeskmedewerker van een elektriciteitsbedrijf waarmee zij een contract heeft gesloten, om inzage van haar gegevens. De medewerker, die twijfels heeft over de identiteit van de verzoeker, genereert in het systeem van het bedrijf een eenmalige unieke code die naar het mobiele telefoonnummer van de gebruiker wordt gestuurd, dat is opgegeven bij het aanmaken van de account, als onderdeel van het dubbele verificatiesysteem. Deze actie moet in dit geval als evenredig worden beschouwd .

3.3 Evenredigheidsbeoordeling met betrekking tot de authenticatie van de verzoeker

Zoals hierboven aangegeven, kan de verwerkingsverantwoordelijke, als hij redenen heeft om aan de identiteit van de verzoeker te twijfelen, om aanvullende informatie vragen om de identiteit van de betrokkene te bevestigen. De verwerkingsverantwoordelijke moet er echter tegelijkertijd voor zorgen dat hij niet meer persoonsgegevens verzamelt dan nodig is om de authenticatie van de verzoeker mogelijk te maken. Daarom moet de verwerkingsverantwoordelijke een evenredigheidsbeoordeling uitvoeren, waarbij rekening moet worden gehouden met het soort persoonsgegevens dat wordt verwerkt (bv. bijzondere gegevenscategorieën of niet), de aard van het verzoek, de context waarin het verzoek wordt gedaan en eventuele schade die zou kunnen voortvloeien uit ongepaste openbaarmaking. Bij het beoordelen van de evenredigheid mag niet uit het oog worden verloren dat buitensporige gegevensverzameling moet worden vermeden en dat de verwerking tegelijkertijd voldoende moet worden beveiligd.
De verwerkingsverantwoordelijke moet een authenticatieprocedure volgen om zeker te zijn van de identiteit van de personen die om toegang tot hun gegevens vragen 34 , en de beveiliging van de verwerking waarborgen gedurende de gehele behandeling van een verzoek om inzage in overeenstemming met artikel 32 AVG, bijvoorbeeld in de vorm van een beveiligd kanaal waar de betrokkenen aanvullende informatie kunnen verstrekken. De authenticatiemethode moet relevant, passend en evenredig zijn en het beginsel van gegevensminimalisering eerbiedigen. Als de verwerkingsverantwoordelijke maatregelen oplegt die gericht zijn op de authenticatie van de betrokkene en die belastend zijn, moet hij dit afdoende rechtvaardigen en ervoor zorgen dat alle

32 Zie vorige voetnoot, blz. 14.

33 Zie vorige voetnoot, blz. 13-14.

grondbeginselen worden nageleefd, met inbegrip van gegevensminimalisering en de verplichting om de uitoefening van de rechten van betrokkenen te faciliteren (artikel 12, lid 2, AVG).

In een onlinecontext kan het authenticatiemechanisme dezelfde referenties omvatten die de betrokkene gebruikt voor het aanmelden op de door de verwerker van de gegevens aangeboden onlinedienst (overweging 57 AVG) 35 .
In de praktijk bestaan er vaak al authenticatieprocedures en hoeven verwerkingsverantwoordelijken geen extra waarborgen in te voeren om ongeoorloofde toegang tot diensten te voorkomen. Om personen in staat te stellen inzage te krijgen van de gegevens in hun accounts (zoals een e-mailaccount, een socialemediaprofiel of onlinewinkels), zullen de verwerkingsverantwoordelijken waarschijnlijk vragen om in te loggen met de gebruikersnaam en het wachtwoord van de gebruiker, die in dergelijke gevallen voldoende zouden moeten zijn om een betrokkene te authenticeren 36 . Bovendien zijn de betrokkenen vaak al geauthenticeerd door de verwerkingsverantwoordelijke voordat een overeenkomst wordt gesloten of hun toestemming voor de verwerking wordt verkregen, en als gevolg daarvan kunnen de persoonsgegevens die worden gebruikt om de persoon op wie de verwerking betrekking heeft te registreren, ook worden gebruikt als bewijs om de betrokkene te authenticeren voor toegangsdoeleinden 37 . Bijgevolg is het onevenredig om een kopie van een identiteitsdocument te eisen wanneer de betrokkene die een verzoek indient, al door de verwerkingsverantwoordelijke is geauthenticeerd.
Het gebruik van een kopie van een identiteitsdocument in het authenticatieproces vormt een risico voor de beveiliging van persoonsgegevens en kan leiden tot ongeoorloofde of onrechtmatige verwerking, en is als zodanig ongeschikt, tenzij het noodzakelijk en passend is en in overeenstemming met de nationale wetgeving. In dergelijke gevallen moeten de verwerkingsverantwoordelijken over systemen beschikken die een passend beveiligingsniveau garanderen om de hogere risico's voor de rechten en vrijheden van de betrokkene die dergelijke gegevens ontvangt, te beperken. Het is ook belangrijk om op te merken dat authenticatie door middel van een identiteitskaart niet noodzakelijkerwijs helpt in de onlinecontext (bv. bij het gebruik van pseudoniemen) als de betrokken persoon geen ander bewijs kan leveren, bijvoorbeeld verdere kenmerken die overeenkomen met het gebruikersaccount.
Rekening houdend met het feit dat veel organisaties (zoals hotels, banken, autoverhuurders) kopieën van de identiteitskaart van hun klanten vragen, moet dit over het algemeen niet als een geschikte authenticatiemethode worden beschouwd. Als alternatief kan de verwerkingsverantwoordelijke een snelle en effectieve beveiligingsmaatregel implementeren om een betrokkene te identificeren op basis

van de authenticatie die hij eerder heeft uitgevoerd, bijvoorbeeld via e-mail of sms met bevestigingslinks, beveiligingsvragen of bevestigingscodes 38 .

Informatie op de identiteitskaart die niet noodzakelijk is voor het bevestigen van de identiteit van de betrokkene, zoals het toegangsen serienummer, nationaliteit, grootte, oogkleur, foto en machineleesbare zone, afhankelijk van een beoordeling per geval, kan door de betrokkene worden bewerkt of verborgen voordat deze aan de verwerkingsverantwoordelijke wordt voorgelegd, behalve wanneer nationale wetgeving een volledige, niet-bewerkte kopie van de identiteitskaart vereist (zie punt 78). Over het algemeen volstaan de datum van afgifte of de vervaldatum, de afgevende instantie en de volledige naam die overeenkomt met de onlineaccount voor de verwerkingsverantwoordelijke om de identiteit te verifiëren, altijd op voorwaarde dat de authenticiteit van de kopie en het verband met de aanvrager zijn bevestigd. Aanvullende informatie zoals de geboortedatum van de betrokkene kan alleen worden gevraagd als het risico van een verkeerde identiteit blijft bestaan en als de verwerkingsverantwoordelijke deze informatie kan vergelijken met de informatie die hij al verwerkt.
Om het principe van gegevensminimalisering in acht te nemen, moet de verwerkingsverantwoordelijke de betrokkene informeren over de informatie die niet nodig is en over de mogelijkheid om die delen van het identiteitsdocument te bewerken of te verbergen. Als de betrokkene in dat geval niet weet hoe of niet in staat is om dergelijke informatie te bewerken, is het een goede praktijk dat de verwerkingsverantwoordelijke deze informatie bewerkt bij ontvangst van het document, voor zover dat voor hem mogelijk is, rekening houdend met de middelen die hem in de gegeven omstandigheden ter beschikking staan.

Voorbeeld 13: Gebruikster Y heeft een account met wachtwoordbeveiliging aangemaakt in de onlinewinkel en daarbij haar e-mailadres en/of gebruikersnaam opgegeven. Vervolgens vraagt de accounteigenaar aan de verwerkingsverantwoordelijke of deze haar persoonsgegevens verwerkt, en zo ja, vraagt zij toegang tot deze gegevens binnen de reikwijdte zoals aangegeven in artikel 15. De verwerkingsverantwoordelijke vraagt de identiteitskaart van de persoon die het verzoek indient om haar identiteit te bevestigen. De actie van de verwerkingsverantwoordelijke is in dit geval onevenredig en leidt tot onnodige gegevensverzameling.

Om de identiteit van de verzoeker te bevestigen en tegelijkertijd onnodige gegevensverzameling te voorkomen, kan de verwerkingsverantwoordelijke echter eisen dat zij zich authenticeert door in te loggen op het account of haar (niet-indringende) beveiligingsvragen stellen waarop alleen de betrokkene het antwoord kan weten, of multifactorauthenticatie gebruiken die werd geconfigureerd toen de betrokkene haar account registreerde, of andere bestaande communicatiemiddelen gebruiken waarvan bekend is dat ze bij de betrokkene horen, zoals het e-mailadres of een telefoonnummer, om een toegangswachtwoord te sturen.

Voorbeeld 14: Een cliënt van een bank, meneer Y, wil een consumentenkrediet aanvragen. Hiervoor gaat meneer Y naar een bankkantoor om informatie te verkrijgen, waaronder zijn persoonsgegevens, die nodig zijn voor de beoordeling van zijn kredietwaardigheid. Om de identiteit van de betrokkene te

verifiëren, vraagt de adviseur om een notariële verklaring van zijn identiteit om hem de vereiste informatie te kunnen verstrekken.

De verwerkingsverantwoordelijke mag geen notariële bevestiging van de identiteit eisen, tenzij dit noodzakelijk en passend is en in overeenstemming met de nationale wetgeving (bijvoorbeeld wanneer een persoon tijdelijk niet in het bezit is van een identiteitsbewijs en de nationale wetgeving een bewijs van de identiteit van de betrokkene vereist voor de uitvoering van een rechtshandeling). Een dergelijke praktijk stelt de verzoekende personen bloot aan extra kosten en legt een buitensporige last op de betrokkenen, waardoor de uitoefening van hun recht van inzage wordt belemmerd .

Onverminderd de bovenstaande algemene beginselen kan authenticatie op basis van een identiteitskaart onder bepaalde omstandigheden een gerechtvaardigde en evenredige maatregel zijn, met name voor entiteiten die speciale categorieën persoonsgegevens verwerken of gegevens verwerken die een risico voor de betrokkene kunnen inhouden (bv. medische of gezondheidsinformatie). Tegelijkertijd moet echter in gedachten worden gehouden dat sommige nationale bepalingen voorzien in beperkingen op de verwerking van gegevens in openbare documenten, waaronder documenten die de identiteit van een persoon bevestigen (ook op basis van artikel 87 AVG). Beperkingen op de verwerking van gegevens uit deze documenten kunnen met name betrekking hebben op het scannen of fotokopiëren van identiteitskaarten of de verwerking van officiële persoonlijke identificatienummers 39 .
Rekening houdend met het bovenstaande moet de verwerkingsverantwoordelijke, wanneer om een identiteitskaart wordt verzocht (en dit zowel in overeenstemming is met de nationale wetgeving als gerechtvaardigd en evenredig is op grond van de AVG), waarborgen implementeren om onrechtmatige verwerking van de identiteitskaart te voorkomen. Niettegenstaande eventuele toepasselijke nationale bepalingen met betrekking tot identiteitsauthenticatie, kan dit inhouden dat er geen kopie wordt gemaakt of dat een kopie van een identiteitskaart wordt verwijderd zodra de identiteit van de betrokkene is geauthenticeerd. De reden hiervoor is dat het verder opslaan van een kopie van een identiteitskaart waarschijnlijk een inbreuk vormt op de beginselen van doelbinding en opslagbeperking (artikel 5, lid 1, punten b) en e), AVG) en bovendien op de nationale wetgeving met betrekking tot de verwerking van het nationale identificatienummer (artikel 87 AVG). De EDPB beveelt als goede praktijk aan dat de verwerkingsverantwoordelijke na het controleren van de identiteitskaart een notitie maakt, bv. 'identiteitskaart werd gecontroleerd' om onnodig kopiëren of bewaren van kopieën van identiteitskaarten te vermijden.

3.4 Verzoeken via derden/volmachthouders

Hoewel het recht van inzage over het algemeen wordt uitgeoefend door de betrokkenen zelf, is het mogelijk dat een derde partij een verzoek indient namens de betrokkene. Dit kan onder andere het geval zijn wanneer wordt gehandeld via een gevolmachtigde, wanneer wettelijke voogden optreden namens minderjarigen, of wanneer wordt gehandeld via andere entiteiten via onlineportalen. In sommige omstandigheden kan verificatie van de identiteit van de persoon die gemachtigd is om het recht van inzage uit te oefenen en van de machtiging om namens de betrokkene te handelen, vereist

39 Verscheidene lidstaten hebben een dergelijke beperking in hun nationale bepalingen ter zake opgenomen en stellen bijvoorbeeld dat het maken van kopieën van identiteitskaarten alleen geoorloofd is als het rechtstreeks voortvloeit uit de bepalingen van een rechtshandeling.

zijn, wanneer dit passend en evenredig is (zie afdeling 3.3) 40 . Het beschikbaar stellen van persoonsgegevens aan iemand die geen recht van inzage heeft, kan neerkomen op een inbreuk op persoonsgegevens 41 .

Daarbij moet rekening worden gehouden met de nationale wetgeving inzake wettelijke vertegenwoordiging (bv. volmachten), die specifieke vereisten kan opleggen om aan te tonen dat toestemming is verleend om namens de betrokkene een verzoek in te dienen, aangezien de AVG deze kwestie niet regelt. In overeenstemming met het verantwoordingsbeginsel en de andere gegevensbeschermingsbeginselen moeten de verwerkingsverantwoordelijken het bestaan van de relevante machtiging kunnen aantonen om namens de betrokkene een verzoek in te dienen en de gevraagde informatie te ontvangen, behalve als de nationale wetgeving hiervan afwijkt (bv. als de nationale wetgeving specifieke regels bevat met betrekking tot de betrouwbaarheid van advocaten), waardoor de verwerkingsverantwoordelijke de identiteit van de gevolmachtigde moet verifiëren (zo wordt in het geval van advocaten hun inschrijving bij de orde van advocaten gecontroleerd). Daarom wordt aanbevolen om in dit verband passende documentatie te verzamelen, met betrekking tot de eerder vermelde algemene regels inzake de bevestiging van de identiteit van een natuurlijke persoon die een verzoek indient, en als de verwerkingsverantwoordelijke gerede twijfels heeft over de identiteit van een persoon die namens de betrokkene optreedt, vraagt hij om aanvullende informatie om de identiteit van deze persoon te bevestigen.
Hoewel de uitoefening van het recht van inzage in persoonsgegevens van overleden personen nog een voorbeeld is van toegang door een derde partij anders dan de betrokkene, is in overweging 27 gespecificeerd dat de AVG niet van toepassing is op persoonsgegevens van overleden personen. De kwestie wordt daarom geregeld in de nationale wetgeving en de lidstaten kunnen regels vaststellen betreffende de verwerking van persoonsgegevens van overleden personen. Men mag echter niet vergeten dat de gegevens ook betrekking kunnen hebben op levende derden, bijvoorbeeld in het kader van een verzoek om inzage van de correspondentie van een overleden persoon. De vertrouwelijkheid van dergelijke gegevens moet nog steeds worden beschermd.

3.4.1 Uitoefening van het recht van inzage namens kinderen

Kinderen verdienen met betrekking tot hun persoonsgegevens specifieke bescherming, aangezien zij zich wellicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens 42 . Alle informatie en communicatie aan een kind, waarbij persoonsgegevens van een kind worden verwerkt, moet in duidelijke en eenvoudige taal zijn gesteld, zodat het kind deze gemakkelijk kan begrijpen 43 .

41 Artikel 4, punt 12, AVG.

42 Overweging 38 van de AVG. Zoals voorzien in het werkprogramma van de EDPB, is het de bedoeling om richtsnoeren te verstrekken over gegevens met betrekking tot kinderen. Een dergelijk document zal naar verwachting meer houvast bieden over de voorwaarden waaronder een kind zijn eigen recht van inzage kan uitoefenen en waaronder de persoon die de ouderlijke verantwoordelijkheid draagt het recht van inzage namens het kind kan uitoefenen.

43 Overweging 58 van de AVG. Richtsnoeren 05/2020 van de EDPB inzake toestemming overeenkomstig Verordening (EU) 2016/ 679, afdeling 7.

Kinderen zijn zelf betrokkenen en als zodanig heeft het kind recht van inzage. Afhankelijk van de rijpheid en bekwaamheid van het kind, kan het zijn dat het kind een derde nodig heeft om namens hem op te treden, bijvoorbeeld de persoon die de ouderlijke verantwoordelijkheid draagt.
Het belang van het kind moet een leidende overweging zijn bij alle beslissingen die worden genomen met betrekking tot de uitoefening van het recht van inzage in de context van kinderen, in het bijzonder wanneer het recht van inzage wordt uitgeoefend namens het kind, bijvoorbeeld door de persoon die het ouderlijk gezag draagt.
Als gevolg van de speciale bescherming van persoonsgegevens van kinderen in de AVG, moet de verwerkingsverantwoordelijke passende maatregelen nemen om te voorkomen dat persoonsgegevens van een minderjarige worden doorgegeven aan een onbevoegde persoon (zie in dit verband ook afdeling 3.4).
Ten slotte mag het recht van de persoon die de ouderlijke verantwoordelijkheid draagt om namens het kind op te treden, niet worden verward met gevallen, buiten de wetgeving inzake gegevensbescherming, waarin de nationale wetgeving de persoon die de ouderlijke verantwoordelijkheid draagt het recht kan verlenen om informatie over het kind te vragen en te ontvangen (bv. prestaties van het kind op school).

3.4.2 Uitoefening van het recht van inzage via portalen/kanalen die door een derde partij worden aangeboden

Er zijn bedrijven die diensten aanbieden waarmee betrokkenen via een portaal een verzoek om inzage kunnen indienen. De betrokkene meldt zich aan en krijgt toegang tot een portaal waarmee hij bijvoorbeeld een verzoek om toegang, rectificatie of wissing van gegevens kan indienen bij verschillende verwerkingsverantwoordelijken. Het gebruik van portalen die door een derde partij worden aangeboden, roept andere vragen op.
Verwerkingsverantwoordelijken die hiermee te maken krijgen, moeten allereerst controleren of de derde partij rechtmatig handelt namens de betrokkene, aangezien moet worden verzekerd dat er geen gegevens worden verstrekt aan onbevoegden.
Bovendien moet een verwerkingsverantwoordelijke die een verzoek ontvangt via een dergelijk portaal, dat verzoek steevast tijdig afhandelen 44 . De verwerkingsverantwoordelijke is echter niet verplicht om de gegevens uit hoofde van artikel 15 AVG rechtstreeks aan het portaal te verstrekken, als de verwerkingsverantwoordelijke bijvoorbeeld vaststelt dat de beveiligingsmaatregelen ontoereikend zijn of het passend zou worden geacht de gegevens op een andere wijze aan de betrokkene te verstrekken. In dergelijke omstandigheden, wanneer de verwerkingsverantwoordelijke over andere procedures beschikt om verzoeken om inzage op een efficiënte en veilige manier af te handelen, kan de verwerkingsverantwoordelijke de gevraagde informatie via deze procedures verstrekken.

4 REIKWIJDTE VAN HET RECHT VAN INZAGE EN DE PERSOONSGEGEVENS EN INFORMATIE WAAROP HET BETREKKING HEEFT

In deze afdeling wordt ingegaan op de definitie van persoonsgegevens (4.1) en wordt de reikwijdte van de informatie waarop het recht van inzage in het algemeen van toepassing is, verduidelijkt (4.2 en 4.3). De reikwijdte van het begrip persoonsgegevens en dus het onderscheid tussen persoonsgegevens en andere gegevens maakt overigens integraal deel uit van de beoordeling die de verwerkingsverantwoordelijke uitvoert om de reikwijdte te bepalen van de gegevens waarin de betrokkene inzage mag krijgen 45 .
Vooraf moet eraan worden herinnerd dat het recht van inzage alleen kan worden uitgeoefend met betrekking tot de verwerking van persoonsgegevens die binnen het materiële en territoriale toepassingsgebied van de AVG vallen. Daarom vallen persoonsgegevens die niet op geautomatiseerde wijze worden verwerkt of die niet in een bestand zijn opgenomen of niet bestemd zijn om daarin te worden opgenomen als bedoeld in artikel 2, lid 1, AVG of die door een natuurlijke persoon worden verwerkt bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit als bedoeld in artikel 2, lid 2, AVG, niet onder het recht van inzage.

4.1 Definitie van persoonsgegevens

Artikel 15, leden 1 en 3, AVG verwijzen respectievelijk naar 'persoonsgegevens' en 'persoonsgegevens die worden verwerkt'. Daarom wordt de reikwijdte van het recht van inzage in de eerste plaats bepaald door de reikwijdte van het begrip persoonsgegevens, zoals gedefinieerd in artikel 4, punt 1, AVG 46 . Het begrip persoonsgegevens is al in verschillende documenten 47 van de Groep gegevensbescherming artikel 29 48 behandeld en is uitgelegd door het Hof van Justitie, onder meer in de context van het recht van inzage op grond van artikel 12 van Richtlijn 95/46/EG.

46 Overeenkomstig artikel 4, punt 1, AVG, betekent 'persoonsgegevens' alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ('de betrokkene'); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon'.

De Groep gegevensbescherming artikel 29 was van mening dat de definitie van persoonsgegevens in Richtlijn 95/46/EG 'de bedoeling van de Europese wetgever [weerspiegelt] een brede definitie van persoonsgegevens te geven' 49 . Uit hoofde van de AVG verwijst de definitie nog steeds naar 'alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon'. Naast elementaire persoonsgegevens zoals naam en adres, telefoonnummer enz. kan een onbeperkt breed spectrum van gegevens onder deze definitie vallen, waaronder medische bevindingen, aankoopgeschiedenis, kredietwaardigheidsindicatoren, inhoud van communicatie enz. In het licht van de brede reikwijdte van de definitie van persoonsgegevens zou een restrictieve beoordeling van die definitie door de verwerkingsverantwoordelijke leiden tot een onjuiste classificatie van persoonsgegevens 50 en uiteindelijk tot een schending van het recht van inzage.
In de gevoegde zaken C-141/12 en C-372/12 51 oordeelde het Hof dat het recht op toegang betrekking had op persoonsgegevens in de minuut, namelijk 'naam, geboortedatum, nationaliteit, geslacht, etniciteit, religie en taal' van de aanvrager, en 'in voorkomend geval [de gegevens die] in de juridische analyse in die minuut zijn weergegeven', maar niet op de juridische analyse zelf 52 . De juridische analyse kon in deze context op zichzelf niet worden onderworpen aan een controle van de juistheid ervan door de betrokkene, noch aan rectificatie. Bovendien voldoet het verlenen van toegang tot de juridische analyse niet aan het doel van het waarborgen van privacy, maar wel aan het doel van toegang tot administratieve documenten.
In de zaak Nowak 53 maakte het Hof een bredere analyse en oordeelde dat schriftelijke antwoorden van een kandidaat bij een beroepsexamen en eventuele opmerkingen van een examinator met betrekking tot die antwoorden persoonsgegevens van de examenkandidaat vormen. Meer bepaald komt dergelijke subjectieve informatie neer op persoonsgegevens 'onder de vorm van meningen of beoordelingen, op voorwaarde dat deze informatie de betrokkene 'betreft'' 54 , in tegenstelling tot de examenvragen, die niet worden beschouwd als persoonsgegevens 55 . Een contextuele beoordeling moet dus licht werpen op het effect of resultaat dat informatie kan hebben op een persoon en dus op de reikwijdte van het recht van inzage.

Voorbeeld 15: Iemand heeft een sollicitatiegesprek bij een bedrijf. In deze context overhandigt de sollicitant een cv en een sollicitatiebrief. Tijdens het gesprek maakt de hr-medewerker aantekeningen op een computer om het gesprek te documenteren. Daarna verzoekt de sollicitant als betrokkene om toegang tot de hem of haar betreffende persoonsgegevens die het bedrijf als verwerkingsverantwoordelijke heeft verzameld in het kader van de wervingsprocedure.

De verwerkingsverantwoordelijke is verplicht om de persoonsgegevens te verstrekken die de betrokkene actief in zijn cv en sollicitatiebrief heeft opgegeven. Bovendien moet de verwerkingsverantwoordelijke de betrokkene de samenvatting van het gesprek verstrekken, met inbegrip van de subjectieve opmerkingen over het gedrag van de betrokkene die de hr-medewerker tijdens het sollicitatiegesprek heeft genoteerd, met inachtneming van eventuele uitzonderingen op grond van de nationaal recht en in overeenstemming met artikel 23 AVG.

49 Advies 4/2007 van de Groep gegevensbescherming artikel 29 over het begrip persoonsgegeven, blz. 4.

50 als informatie die geen betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon.

52 Hof van Justitie, gevoegde zaken C-141/12 en C-372/12, YS e.a., punten 38 en 48.

54 Hof van Justitie, C-434/16, Nowak, punten 34 en 35.

55 Hof van Justitie, C-434/16, Nowak, punt 58.

Afhankelijk van de specifieke feiten van het geval moeten de verwerkingsverantwoordelijken bij de beoordeling van een specifiek verzoek om inzage onder andere de volgende soorten gegevens verstrekken, onverminderd artikel 15, lid 4, AVG:
-bijzondere categorieën van persoonsgegevens in de zin van artikel 9 AVG;
-persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten in de zin van artikel 10 AVG;
-gegevens die bewust en actief door de betrokkene zijn verstrekt (bv. accountgegevens die zijn ingediend via formulieren, antwoorden op een vragenlijst) 56 ;
-waargenomen gegevens of ruwe gegevens die de betrokkene heeft verstrekt door gebruik te maken van de dienst of het apparaat (bv. gegevens verwerkt door verbonden objecten, transactiegeschiedenis, activiteitenlogboeken zoals toegangslogboeken, geschiedenis van websitegebruik, zoekactiviteiten, locatiegegevens, klikactiviteit, unieke aspecten van het gedrag van een persoon zoals handschrift, toetsaanslagen, een bepaalde wijze van lopen of spreken) 57 ;
-gegevens die zijn afgeleid van andere gegevens en niet rechtstreeks door de betrokkene zijn verstrekt (bv. kredietwaardigheid, classificatie op basis van gemeenschappelijke kenmerken van betrokkenen, land van verblijf afgeleid van postcode) 58 ;
-gegevens die zijn geëxtrapoleerd van andere gegevens en niet rechtstreeks door de betrokkene zijn verstrekt (bv. om een kredietwaardigheid toe te kennen of te voldoen aan regels inzake witwaspraktijken, resultaten op basis van algoritmen, resultaten van een gezondheidsbeoordeling of een personalisatie- of aanbevelingsproces) 59 ;
-gepseudonimiseerde gegevens in tegenstelling tot geanonimiseerde gegevens (zie ook afdeling 3 van deze richtsnoeren).

Voorbeeld 16 : Elementen die zijn gebruikt om een beslissing te nemen over bijvoorbeeld de promotie, loonsverhoging of nieuwe functie van een werknemer (bijvoorbeeld jaarlijkse prestatiebeoordelingen, opleidingsverzoeken, tuchtgegevens, rangschikking, carrièremogelijkheden) zijn persoonsgegevens met betrekking tot die werknemer. Dergelijke elementen zijn dus op verzoek toegankelijk voor de betrokkene, en met inachtneming van artikel 15, lid 4, AVG indien persoonsgegevens bijvoorbeeld ook een andere persoon betreffen (zo kunnen de identiteit of elementen die de identiteit onthullen van een andere werknemer wiens getuigenis over de professionele prestaties is opgenomen in een jaarlijkse prestatiebeoordeling, onderworpen zijn aan beperkingen uit hoofde van artikel 15, lid 4, AVG en is kunnen ze mogelijk niet aan de betrokkene worden meegedeeld om de rechten en vrijheden van de betrokken werknemer te beschermen). Desalniettemin kunnen nationale arbeidsrechtelijke bepalingen van toepassing zijn, bijvoorbeeld met betrekking tot de inzage van werknemers in personeelsdossiers of andere nationale bepalingen, zoals die met betrekking tot het beroepsgeheim. Onder alle omstandigheden moeten dergelijke beperkingen op de uitoefening van het recht van inzage

57 Advies 4/2007 van de Groep gegevensbescherming artikel 29 over het begrip persoonsgegeven, blz. 8.

van de betrokkene (of andere rechten) waarin een nationale wet voorziet, voldoen aan de voorwaarden van artikel 23 AVG (zie afdeling 6.4).

Bij de bovenstaande niet-uitputtende lijst van persoonsgegevens die in het kader van een verzoek om inzage aan de betrokkene kunnen worden verstrekt, kunnen verschillende opmerkingen worden geplaatst. Uit het bovenstaande blijkt dat de verwerkingsverantwoordelijke bij het verlenen van inzage van persoonsgegevens geen onderscheid mag maken tussen gegevens op papier en gegevens die elektronisch zijn opgeslagen, zolang ze binnen het toepassingsgebied van de AVG vallen. Met andere woorden, persoonsgegevens die in papieren dossiers zijn opgenomen als onderdeel van een bestand, of bestemd zijn om daarin te worden opgenomen, vallen op dezelfde manier onder het recht van inzage als persoonsgegevens die zijn opgeslagen in een computergeheugen door middel van bijvoorbeeld binaire code of videoband.
Bovendien omvat het recht van inzage, zoals de meeste rechten van betrokkenen, zowel geëxtrapoleerde als afgeleide gegevens, waaronder persoonsgegevens die door een dienstverlener zijn gecreëerd, terwijl het recht op gegevensoverdraagbaarheid alleen gegevens omvat die door de betrokkene zijn verstrekt 60 . Daarom moet de betrokkene in het geval van een verzoek om inzage, en in tegenstelling tot een verzoek om gegevensoverdraagbaarheid, niet alleen de persoonsgegevens krijgen die aan de verwerkingsverantwoordelijke zijn verstrekt om een latere analyse of beoordeling van deze gegevens te maken, maar ook het resultaat van een dergelijke latere analyse of beoordeling.
Het is ook belangrijk om eraan te herinneren dat bepaalde gegevens, zoals anonieme gegevens 61 , niet direct of indirect betrekking hebben op een identificeerbare persoon, en daarom zijn uitgesloten van het toepassingsgebied van de AVG. De locatie van de server waarop de persoonsgegevens van de betrokkene worden verwerkt, is bijvoorbeeld geen persoonsgegeven. Het onderscheid kan lastig zijn en verwerkingsverantwoordelijken kunnen zich afvragen hoe ze een duidelijke grens kunnen trekken tussen persoonsgegevens en niet-persoonsgebonden gegevens, met name in het geval van gemengde gegevenssets. In dat geval kan het nuttig zijn om een onderscheid te maken tussen gemengde gegevenssets waarin persoonsgegevens en niet-persoonsgebonden gegevens onlosmakelijk met elkaar verbonden zijn en gegevenssets waarin dat niet het geval is. Persoonsgegevens en nietpersoonsgebonden gegevens kunnen onlosmakelijk met elkaar verbonden zijn in gemengde gegevenssets en vallen volledig onder het recht van inzage van de betrokkene op wie de persoonsgegevens betrekking hebben 62 . In andere gevallen is het mogelijk dat persoonsgegevens en niet-persoonsgebonden gegevens in gemengde datasets niet onlosmakelijk met elkaar verbonden zijn, waardoor alleen de persoonsgegevens in de set toegankelijk zijn voor de betrokkene. Zo is het mogelijk dat een bedrijf een betrokkene de individuele IT-incidentrapporten moet verstrekken die het heeft opgesteld, maar niet de kennisdatabank van het bedrijf over IT-problemen. Welke beveiligingsmaatregelen de verwerkingsverantwoordelijke heeft genomen, wordt over het algemeen

echter niet als persoonsgegevens beschouwd, mits deze niet onlosmakelijk verbonden zijn met persoonsgegevens en daarom niet onder het recht van inzage vallen.

Alvorens het hoofdstuk af te sluiten, herinnert de EDPB er in dit verband aan dat de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens alle hierboven opgesomde soorten persoonsgegevens omvat en dat een restrictieve interpretatie van de definitie in strijd is met de bepalingen van de AVG en uiteindelijk in strijd is met artikel 8 van het Handvest van de grondrechten. De toepassing van een afwijkende regeling voor de uitoefening van een recht met betrekking tot bepaalde soorten persoonsgegevens, waarin de AVG niet voorziet, kan uitsluitend bij wet worden ingevoerd, in overeenstemming met artikel 23 AVG (zoals verder uitgelegd in afdeling 6.4). Verwerkingsverantwoordelijken kunnen de uitoefening van het recht van inzage dus niet beperken door de reikwijdte van persoonsgegevens onnodig te beperken.

4.2 De persoonsgegevens waarop het recht van inzage betrekking heeft

Artikel 15, lid 1, luidt: 'De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgend' (nadruk toegevoegd).
Uit lid 1 van artikel 15 AVG komen verschillende elementen naar voren. Het lid verwijst uitdrukkelijk naar 'hem betreffende persoonsgegevens' (4.2.1), en het 'al dan niet verwerken' ervan (4.2.2) door de verwerkingsverantwoordelijke:

4.2.1 'Hem betreffende persoonsgegevens'

Het recht van inzage kan uitsluitend worden uitgeoefend voor persoonsgegevens betreffende de betrokkene die om inzage verzoekt of, indien van toepassing, door een gemachtigde of een gevolmachtigde (zie afdeling 3.4). Er zijn ook situaties waarin gegevens niet gekoppeld zijn aan de persoon die het recht van inzage uitoefent, maar aan een andere persoon. De betrokkene heeft echter alleen recht op persoonsgegevens die op hemzelf betrekking hebben, met uitsluiting van gegevens die uitsluitend iemand anders betreffen 63 .
De classificatie van gegevens als persoonsgegevens betreffende de betrokkene is echter niet afhankelijk van het feit of deze persoonsgegevens ook betrekking hebben op iemand anders 64 . Het is dus mogelijk dat persoonsgegevens betrekking hebben op meer dan één persoon tegelijkertijd. Dit betekent niet automatisch dat inzage moet worden verleend in persoonsgegevens die ook op iemand anders betrekking hebben, aangezien de verwerkingsverantwoordelijke moet voldoen aan artikel 15, lid 4, AVG.
De woorden ' hem betreffende persoonsgegevens ' mogen door de verwerkingsverantwoordelijken niet ' al te strikt ' worden opgevat, zoals de Groep gegevensbescherming artikel 29 reeds heeft verklaard met betrekking tot het recht op gegevensoverdraagbaarheid 65 . Toegepast op het recht van inzage is de EDPB bijvoorbeeld van mening dat opnamen van telefoongesprekken (en de transcriptie daarvan) tussen de betrokkene die om inzage verzoekt en de verwerkingsverantwoordelijke onder het recht van inzage kunnen vallen, mits het bij deze laatste om persoonsgegevens gaat 66 . Op voorwaarde dat de AVG van toepassing is en dat de verwerking niet valt onder de vrijstelling wegens huishoudelijke activiteit van artikel 2, lid 2, punt c), AVG, wordt de betrokkene, als hij de verkregen opname met persoonsgegevens van de gesprekspartner voor andere doeleinden gebruikt, bijvoorbeeld door de opname te publiceren, een verwerkingsverantwoordelijke voor deze verwerking van persoonsgegevens van de andere persoon wiens stem werd opgenomen. Hoewel dit de verwerkingsverantwoordelijke niet ontslaat van zijn verplichtingen op het gebied van gegevensbescherming wanneer hij naar behoren analyseert of inzage van het volledige dossier kan worden verleend, wordt hij aangemoedigd de betrokkene te informeren over het feit dat hij in dat geval verwerkingsverantwoordelijke kan worden. Dit doet geen afbreuk aan een eventuele verdere beoordeling op grond van artikel 15, lid 4, AVG zoals beschreven in afdeling 6. In dezelfde geest kunnen berichten die betrokkenen naar anderen hebben gestuurd in de vorm van interpersoonlijke berichten en zelf van hun apparaat hebben verwijderd, en die nog steeds beschikbaar zijn voor de serviceprovider, onder het recht van inzage vallen.
Anderzijds zijn er situaties waarin het verband tussen de gegevens en verschillende personen vaag kan lijken voor de verwerkingsverantwoordelijke, zoals in het geval van identiteitsdiefstal. Bij identiteitsdiefstal handelt een persoon op frauduleuze wijze in de naam van een andere persoon. In dit verband zij opgemerkt dat het slachtoffer informatie moet krijgen over alle persoonsgegevens die de verwerkingsverantwoordelijke opslaat in verband met zijn identiteit, met inbegrip van de gegevens die zijn verzameld op basis van de handelingen van de fraudeur. Met andere woorden, zelfs nadat de verwerkingsverantwoordelijke op de hoogte is gekomen van de identiteitsdiefstal, vormen persoonsgegevens die verband houden met of gerelateerd zijn aan de identiteit van het slachtoffer, persoonsgegevens van de betrokkene.

Voorbeeld 17: Een persoon gebruikt frauduleus de identiteit van iemand anders om online poker te spelen. De dader betaalt het onlinecasino met de creditcard die hij van het slachtoffer heeft gestolen. Wanneer het slachtoffer achter de identiteitsdiefstal komt, vraagt het slachtoffer de aanbieder van het onlinecasino om hem inzage te geven in zijn persoonsgegevens en meer specifiek tot de gespeelde onlinespellen en informatie over de creditcard die de dader heeft gebruikt.

66 Zie voorbeeld 34 in afdeling 6.2.

Er is een verband tussen de verzamelde gegevens en het slachtoffer, aangezien de identiteit van laatstgenoemde is gebruikt. Na de ontdekking van de fraude hebben de bovengenoemde persoonsgegevens nog steeds een verband omwille van hun inhoud (de creditcard van het slachtoffer heeft duidelijk betrekking op het slachtoffer), doel en effect (de informatie over de onlinespellen die de dader heeft gespeeld, kan bijvoorbeeld worden gebruikt om facturen uit te schrijven aan het slachtoffer). Daarom moet het onlinecasino het slachtoffer inzage verlenen in de voornoemde persoonsgegevens.

Indien van toepassing kunnen interne verbindingslogbestanden worden gebruikt om gegevens over de toegang tot een bestand bij te houden en om na te gaan welke acties werden uitgevoerd in verband met de toegang tot een bestand, zoals het afdrukken, kopiëren of verwijderen van persoonsgegevens. Deze logbestanden kunnen het tijdstip van registratie, de reden voor de toegang tot het bestand en informatie ter identificatie van de persoon die toegang heeft gehad, bevatten. Vragen over dit onderwerp komen aan bod in een zaak die momenteel aanhangig is bij het Hof van Justitie (C-579/21). De invoering, monitoring en herziening van verbindingslogboeken vallen onder de verantwoordelijkheid van de verwerkingsverantwoordelijke en kunnen worden gecontroleerd door de toezichthoudende autoriteiten. De verwerkingsverantwoordelijke moet er dus voor zorgen dat eenieder die onder zijn gezag handelt en toegang heeft tot persoonsgegevens, die gegevens uitsluitend verwerkt in opdracht van de verwerkingsverantwoordelijke, overeenkomstig artikel 29 AVG. Als de persoon desondanks de persoonsgegevens verwerkt voor andere doeleinden dan het uitvoeren van de instructies van de verwerkingsverantwoordelijke, kan hij voor die verwerking de verwerkingsverantwoordelijke worden en onderworpen worden aan tucht- of strafrechtelijke procedures of administratieve sancties van toezichthoudende autoriteiten. De EDPB merkt op dat dit deel uitmaakt van de verantwoordelijkheid van de werkgever uit hoofde van artikel 24 AVG om gebruik te maken van passende maatregelen, variërend van opleiding tot tuchtprocedures, om ervoor te zorgen dat de verwerking in overeenstemming is met de AVG en dat er geen inbreuk plaatsvindt.

4.2.2 Het 'al dan niet verwerken' van persoonsgegevens

Artikel 15, lid 1, AVG verwijst bovendien naar het 'al dan niet verwerken' van persoonsgegevens. Het tijdreferentiepunt voor het bepalen van de reeks persoonsgegevens die onder het verzoek om inzage vallen, is al uitgewerkt in afdeling 2.3.3. De formulering suggereert echter ook dat het recht van inzage geen onderscheid maakt tussen de doeleinden van de verwerkingen.

Voorbeeld 18 : Een bedrijf verwerkte persoonsgegevens van een betrokkene om diens bestelling te verwerken en de verzending naar diens huisadres te regelen. Nadat deze oorspronkelijke doeleinden waarvoor de persoonsgegevens zijn verzameld niet meer bestaan, bewaart de verwerkingsverantwoordelijke sommige persoonsgegevens uitsluitend om te voldoen aan zijn wettelijke verplichtingen met betrekking tot het bijhouden van gegevens.

De betrokkene verzoekt om inzage in hem betreffende persoonsgegevens. Om te voldoen aan zijn verplichting op grond van artikel 15, lid 1, AVG, moet de verwerkingsverantwoordelijke de betrokkene de gevraagde persoonsgegevens verstrekken die zijn opgeslagen om te voldoen aan zijn wettelijke verplichtingen.

Gearchiveerde persoonsgegevens moeten worden onderscheiden van back-upgegevens, d.w.z. persoonsgegevens die uitsluitend zijn opgeslagen om de gegevens te herstellen in geval van gegevensverlies. Met betrekking tot de beginselen van gegevensbescherming door ontwerp en gegevensminimalisering zijn de back-upgegevens overigens in principe vergelijkbaar met de gegevens

in het live-systeem. Kleine verschillen tussen persoonsgegevens in de back-up en het live productiesysteem hebben meestal te maken met het verzamelen van aanvullende gegevens sinds de laatste back-up. Een afname van gegevens in het live-systeem (bv. wissen nadat de bewaartermijn van sommige gegevens is verstreken of na een verzoek tot wissen) wordt in sommige gevallen pas bij de volgende back-up overschreven in de back-upgegevens. Wanneer een verzoek om inzage wordt ingediend op het moment dat er meer persoonsgegevens met betrekking tot de betrokkene in de backup staan dan in het live-systeem of andere persoonsgegevens (wat bijvoorbeeld te zien is in een logboek van verwijderingen in het live productiesysteem dat volledig in overeenstemming met het beginsel van gegevensminimalisering is uitgevoerd), moet de verwerkingsverantwoordelijke transparant zijn over deze situatie en, indien technisch haalbaar, de betrokkene de gevraagde toegang verlenen, inclusief tot persoonsgegevens die in de back-up zijn opgeslagen. Om transparantie te betrachten jegens betrokkenen die hun recht uitoefenen, kan de verwerkingsverantwoordelijke bijvoorbeeld met een logboek van verwijderingen in het live productiesysteem zien dat er gegevens in de back-up zijn die niet meer in het live-systeem staan omdat ze onlangs zijn verwijderd en nog niet zijn overschreven in de back-up.

4.2.3 De reikwijdte van een nieuw verzoek om inzage

Er moet nog worden toegevoegd dat betrokkenen recht hebben op inzage van alle verwerkte gegevens die op hen betrekking hebben, of van delen van de gegevens, afhankelijk van de reikwijdte van het verzoek (zie ook afdeling 2.3.1 over de volledigheid van de informatie en afdeling 3.1.1 voor de analyse van de inhoud van het verzoek). Hieruit volgt dat wanneer een verwerkingsverantwoordelijke in het verleden al aan een verzoek om inzage heeft voldaan en het verzoek niet buitensporig is, hij de reikwijdte van dit nieuwe verzoek niet kan beperken. Dit betekent dat de verwerkingsverantwoordelijke bij een volgend verzoek om inzage van dezelfde betrokkene, de betrokkene niet alleen moet informeren over de loutere wijzigingen in de verwerkte persoonsgegevens of de verwerking zelf sinds het laatste verzoek, tenzij de betrokkene hier uitdrukkelijk mee instemt. Anders zouden betrokkenen verplicht zijn hun verstrekte persoonsgegevens samen te voegen tot een volledige set persoonsgegevens betreffende hun informatie over de verwerking en over de rechten van betrokkenen.

4.3 Informatie over de verwerking en over de rechten van betrokkenen

Naast de inzage van de persoonsgegevens zelf, moet de verwerkingsverantwoordelijke informatie verstrekken over de verwerking en over de rechten van de betrokkene volgens artikel 15, lid 1, punten a) tot en met h), en artikel 15, lid 2, AVG. De meeste informatie over deze specifieke punten is al verzameld, ten minste in algemene vorm, in het register van de verwerkingsactiviteiten van de verwerkingsverantwoordelijke waarnaar wordt verwezen in artikel 30 AVG en/of in zijn privacyverklaring opgesteld in overeenstemming met de artikelen 12 tot en met 14 AVG. Daarom kan het nuttig zijn om als eerste stap de Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679 67 van de Groep gegevensbescherming artikel 29 te raadplegen, over de inhoud van de informatie die moet worden verstrekt op grond van de artikelen 13 en 14 AVG.
Om te voldoen aan artikel 15, lid 1, punten a) tot en met h), en artikel 15, lid 2, mogen verwerkingsverantwoordelijken zorgvuldig gebruikmaken van tekstmodules van hun

privacyverklaring, zolang ze ervoor zorgen dat deze actueel en nauwkeurig zijn met betrekking tot het verzoek van de betrokkene. Voor of aan het begin van de gegevensverwerking kan bepaalde informatie, zoals de identificatie van specifieke ontvangers of de specifieke duur van de gegevensverwerking, vaak nog niet worden verstrekt. Sommige informatie, zoals bijvoorbeeld het recht om een klacht in te dienen bij een toezichthoudende autoriteit (zie artikel 15, lid 1, punt f), verandert niet afhankelijk van de persoon die het verzoek om inzage indient en kan daarom in algemene bewoordingen worden meegedeeld, zoals ook gebeurt in de privacyverklaring. Andere soorten informatie, zoals informatie over ontvangers, categorieën en de bron van de gegevens, kunnen variëren afhankelijk van de indiener en de reikwijdte van het verzoek. In het kader van een verzoek om inzage op grond van artikel 15 moet alle informatie over de verwerking waarover de verwerkingsverantwoordelijke beschikt, worden bijgewerkt en worden afgestemd op de verwerkingen die daadwerkelijk worden uitgevoerd met betrekking tot de betrokkene die het verzoek indient. Een verwijzing naar de formulering van zijn privacybeleid zou voor de verwerkingsverantwoordelijke dus niet voldoende zijn om de informatie te verstrekken die vereist is op grond van artikel 15, lid 1, punten a) tot en met h), en lid 2, tenzij de 'op maat gemaakte en bijgewerkte' informatie dezelfde is als de informatie die aan het begin van de verwerking werd verstrekt. In de toelichting welke informatie betrekking heeft op de verzoeker, zou de verwerkingsverantwoordelijke in voorkomend geval kunnen verwijzen naar bepaalde activiteiten (zoals 'als u gebruik hebt gemaakt van deze dienst…', 'als u per factuur hebt betaald'), zolang het voor de betrokkenen duidelijk is dat het om hen gaat. Hieronder wordt de vereiste mate van specificatie toegelicht met betrekking tot de afzonderlijke soorten informatie.

Informatie over de doeleinden overeenkomstig artikel 15, lid 1, punt a), moet specifiek zijn met betrekking tot het (de) precieze doel(en) in het concrete geval van de betrokkene die het verzoek indient. Het zou niet voldoende zijn om de algemene doeleinden van de verwerkingsverantwoordelijke op te sommen zonder te verduidelijken welk(e) doel(en) de verwerkingsverantwoordelijke nastreeft in het specifieke geval van de verzoekende betrokkene. Als de verwerking voor verschillende doeleinden wordt uitgevoerd, moet de verwerkingsverantwoordelijke verduidelijken welke gegevens of welke categorieën van gegevens voor welk(e) doel(en) worden verwerkt. In tegenstelling tot artikel 13, lid 1, punt c) en artikel 14, lid 1, punt c), AVG, bevat de informatie over de verwerking als bedoeld in artikel 15, lid 1, punt a) geen informatie over de rechtsgrondslag voor de verwerking. Aangezien sommige rechten van betrokkenen echter afhangen van de toepasselijke rechtsgrondslag, is deze informatie belangrijk voor de betrokkenen om de rechtmatigheid van de gegevensverwerking te controleren en om te bepalen welke rechten van de betrokkene in de specifieke situatie van toepassing zijn. Om de uitoefening van de rechten van betrokkenen te vergemakkelijken in overeenstemming met artikel 12, lid 2, AVG, wordt de verwerkingsverantwoordelijke aanbevolen om de betrokkene ook te informeren over de toepasselijke rechtsgrondslag voor elke verwerking of om aan te geven waar hij deze informatie kan vinden. Het principe van transparante verwerking vereist in ieder geval dat de informatie over de rechtsgrondslagen van de verwerking op een toegankelijke manier beschikbaar wordt gesteld aan de betrokkene (bijvoorbeeld in een privacyverklaring).
Mogelijk moet ook informatie over categorieën van gegevens (artikel 15, lid 1, punt b)) worden afgestemd op de situatie van de betrokkene, waarbij categorieën die in het geval van de verzoeker niet relevant zijn gebleken, moeten worden geschrapt.

Voorbeeld 19 : In het kader van de informatie waarnaar wordt verwezen in de artikelen 13 en 14 AVG vermeldt een hotel dat het een aantal categorieën klantgegevens verwerkt (identificatiegegevens, contactgegevens, bankgegevens, creditcardnummer enz.). Als een verzoek om inzage wordt gedaan op basis van artikel 15, moet de betrokkene die het verzoek indient, naast de toegang tot de feitelijke

gegevens die worden verwerkt (bestanddeel 2), overeenkomstig artikel 15, lid 1, punt b), ook worden geïnformeerd op basis van de specifieke categorieën gegevens die in het specifieke geval worden verwerkt (bijvoorbeeld geen bankgegevens of creditcardgegevens in het geval van contante betaling).

Bij informatie over 'ontvangers of categorieën van ontvangers' (artikel 15, lid 1, punt c)) moet in de eerste plaats rekening worden gehouden met de definitie van ontvangers in artikel 4, punt 9, AVG. De definitie van ontvangers is gebaseerd op de verstrekking van persoonsgegevens aan een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan 68 . Uit artikel 4, punt 9, AVG volgt dat overheidsinstanties die handelen in het kader van een bepaald onderzoek dat onderworpen is aan specifieke nationale bepalingen, niet als ontvangers worden beschouwd.
Met betrekking tot de vraag of de verwerkingsverantwoordelijke vrij is om te kiezen tussen informatie over ontvangers of categorieën van ontvangers, moet worden opgemerkt dat 'artikel 15 AVG anders dan de artikelen 13 en 14 AVG, op grond waarvan de verwerkingsverantwoordelijke verplicht is om de betrokkene informatie te verstrekken over de categorieën van ontvangers of de concrete ontvangers van de hem betreffende persoonsgegevens […] - voorziet in een daadwerkelijk recht van inzage van de betrokkene, zodat deze laatste de keuze moet kunnen hebben om ofwel - indien mogelijk - informatie te verkrijgen over de specifieke ontvangers aan wie de gegevens zijn of zullen worden verstrekt, dan wel om informatie te verkrijgen over de categorieën van ontvangers' 69 . Er zij ook aan herinnerd dat, zoals vermeld in de bovenvermelde richtsnoeren inzake transparantie 70 , informatie over de ontvangers of categorieën van ontvangers reeds op grond van de artikelen 13 en 14 AVG zo concreet mogelijk moet zijn met betrekking tot de beginselen van transparantie en behoorlijkheid. Krachtens artikel 15 is de verwerkingsverantwoordelijke, indien de betrokkene niet anders heeft gekozen, verplicht de daadwerkelijke ontvangers te noemen, tenzij het onmogelijk is deze ontvangers te identificeren of de verwerkingsverantwoordelijke aantoont dat de verzoeken om inzage van de betrokkene kennelijk ongegrond of buitensporig zijn in de zin van artikel 12, lid 5, AVG 71 72 . De EDPB herinnert er in dit verband aan dat het opslaan van informatie met betrekking tot de daadwerkelijke ontvangers onder andere noodzakelijk is om te kunnen voldoen aan de verplichtingen van de verwerkingsverantwoordelijke uit hoofde van artikel 5, lid 2, en artikel 19 AVG.

Voorbeeld 20 : In zijn privacyverklaring geeft een werkgever informatie over welke categorieën gegevens worden doorgegeven aan 'reisbureaus' of 'hotels' in geval van zakenreizen, in overeenstemming met artikel 13, lid 1, punt e) en artikel 14, lid 1, punt e), AVG. Als een werknemer na de zakenreis een verzoek om inzage van de persoonsgegevens indient, moet de werkgever, met betrekking tot de ontvangers van de persoonsgegevens overeenkomstig artikel 15, lid 1, punt c), in zijn antwoord aangeven welk(e) reisbureau(s) en hotel(s) de gegevens hebben ontvangen. Hoewel de werkgever in zijn privacyverklaring verwees naar categorieën van ontvangers op grond van de

68 Verder moet worden opgemerkt dat er verschillende verwerkingsverantwoordelijken zoals gedefinieerd in artikel 4, punt 7, AVG kunnen bestaan binnen hetzelfde bedrijf. In deze constellatie is openbaarmaking van gegevens van de ene ontvanger naar de andere binnen één bedrijf mogelijk.

69 Hof van Justitie, C-154/21, Österreichische Post AG, punt 36.

71 Hof van Justitie, C-154/21, Österreichische Post AG.

artikelen 13 en 14, omdat het in dit stadium nog niet mogelijk was de ontvangers bij naam te noemen, moet hij, tenzij de werknemer anders heeft besloten, informatie verstrekken over de specifieke ontvangers (namen van reisbureaus, hotels enz.) wanneer de werknemer een verzoek om inzage indient.

Wanneer een verwerkingsverantwoordelijke, met inachtneming van de bovengenoemde voorwaarden, alleen de categorieën van ontvangers mag verstrekken, moet de informatie zo specifiek mogelijk zijn door het type ontvanger te vermelden (d.w.z. aan de hand van de activiteiten die hij uitvoert), alsook de bedrijfstak, sector en subsector en de locatie van de ontvangers 73 .

Volgens artikel 15, lid 1, punt d), moet waar mogelijk informatie worden verstrekt over de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen. Anders moeten de criteria worden vermeld die zijn gebruikt om die termijn te bepalen. De informatie die door de verwerkingsverantwoordelijke wordt gegeven, moet nauwkeurig genoeg zijn zodat de betrokkene weet hoe lang de hem betreffende gegevens bewaard zullen blijven. Als het niet mogelijk is om het tijdstip van verwijdering te specificeren, moeten de duur van de opslagperioden en het begin van deze periode of de triggergebeurtenis (bv. beëindiging van een contract, afloop van een garantieperiode enz.) worden gespecificeerd. De loutere verwijzing naar bijvoorbeeld 'verwijdering na het verstrijken van de wettelijke opslagperioden' is niet voldoende. Aanwijzingen met betrekking tot opslagperioden moeten betrekking hebben op de specifieke gegevens van de betrokkene. Als voor de persoonsgegevens van de betrokkene verschillende verwijderingstermijnen gelden (bijvoorbeeld omdat niet voor alle gegevens wettelijke opslagverplichtingen gelden), worden de verwijderingstermijnen vermeld voor de respectieve verwerkingsactiviteiten en gegevenscategorieën.
Terwijl informatie over het recht om een klacht in te dienen bij een toezichthoudende autoriteit (artikel 15, lid 1, punt f)) niet afhangt van de specifieke omstandigheden, variëren de in artikel 15, lid 1, punt e), genoemde rechten van de betrokkenen afhankelijk van de rechtsgrondslag voor de verwerking. Met betrekking tot zijn verplichting om de uitoefening van de rechten van de betrokkene te faciliteren op grond van artikel 12, lid 2, AVG, is het antwoord van de verwerkingsverantwoordelijke op die rechten individueel afgestemd op het geval van de betrokkene en heeft het betrekking op de betreffende verwerkingsactiviteiten. Informatie over rechten die niet van toepassing zijn op de betrokkene in de specifieke situatie, moet worden vermeden.
Volgens artikel 15, lid 1, punt g), moet 'alle beschikbare informatie' over de bron van de gegevens worden verstrekt wanneer de persoonsgegevens niet bij de betrokkene zijn verzameld. De mate waarin informatie beschikbaar is, kan na verloop van tijd veranderen.

Voorbeeld 21 : In het privacybeleid van een groot bedrijf staat:

'Kredietcontroles helpen ons om problemen bij betalingstransacties te voorkomen. Ze garanderen de bescherming van ons bedrijf tegen financiële risico's, die ook de verkoopprijzen op middellange tot lange termijn kunnen beïnvloeden. Een kredietcontrole wordt noodzakelijkerwijs uitgevoerd als we goederen gaan verzenden zonder tegelijkertijd de betreffende aankoopprijs te ontvangen, bijvoorbeeld in het geval van een aankoop op rekening. Als we geen kredietcontrole uitvoeren, is alleen een vooruitbetalingsoptie (onmiddellijke bankoverschrijving, online betalingsprovider, creditcard) mogelijk.

73 Groep gegevensbescherming artikel 29, Richtsnoeren inzake transparantie - bekrachtigd door de EDPB, blz. 37 (bijlage)

Voor de kredietcontrole sturen we uw naam, adres en geboortedatum bijvoorbeeld naar de volgende dienstverleners: i) financieel informatiebureau X; ii) zakelijke informatieverstrekker Y; iii) commercieel kredietinformatiebureau Z.

De gegevens worden alleen doorgegeven aan de bovengenoemde kredietinstellingen voor zover dat wettelijk is toegestaan en alleen voor de analyse van uw betalingsgedrag in het verleden en voor de beoordeling van het risico op wanbetaling op basis van mathematisch-statistische procedures met behulp van adresgegevens, alsook voor de verificatie van uw adres (onderzoek van de levering). Afhankelijk van het resultaat van de kredietcontrole is het mogelijk dat we u niet langer individuele betalingsmethoden kunnen aanbieden, zoals de aankoop op factuur.'

De privacyverklaring bevat dus algemene informatie over de mogelijkheid om informatie te verkrijgen van de genoemde economische inlichtingenbureaus in overeenstemming met de artikelen 13 en 14 AVG. Als vooraf niet duidelijk is welke bedrijven bij de verwerking betrokken zullen worden, is het voldoende om de namen van de in aanmerking komende bedrijven in het privacybeleid te vermelden. In de context van een verzoek op basis van artikel 15 zou dan niet alleen moeten worden bekendgemaakt dat er kredietwaardigheidsinformatie is verkregen, maar (achteraf) ook welke van de genoemde bedrijven precies betrokken is geweest. In artikel 15, lid 1, punt g), is duidelijk opgemerkt dat informatie over de verwerking van de gegevens 'alle beschikbare informatie over de bron van die gegevens' omvat wanneer de persoonsgegevens niet bij de betrokkene zijn verzameld.

In artikel 15, lid 1, punt h), is bepaald dat elke betrokkene het recht heeft op zinvolle wijze te worden geïnformeerd over, onder andere, het bestaan en de onderliggende logica van geautomatiseerde besluitvorming, met inbegrip van profilering, met betrekking tot de betrokkene en over het belang en de verwachte gevolgen van die verwerking 74 . Indien mogelijk moet informatie op grond van artikel 15, lid 1, punt h), specifieker zijn met betrekking tot de redenering die heeft geleid tot specifieke besluiten betreffende de betrokkene die om inzage heeft verzocht.
Informatie over voorgenomen doorgiften van gegevens naar een derde land of een internationale organisatie, met inbegrip van het bestaan van een adequaatheidsbesluit van de Commissie of passende waarborgen, moet worden verstrekt op grond van artikel 13, lid 1, punt f), en artikel 14, lid 1, punt f), AVG. In de context van een verzoek om inzage op grond van artikel 15, vereist artikel 15, lid 2, alleen informatie over de passende waarborgen overeenkomstig artikel 46 AVG indien de doorgifte naar een derde land of een internationale organisatie daadwerkelijk plaatsvindt.

5 HOE KAN EEN VERWERKINGSVERANTWOORDELIJKE INZAGE VERLENEN?

De AVG schrijft niet duidelijk voor hoe de verwerkingsverantwoordelijke inzage moet verlenen. Het recht van inzage kan in sommige situaties gemakkelijk en eenvoudig toe te passen zijn, bijvoorbeeld wanneer een kleine organisatie beperkte informatie over de betrokkene heeft. In andere situaties is het recht van inzage ingewikkelder omdat de gegevensverwerking complexer is wat betreft het aantal betrokkenen, de categorieën verwerkte gegevens en de gegevensstroom binnen en tussen

verschillende organisaties. Gezien de verschillen in de verwerking van persoonsgegevens kan de juiste manier om inzage te verlenen dan ook verschillen.

Deze afdeling biedt een leidraad en praktische voorbeelden van verschillende manieren waarop verwerkingsverantwoordelijken kunnen voldoen aan een verzoek om inzage, en van de betekenis van artikel 12, lid 1, AVG met betrekking tot het recht van inzage. Deze afdeling geeft ook enige richtsnoeren over wat wordt beschouwd als een gangbare elektronische vorm en over het tijdstip waarop inzage moet worden verleend uit hoofde van artikel 12, lid 3, AVG.

5.1 Hoe kan de verwerkingsverantwoordelijke de gevraagde gegevens ophalen?

De betrokkenen moeten inzage hebben in alle informatie die de verwerkingsverantwoordelijke over hen verwerkt. Dit betekent bijvoorbeeld dat de verwerkingsverantwoordelijke verplicht is om naar persoonsgegevens te zoeken in al zijn IT-systemen en niet-IT-bestanden. Bij het uitvoeren van een dergelijke zoekopdracht moet de verwerkingsverantwoordelijke gebruikmaken van beschikbare informatie in de organisatie met betrekking tot de betrokkene die waarschijnlijk zal resulteren in overeenkomsten in de systemen, afhankelijk van hoe de informatie is gestructureerd 75 . Als de informatie bijvoorbeeld in bestanden is gesorteerd op naam of referentienummer, kan de zoekopdracht worden beperkt tot deze factoren. Als de structuur van de gegevens evenwel afhangt van andere factoren, zoals familierelaties of beroepstitels of directe of indirecte identificatoren (bv. klantnummer, gebruikersnaam of IP-adressen), moet de zoekopdracht worden uitgebreid met die factoren, op voorwaarde dat de verwerkingsverantwoordelijke ook over deze informatie met betrekking tot de betrokkene beschikt of deze informatie van de betrokkene heeft gekregen. Hetzelfde geldt wanneer gegevens over derden waarschijnlijk persoonsgegevens van de betrokkene bevatten. De verwerkingsverantwoordelijke mag de betrokkene echter niet vragen om meer informatie te verstrekken dan nodig is om hem te identificeren. Als een verwerkingsverantwoordelijke een verwerker gebruikt voor zijn gegevensverwerkingsactiviteiten, moet de zoekopdracht natuurlijk worden uitgebreid tot de persoonsgegevens die door de verwerker worden verwerkt.
In overeenstemming met artikel 25 AVG over gegevensbescherming door ontwerp en door standaardinstellingen, moet de verwerkingsverantwoordelijke (en alle verwerkers die hij gebruikt) ook al functies hebben geïmplementeerd die het mogelijk maken om de rechten van de betrokkene na te leven. Dit betekent in deze context dat er passende manieren moeten zijn om informatie over een betrokkene te vinden en op te vragen bij de behandeling van een verzoek. Er moet echter worden opgemerkt dat een te ruime interpretatie in dit opzicht kan leiden tot functionaliteiten om informatie te doorzoeken en op te vragen die op zichzelf een risico vormen voor de privacy van de betrokkenen. Het is daarom belangrijk om in gedachten te houden dat het proces om gegevens op te vragen ook moet worden ontworpen op een wijze die de gegevensbescherming eerbiedigt, zodat het de privacy van anderen, bijvoorbeeld de werknemers van de verwerkingsverantwoordelijke, niet in gevaar brengt.

5.2 Passende maatregelen om inzage te bieden

5.2.1 'Passende maatregelen' nemen

Bij artikel 12 AVG zijn de vereisten vastgesteld voor het verlenen van inzage, d.w.z. voor het verstrekken van de bevestiging, de persoonsgegevens en de aanvullende informatie krachtens artikel 15, en zijn ook de vorm, manier en termijn voor de uitoefening van het recht van inzage gespecificeerd. Groep gegevensbescherming artikel 29, Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679 76 biedt verdere richtsnoeren bij artikel 12, voornamelijk met betrekking tot de artikelen 13 en 14 AVG, maar ook met betrekking tot artikel 15 en over transparantie in het algemeen. Wat in die richtsnoeren wordt gedefinieerd, is dus vaak ook van toepassing op het verlenen van inzage uit hoofde van artikel 15.
In artikel 12, lid 1, AVG is bepaald dat de verwerkingsverantwoordelijke passende maatregelen neemt opdat de betrokkene de in artikel 15 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt. In artikel 12, lid 2, is bepaald dat de verwerkingsverantwoordelijke de uitoefening van het recht van inzage door de betrokkene moet faciliteren. De meer precieze vereisten in dit verband moeten per geval worden beoordeeld. Bij het bepalen welke maatregelen passend zijn, moeten de verwerkingsverantwoordelijken rekening houden met alle relevante omstandigheden, met inbegrip van, maar niet beperkt tot, de hoeveelheid gegevens die wordt verwerkt, de complexiteit van hun gegevensverwerking en de kennis die zij hebben over de betrokkenen, bijvoorbeeld of de meerderheid van de betrokkenen kinderen, ouderen of mensen met een handicap zijn. Indien de verwerkingsverantwoordelijke op de hoogte wordt gesteld van eventuele bijzondere behoeften van de betrokkene die het verzoek indient, bijvoorbeeld door aanvullende informatie in het ingediende verzoek, moet hij bovendien rekening houden met deze omstandigheden. Bijgevolg zullen de passende maatregelen variëren.
Het is belangrijk om bij de beoordeling in gedachten te houden dat de term 'passend' nooit mag worden opgevat als een manier om de reikwijdte van de gegevens waarop het recht van inzage van toepassing is, te beperken. De term 'passend' betekent niet dat de inspanningen om de informatie te verstrekken kunnen worden afgewogen tegen bijvoorbeeld het belang dat de betrokkene kan hebben bij het verkrijgen van de persoonsgegevens. In plaats daarvan moet de beoordeling gericht zijn op het kiezen van de meest geschikte methode voor het verstrekken van alle informatie die onder dit recht valt, afhankelijk van de specifieke omstandigheden van elk geval. Bijgevolg moet een verwerkingsverantwoordelijke die op grote schaal een grote hoeveelheid gegevens verwerkt, aanvaarden dat hij grote inspanningen moet leveren om de betrokkenen in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal inzage te verlenen.
Het moet worden vermeden om de betrokkene naar verschillende bronnen te verwijzen in antwoord op een verzoek om inzage van gegevens. Zoals eerder vermeld in de richtsnoeren inzake transparantie van de Groep gegevensbescherming artikel 29 (met betrekking tot het begrip 'verstrekken' in de artikelen 13 en 14 AVG), houdt het begrip 'verstrekken' in dat '[h]et niet zo [moet] zijn dat de betrokkene actief naar de door deze artikelen bestreken informatie moet zoeken te midden van

andere informatie, zoals gebruiksvoorwaarden van een website of een app' 77 . Daarom, en om het transparantiebeginsel te eerbiedigen, moeten betrokkenen van de verwerkingsverantwoordelijke de uit hoofde van artikel 15, leden 1, 2 en 3, vereiste informatie en persoonsgegevens krijgen op een manier die volledige inzage in de gevraagde informatie mogelijk maakt. In bijzondere omstandigheden zou het ongepast of zelfs onrechtmatig zijn om de informatie binnen de verwerkingsverantwoordelijke te delen, bijvoorbeeld vanwege de gevoelige aard van de informatie (zoals informatie met betrekking tot klokkenluiden). In deze gevallen wordt het passend geacht om de informatie op te splitsen in meerdere antwoorden in reactie op het verzoek om inzage van de betrokkene. Met de door de verwerkingsverantwoordelijke gekozen methode moet de betrokkene daadwerkelijk de gevraagde gegevens en informatie krijgen, dus het zou niet passend zijn om de betrokkene alleen mede te delen dat hij de gevraagde gegevens kan opzoeken in de opgeslagen gegevens op zijn eigen apparaat, zoals de clickstreamgeschiedenis en IP-adressen op zijn mobiele telefoon.

In overeenstemming met het verantwoordingsbeginsel moet een verwerkingsverantwoordelijke zijn aanpak documenteren om te kunnen aantonen hoe de middelen die hij heeft gekozen om de noodzakelijke informatie krachtens artikel 15 te verstrekken, passend zijn in de gegeven omstandigheden.

5.2.2 Verschillende manieren om inzage te verlenen

Zoals in afdeling 2.2.2 al is uitgelegd, hebben de betrokkenen bij een verzoek om inzage recht op een kopie van hun gegevens die worden verwerkt overeenkomstig artikel 15, lid 3, samen met de aanvullende informatie, en wordt dit beschouwd als de belangrijkste regeling om inzage van de persoonsgegevens te verlenen.
In sommige omstandigheden kan het echter passend zijn dat de verwerkingsverantwoordelijke inzage verleent op andere manieren dan door het verstrekken van een kopie. Dergelijke niet-permanente vormen van inzage van de gegevens kunnen bijvoorbeeld zijn: mondelinge informatie, inzage van bestanden, inzage ter plaatse of op afstand zonder mogelijkheid om te downloaden. Deze regelingen kunnen geschikte manieren zijn om inzage te verlenen, bijvoorbeeld wanneer het in het belang van de betrokkene is of de betrokkene erom vraagt. Inzage ter plaatse kan ook passend zijn, als eerste maatregel, wanneer een verwerkingsverantwoordelijke een grote hoeveelheid niet-gedigitaliseerde gegevens verwerkt, zodat de betrokkene weet welke persoonsgegevens worden verwerkt en met kennis van zaken kan beslissen van welke persoonsgegevens hij een kopie wil ontvangen. Nietpermanente vormen van inzage kunnen in bepaalde situaties voldoende en passend zijn; de behoefte van de betrokkene kan bijvoorbeeld mogelijk worden vervuld door hem de mogelijkheid te bieden de originele gegevens in te zien zodat hij kan controleren of de gegevens die worden verwerkt door de verwerkingsverantwoordelijke, correct zijn. Een verwerkingsverantwoordelijke is niet verplicht de informatie op een andere manier te verstrekken dan via een kopie, maar moet zich redelijk opstellen bij de behandeling van een dergelijk verzoek. Het verlenen van inzage op andere manieren dan door het verstrekken van een kopie sluit het recht van de betrokkenen om ook een kopie te krijgen niet uit, tenzij zij ervoor kiezen dat recht niet uit te oefenen.
De verwerkingsverantwoordelijke kan de kopie van de gegevens die worden verwerkt, samen met de aanvullende informatie, op verschillende manieren verstrekken, bijvoorbeeld per e-mail, fysieke post of door gebruik te maken van een selfservicetool. Wanneer de betrokkene zijn verzoek elektronisch

77 Richtsnoeren inzake transparantie van de Groep gegevensbescherming artikel 29 - bekrachtigd door de EDPB, punt 33.

indient, en niet om een andere regeling verzoekt, wordt de informatie in een gangbare elektronische vorm verstrekt, zoals vermeld in artikel 15, lid 3. In elk geval moet de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen overwegen, waaronder adequate versleuteling bij het verstrekken van informatie via e-mail of online selfservicetools.

Indien de verwerkingsverantwoordelijke slechts op kleine schaal persoonsgegevens verwerkt van de verzoeker, kunnen en moeten de kopie van de persoonsgegevens en de aanvullende informatie via een eenvoudige procedure worden verstrekt.

Voorbeeld 22: Een plaatselijke boekhandel houdt de namen en adressen bij van klanten die boeken thuis hebben laten bezorgen. Een klant bezoekt de boekhandel en doet een verzoek om inzage. In deze situatie zou het voldoende zijn om de persoonsgegevens van de klant rechtstreeks uit het bedrijfssysteem af te drukken en tegelijkertijd de aanvullende informatie van artikel 15, leden 1 en 2, te verstrekken.

Voorbeeld 23: Een maandelijkse donateur van een liefdadigheidsorganisatie doet een verzoek om inzage via e-mail. De liefdadigheidsorganisatie bewaart informatie over donaties die in de afgelopen twaalf maanden zijn gedaan, evenals de namen en e-mailadressen van de donateurs. De verwerkingsverantwoordelijke kan de kopie van de persoonsgegevens en de aanvullende informatie verstrekken door te reageren op de e-mail, mits alle noodzakelijke waarborgen worden toegepast, rekening houdend met bijvoorbeeld de aard van de gegevens.

Ook verwerkingsverantwoordelijken die een grote hoeveelheid gegevens verwerken, kunnen ervoor kiezen verzoeken om inzage handmatig af te handelen. Als de verwerkingsverantwoordelijke gegevens verwerkt in verschillende afdelingen, moet hij de persoonsgegevens van elke afdeling verzamelen om te kunnen reageren op het verzoek van de betrokkene.

Voorbeeld 24: De verwerkingsverantwoordelijke stelt een beheerder aan om de praktische zaken met betrekking tot verzoeken om inzage af te handelen. Wanneer de beheerder een verzoek ontvangt, stuurt hij per e-mail een aanvraag naar de verschillende afdelingen van de organisatie met het verzoek persoonsgegevens over de betrokkene te verzamelen. Vertegenwoordigers van elke afdeling geven de beheerder de persoonsgegevens die door hun afdeling worden verwerkt. De beheerder stuurt vervolgens alle persoonsgegevens naar de betrokkene, samen met de nodige aanvullende informatie, bijvoorbeeld en indien van toepassing, per e-mail.

Hoewel handmatige processen voor het afhandelen van verzoeken om inzage als passend kunnen worden beschouwd, kunnen sommige verwerkingsverantwoordelijken geautomatiseerde processen gebruiken om verzoeken van betrokkenen af te handelen. Dit kan bijvoorbeeld het geval zijn voor verwerkingsverantwoordelijken die een groot aantal verzoeken ontvangen. Een manier om de informatie uit hoofde van artikel 15 te verstrekken, is door de betrokkene selfservicetools te bieden. Dit kan een efficiënte en tijdige afhandeling van verzoeken om inzage van betrokkenen faciliteren en zal de verwerkingsverantwoordelijke ook in staat stellen om het verificatiemechanisme in de selfservicetool op te nemen.

Voorbeeld 25: Een socialemediadienst heeft een geautomatiseerd proces voor het afhandelen van verzoeken om inzage waarmee de betrokkene inzage kan krijgen in zijn persoonsgegevens via zijn gebruikersaccount. Om de persoonsgegevens op te halen, kunnen gebruikers van sociale media de optie 'Uw persoonsgegevens downloaden' kiezen wanneer ze zijn ingelogd op hun gebruikersaccount. Met deze selfserviceoptie kunnen gebruikers een bestand met hun persoonsgegevens rechtstreeks van hun gebruikersaccount naar hun eigen computer downloaden.

Het gebruik van selfservicetools mag nooit de reikwijdte van ontvangen persoonsgegevens beperken. Als het niet mogelijk is om alle informatie uit hoofde van artikel 15 via de selfservicetool te verstrekken, moet de resterende informatie op een andere manier worden verstrekt. De verwerkingsverantwoordelijke kan de betrokkene inderdaad aanmoedigen om een selfservicetool te gebruiken die de verwerkingsverantwoordelijke aanbiedt voor het afhandelen van verzoeken om inzage. Er moet echter worden opgemerkt dat de verwerkingsverantwoordelijke ook verzoeken om inzage moet afhandelen die niet via het gevestigde communicatiekanaal worden verzonden 78 .

5.2.3 Inzage verlenen 'in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal'

Volgens artikel 12, lid 1, AVG, neemt de verwerkingsverantwoordelijke passende maatregelen om de inzage op grond van artikel 15 te verlenen in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal.
De eis dat het verlenen van inzage aan de betrokkene moet gebeuren in een beknopte en transparante vorm, betekent dat verwerkingsverantwoordelijken de informatie efficiënt en beknopt moeten presenteren, zodat deze gemakkelijk te begrijpen is voor de betrokkene, vooral als het om een kind gaat. De verwerkingsverantwoordelijke moet rekening houden met de hoeveelheid en de complexiteit van de gegevens bij het kiezen van de middelen om inzage te verlenen op grond van artikel 15.

Voorbeeld 26: Een aanbieder van sociale media verwerkt een grote hoeveelheid informatie over een betrokkene. Een groot deel van deze persoonsgegevens is opgenomen in honderden pagina's aan logbestanden waarin de activiteiten van de betrokkene op de website worden geregistreerd. Als betrokkenen inzage vragen in hun persoonsgegevens, vallen de persoonsgegevens in deze logbestanden inderdaad onder het recht van inzage. Aan het recht van inzage kan dus formeel worden voldaan door deze honderden pagina's met logbestanden aan de betrokkene te verstrekken. Als er echter geen maatregelen worden genomen om de informatie in de logbestanden begrijpelijk te presenteren, is het mogelijk dat in de praktijk niet wordt voldaan aan het recht van inzage van de betrokkene, omdat er niet gemakkelijk kennis kan worden ontleend aan de logbestanden, waardoor niet wordt voldaan aan de vereiste van artikel 12, lid 1, AVG. De verwerkingsverantwoordelijke moet daarom zorgvuldig en grondig te werk gaan bij het kiezen van de manier waarop de informatie en persoonsgegevens aan de betrokkene worden gepresenteerd.

In de omstandigheden van het bovenstaande voorbeeld zou het gebruik van een gelaagde aanpak, vergelijkbaar met de gelaagde aanpak die wordt bepleit in de Richtsnoeren inzake transparantie met betrekking tot privacyverklaringen 79 , een passende maatregel kunnen zijn om te voldoen aan zowel de vereisten in artikel 15 als die in artikel 12, lid 1, van de AVG. Dit wordt verder uitgewerkt in afdeling 5.2.4. De eis dat de informatie 'begrijpelijk' moet zijn, betekent dat de informatie moet worden begrepen door het beoogde publiek 80 , waarbij rekening moet worden gehouden met

78 Zie afdeling 3.1.2.

79 Richtsnoeren inzake transparantie van de Groep gegevensbescherming artikel 29 - bekrachtigd door de EDPB, punt 35.

80 Begrijpelijkheid is nauw verbonden met de eis om duidelijke en eenvoudige taal te gebruiken (Richtsnoeren inzake transparantie van de Groep gegevensbescherming artikel 29 - bekrachtigd door de EDPB, punt 9). Wat wordt gezegd over duidelijke en heldere taal in punten 12 tot en met 16 met betrekking tot informatie waarnaar wordt verwezen in de artikelen 13 en 14 AVG, geldt ook voor communicatie op grond van artikel 15.

eventuele specifieke behoeften van de betrokkene die bekend zijn bij de verwerkingsverantwoordelijke 81 . Aangezien het recht van inzage vaak de uitoefening van andere rechten van de betrokkene mogelijk maakt, is het van cruciaal belang dat de verstrekte informatie begrijpelijk en duidelijk is. De reden hiervoor is dat betrokkenen pas kunnen overwegen of ze zich willen beroepen op hun recht op bijvoorbeeld rectificatie op grond van artikel 16 AVG als ze weten welke persoonsgegevens worden verwerkt, voor welke doeleinden enz. Daarom kan het nodig zijn dat de verwerkingsverantwoordelijke de betrokkene aanvullende informatie geeft over de verstrekte gegevens. Er moet worden benadrukt dat de complexiteit van de gegevensverwerking de verwerkingsverantwoordelijke ertoe verplicht de middelen te verschaffen om de gegevens begrijpelijk te maken en niet kan worden gebruikt als argument om de inzage van alle gegevens te beperken. Ook de verplichting van de verwerkingsverantwoordelijke om gegevens op beknopte wijze te verstrekken, kan niet worden gebruikt als argument om de inzage van alle gegevens te beperken.

Voorbeeld 27: Een e-commercewebsite verzamelt voor marketingdoeleinden gegevens over op zijn website bekeken of gekochte artikelen. Een deel van deze gegevens zal bestaan uit gegevens in een ruw formaat 82 , die niet zijn geanalyseerd en mogelijk niet direct betekenisvol zijn voor de lezer (codes, activiteitengeschiedenis enz.). Dergelijke gegevens met betrekking tot de activiteiten van de betrokkene vallen ook onder het recht van inzage en moeten bijgevolg in antwoord op een verzoek om inzage aan de betrokkene worden verstrekt. Bij het verstrekken van gegevens in een ruw formaat is het belangrijk dat de verwerkingsverantwoordelijke de nodige maatregelen neemt om ervoor te zorgen dat de betrokkene de gegevens begrijpt, bijvoorbeeld door een document met uitleg te verstrekken om de ruwe gegevens op een gebruiksvriendelijke wijze te presenteren. In een dergelijk document kunnen ook afkortingen en andere acroniemen worden toegelicht, bijvoorbeeld dat 'A' betekent dat de aankoop is onderbroken en 'B' dat de aankoop is doorgegaan.

Het element 'eenvoudig toegankelijk' houdt in dat de informatie uit hoofde van artikel 15 moet worden gepresenteerd op een manier die gemakkelijk toegankelijk is voor de betrokkene. Dit geldt bijvoorbeeld voor de lay-out, geschikte koppen en alinea's. De informatie moet altijd worden verstrekt in duidelijke en eenvoudige taal. Een verwerkingsverantwoordelijke die een dienst aanbiedt in een land, moet ook antwoorden aanbieden in de taal die wordt begrepen door de betrokkenen in dat land. Het gebruik van gestandaardiseerde pictogrammen wordt ook aangemoedigd wanneer dit de begrijpelijkheid en toegankelijkheid van de informatie bevordert. Wanneer het verzoek om informatie betrekking heeft op visueel gehandicapte betrokkenen of andere betrokkenen die moeite kunnen hebben om informatie in te zien of te begrijpen, wordt van de verwerkingsverantwoordelijke verwacht dat hij maatregelen neemt om het begrip van de verstrekte informatie te faciliteren, met inbegrip van mondelinge informatie, wanneer dat passend is 83 . De verwerkingsverantwoordelijke moet er speciaal op toezien dat ouderen, kinderen, visueel gehandicapten of personen met cognitieve of andere handicaps hun rechten kunnen uitoefenen, bijvoorbeeld door proactief te voorzien in gemakkelijk toegankelijke elementen om de uitoefening van deze rechten te vergemakkelijken.

81 Zie punt 128.

82 Het ruwe formaat in het voorbeeld moet worden begrepen als niet-geanalyseerde gegevens die ten grondslag liggen aan een verwerking, en niet het laagste niveau van ruwe gegevens die mogelijk alleen machineleesbaar zijn (zoals 'bits').

83 Richtsnoeren inzake transparantie van de Groep gegevensbescherming artikel 29 - bekrachtigd door de EDPB, punt 21.

5.2.4 Een grote hoeveelheid informatie stelt specifieke eisen aan de manier waarop de informatie wordt verstrekt

Ongeacht de manier waarop inzage wordt verleend, kan er een spanningsveld bestaan tussen de hoeveelheid informatie die de verwerkingsverantwoordelijke aan betrokkenen moet verstrekken en de eis dat deze informatie beknopt moet zijn. Een manier om beide te bereiken, en een voorbeeld van een geschikte maatregel voor bepaalde verwerkingsverantwoordelijken die een grote hoeveelheid gegevens moeten verstrekken, is het gebruik van een gelaagde aanpak. Deze aanpak kan het voor de betrokkenen gemakkelijker maken om de gegevens te begrijpen. Toch moet worden benadrukt dat deze aanpak alleen onder bepaalde omstandigheden kan worden gebruikt en moet worden uitgevoerd op een manier die het recht van inzage niet beperkt, zoals hieronder wordt uitgelegd. Bovendien mag het gebruik van een gelaagde aanpak geen extra belasting vormen voor de betrokkene. Daarom is deze aanpak het meest geschikt wanneer inzage wordt verleend in een onlinecontext. Een gelaagde aanpak is slechts een manier om de informatie uit hoofde van artikel 15 te presenteren op een manier die ook voldoet aan de vereisten in artikel 12, lid 1, AVG, en mag niet worden verward met de mogelijkheid voor de verwerkingsverantwoordelijken om de betrokkene te verzoeken te specificeren op welke informatie of verwerkingsactiviteiten het verzoek betrekking heeft, zoals voorgeschreven in overweging 63 van de AVG 84 .
Een gelaagde aanpak met betrekking tot het recht van inzage betekent dat een verwerkingsverantwoordelijke, onder bepaalde omstandigheden, de op grond van artikel 15 vereiste persoonsgegevens en aanvullende informatie in verschillende lagen kan verstrekken. De eerste laag moet informatie bevatten over de verwerking en de rechten van de betrokkene volgens artikel 15, lid 1, punten a) tot en met h), en artikel 15, lid 2, alsmede een eerste deel van de verwerkte persoonsgegevens. In een tweede laag moeten meer persoonsgegevens worden verstrekt.
Bij de beslissing welke informatie in de verschillende lagen moet worden gegeven, moet de verwerkingsverantwoordelijke overwegen welke informatie de betrokkene in het algemeen als het meest relevant zou beschouwen. In overeenstemming met het behoorlijkheidsbeginsel moet de eerste laag ook informatie bevatten over de verwerking die de meeste impact heeft op de betrokkene 85 . De verwerkingsverantwoordelijken moeten kunnen aantonen dat ze hun keuze verantwoorden.

Voorbeeld 28: Een verwerkingsverantwoordelijke analyseert grote gegevenssets om klanten in verschillende segmenten te plaatsen, afhankelijk van hun onlinegedrag. In deze situatie is het aannemelijk dat de betrokkenen in de eerste plaats willen vernemen in welk segment ze zijn geplaatst. Daarom moet deze informatie in de eerste laag worden opgenomen. De gegevens in een ruw formaat 86 die nog niet zijn geanalyseerd of verder verwerkt, zoals gebruikersactiviteiten op een website, zijn ook persoonsgegevens die onder het recht van inzage vallen, maar in sommige gevallen kan het volstaan om deze informatie in een andere laag te verstrekken.

Om de gelaagde aanpak als een passende maatregel te kunnen beschouwen, moet de betrokkene van meet af aan worden geïnformeerd dat de informatie uit hoofde van artikel 15 in verschillende lagen is gestructureerd en moet worden beschreven welke persoonsgegevens en informatie in de verschillende lagen zullen worden opgenomen. Op deze manier kan de betrokkene gemakkelijker

84 Zie ook afdeling 2.3.1.

85 Richtsnoeren inzake transparantie van de Groep gegevensbescherming artikel 29 - bekrachtigd door de EDPB, punt 36.

86 Zie voetnoot 82.

beslissen welke lagen hij wil inzien. De beschrijving moet een objectieve weergave zijn van alle categorieën persoonsgegevens die daadwerkelijk door de verwerkingsverantwoordelijke worden verwerkt. Het moet ook duidelijk zijn hoe de betrokkene toegang kan krijgen tot de verschillende lagen. Toegang tot de verschillende lagen mag voor de betrokkene geen onevenredige inspanning vergen en mag niet afhankelijk worden gesteld van de formulering van een nieuw verzoek van de betrokkene. Dit betekent dat de betrokkenen de mogelijkheid moeten hebben om te kiezen of ze toegang willen tot alle lagen tegelijk of tot één of twee van de lagen, als ze dat voldoende vinden.

Voorbeeld 29: Een betrokkene doet een verzoek om inzage in een videostreamingdienst. Het verzoek wordt gedaan via een optie die beschikbaar is wanneer betrokkenen hebben ingelogd op hun account. De betrokkene krijgt twee opties die als knoppen op de webpagina worden weergegeven. Optie één is om deel 1 van de persoonsgegevens en de aanvullende informatie te downloaden. Dit bevat bijvoorbeeld recente streaminggeschiedenis, accountinformatie en betalingsinformatie. Optie twee is het downloaden van deel 2 van de persoonsgegevens dat technische logbestanden bevat over de activiteiten van de betrokkene en historische informatie over het account. In dit geval heeft de verwerkingsverantwoordelijke het voor betrokkenen mogelijk gemaakt om hun recht uit te oefenen op een manier die hen niet extra belast.

Variant 1: Indien de betrokkene alleen de knop aanklikt om deel 1 van de persoonsgegevens te downloaden, is de verwerkingsverantwoordelijke alleen verplicht om deel 1 van de gegevens te verstrekken.

Variant 2 : Indien de betrokkene de knoppen voor zowel deel 1 als deel 2 van de gegevens aanklikt, mag de verwerkingsverantwoordelijke niet alleen deel 1 van de gegevens meedelen en om een nieuwe bevestiging vragen voordat deel 2 van de gegevens wordt meegedeeld. In plaats daarvan moeten beide delen van de gegevens aan de betrokkene worden verstrekt, conform het ingediende verzoek.

Een gelaagde aanpak wordt niet voor alle verwerkingsverantwoordelijken of alle situaties geschikt geacht. Deze aanpak mag alleen worden gebruikt als het voor de betrokkene moeilijk zou zijn om de informatie te begrijpen als die in haar geheel wordt gegeven. Met andere woorden, de verwerkingsverantwoordelijke moet kunnen aantonen dat het gebruik van een gelaagde aanpak meerwaarde heeft voor de betrokkene door hem te helpen de verstrekte informatie te begrijpen. Een gelaagde aanpak wordt daarom alleen passend geacht wanneer een verwerkingsverantwoordelijke een grote hoeveelheid persoonsgegevens verwerkt over de betrokkene die een verzoek indient en wanneer het voor de betrokkene duidelijk moeilijk zou zijn om de informatie te begrijpen als deze in één keer zou worden verstrekt. Het feit dat het grote inspanningen en middelen van de verwerkingsverantwoordelijke zou vergen om de informatie uit hoofde van artikel 15 te verstrekken, is op zich geen argument voor het gebruik van een gelaagde aanpak.

5.2.5 Formaat

Overeenkomstig artikel 12, lid 1, AVG, moet de informatie uit hoofde van artikel 15 schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, worden verstrekt. Wat betreft de inzage van persoonsgegevens die worden verwerkt, is in artikel 15, lid 3, bepaald dat wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling verzoekt, de informatie in een gangbare elektronische vorm wordt verstrekt. De AVG specificeert niet wat een gangbare elektronische vorm is. Er zijn dus verschillende bruikbare formaten denkbaar. Wat wordt beschouwd als een gangbare elektronische vorm zal ook variëren in de loop van de tijd.
Wat beschouwd kan worden als een gangbare elektronische vorm moet gebaseerd zijn op een objectieve beoordeling en niet op het formaat dat de verwerkingsverantwoordelijke gebruikt in zijn dagelijkse activiteiten. Om te bepalen welk formaat moet worden beschouwd als een gangbaar formaat in de betreffende situatie, moet de verwerkingsverantwoordelijke beoordelen of er specifieke formaten zijn die algemeen worden gebruikt in het werkgebied van de verwerkingsverantwoordelijke of in de gegeven context. Als dergelijke formaten niet algemeen worden gebruikt, moeten open formaten die zijn vastgelegd in een internationale standaard, zoals ISO, in het algemeen worden beschouwd als gangbare elektronische formaten. De EDPB sluit echter niet uit dat ook andere formaten als gangbaar in de zin van artikel 15, lid 3, kunnen worden beschouwd. Bij het beoordelen of een formaat een gangbaar elektronisch formaat is, acht de EDPB het van belang hoe gemakkelijk de persoon inzage kan krijgen in informatie die in het huidige formaat wordt verstrekt. In dit verband moet worden opgemerkt welke informatie de verwerkingsverantwoordelijke aan de betrokkene heeft verstrekt over hoe toegang kan worden verkregen tot een bestand dat in een specifiek formaat is verstrekt, zoals welke programma's of software kunnen worden gebruikt om het formaat toegankelijker te maken voor de betrokkene. De betrokkene mag echter niet worden verplicht om software te kopen om inzage te krijgen van de informatie.
Bij het bepalen van het formaat waarin de kopie van de persoonsgegevens en de informatie uit hoofde van artikel 15 moet worden verstrekt, moet de verwerkingsverantwoordelijke in gedachten houden dat het formaat het mogelijk moet maken de informatie op een begrijpelijke en gemakkelijk toegankelijke manier te presenteren. Het is belangrijk dat de betrokkene informatie krijgt in een concrete, permanente vorm (tekst, elektronisch). Aangezien de informatie ook na verloop van tijd moet blijven bestaan, heeft schriftelijke informatie, ook in elektronische vorm, in principe de voorkeur boven andere vormen. De kopie van de persoonsgegevens kan, indien van toepassing, worden opgeslagen op een elektronisch opslagmedium zoals cd of USB.
Overigens kan een verwerkingsverantwoordelijke niet stellen dat de betrokkenen een kopie van de persoonsgegevens hebben ontvangen wanneer hij de betrokkenen louter inzage verleent van hun persoonsgegevens. Om te voldoen aan de eis om een kopie van persoonsgegevens te verstrekken en indien de gegevens elektronisch/digitaal worden verstrekt, moeten de betrokkenen hun gegevens kunnen downloaden in een gangbare elektronische vorm.
Het is de verantwoordelijkheid van de verwerkingsverantwoordelijke om te beslissen in welke vorm de persoonsgegevens worden verstrekt. De verwerkingsverantwoordelijke kan, maar is niet verplicht, de documenten die persoonsgegevens bevatten over de betrokkenen die het verzoek indienen, in hun oorspronkelijke vorm verstrekken. De verwerkingsverantwoordelijke zou bijvoorbeeld per geval inzage kunnen verlenen van een kopie van het medium als zodanig, gezien de behoefte aan transparantie (bijvoorbeeld om de juistheid van de gegevens in het bezit van de verwerkingsverantwoordelijke te controleren in geval van een verzoek om inzage in het medisch dossier of een geluidsopname waarvan de transcriptie wordt betwist). In zijn uitlegging van het recht van inzage uit hoofde van Richtlijn 95/46/EG heeft het Hof echter gesteld dat '[o]m [aan het recht op toegang] te voldoen, volstaat het dat aan die aanvrager een volledig overzicht, in begrijpelijke vorm, van deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij die richtlijn verleende rechten kan uitoefenen' 87 . In tegenstelling tot de richtlijn bevat de

87 Hof van Justitie, gevoegde zaken C-141/12 en C-372/12, YS e.a., punt 60.

AVG uitdrukkelijk de verplichting om de betrokkene een kopie te verstrekken van de persoonsgegevens die worden verwerkt. Dit betekent echter niet dat de betrokkene altijd het recht heeft om een kopie te krijgen van de documenten die de persoonsgegevens bevatten, maar een ongewijzigde kopie van de persoonsgegevens die in deze documenten worden verwerkt. 88 Een dergelijke kopie van de persoonsgegevens kan worden verstrekt door middel van een compilatie die alle persoonsgegevens bevat waarop het recht van inzage van toepassing is, zolang de betrokkene aan de hand van die compilatie kan worden geïnformeerd en de rechtmatigheid van de verwerking kan controleren. Er is dus geen tegenspraak tussen de formulering van de AVG en het arrest van het Hof over deze kwestie. Het woord 'overzicht' in het arrest moet niet verkeerd worden geïnterpreteerd in de zin dat de compilatie niet alle gegevens zou omvatten die onder het recht van inzage vallen, maar slechts een manier is om al die gegevens te presenteren zonder toegang te geven tot de onderliggende documenten die de persoonsgegevens bevatten. Aangezien de compilatie een kopie van de persoonsgegevens moet bevatten, mag deze niet zodanig worden opgesteld dat de inhoud van de informatie wordt gewijzigd of veranderd.

Voorbeeld 30: Een betrokkene is al jaren verzekerd bij een verzekeringsmaatschappij. Er hebben zich verschillende incidenten voorgedaan die onder de verzekering vallen. In alle gevallen is er schriftelijke correspondentie via e-mail geweest tussen de betrokkene en de verzekeringsmaatschappij. Aangezien de betrokkene informatie moest verstrekken over de specifieke omstandigheden van elk incident, bevat de correspondentie veel persoonlijke informatie over de betrokkene (hobby's, huisgenoten, dagelijkse gewoonten enz.). Soms verschilden zij van mening over de verplichting van de verzekeringsmaatschappij om de betrokkene te vergoeden, met een grote hoeveelheid onderlinge communicatie tot gevolg. De verzekeringsmaatschappij slaat al deze correspondentie op. De betrokkene dient een verzoek om inzage in. In deze situatie hoeft de verwerkingsverantwoordelijke niet noodzakelijkerwijs de e-mails in hun oorspronkelijke vorm te verstrekken door ze door te sturen naar de betrokkene. In plaats daarvan kan de verwerkingsverantwoordelijke ervoor kiezen de emailcorrespondentie met de persoonsgegevens van de betrokkene samen te voegen in een bestand dat aan de betrokkene wordt verstrekt.

Ongeacht de vorm waarin de verwerkingsverantwoordelijke de persoonsgegevens verstrekt, bijvoorbeeld door de feitelijke documenten te verstrekken die de persoonsgegevens bevatten, of een compilatie van de persoonsgegevens, moet de informatie voldoen aan de transparantievereisten die zijn vastgelegd in artikel 12 AVG. Het maken van een soort compilatie en/of het extraheren van de gegevens op een manier die de informatie gemakkelijk te begrijpen maakt, kan in sommige gevallen een manier zijn om aan deze vereisten te voldoen. In andere gevallen is de informatie beter te begrijpen door een kopie te verstrekken van het document dat de persoonsgegevens bevat. Daarom moet per geval worden besloten welke vorm het meest geschikt is.
In deze context moet worden opgemerkt dat er een onderscheid is tussen het recht van inzage uit hoofde van artikel 15 AVG en het recht om een kopie te ontvangen van administratieve documenten dat onder de nationale wetgeving valt, waarbij het laatste recht het recht is een kopie te ontvangen van het eigenlijke document. Dit betekent niet dat het recht van inzage uit hoofde van artikel 15 AVG de mogelijkheid uitsluit om een kopie te ontvangen van het document/de drager waarop de persoonsgegevens staan.

88 Vragen over dit onderwerp zijn aan de orde in zaken die momenteel aanhangig zijn bij het Hof van Justitie (C487/21 en C-307/21).

In sommige gevallen bepalen de persoonsgegevens zelf in welk formaat de persoonsgegevens moeten worden verstrekt. Als de persoonsgegevens bijvoorbeeld handgeschreven informatie van de betrokkene zijn, kan het nodig zijn de betrokkene een fotokopie van die handgeschreven informatie te geven, omdat de handgeschreven tekst zelf neerkomt op persoonsgegevens. Dat kan met name het geval zijn als het handschrift van belang is voor de verwerking, bijvoorbeeld bij een schriftanalyse. Hetzelfde geldt in het algemeen voor geluidsopnamen, omdat de stem van de betrokkene zelf neerkomt op persoonsgegevens. In sommige gevallen kan echter inzage worden verleend door bijvoorbeeld een transcriptie van het gesprek te verstrekken, indien de betrokkene en de verwerkingsverantwoordelijke dat overeenkomen.
Er moet worden opgemerkt dat de bepalingen over formaatvereisten verschillen wat betreft het recht van inzage en het recht op gegevensoverdraagbaarheid. Terwijl het recht op gegevensoverdraagbaarheid uit hoofde van artikel 20 AVG vereist dat de informatie wordt verstrekt in een machineleesbaar formaat, vereist het recht op informatie uit hoofde van artikel 15 dat niet. Formaten die niet geschikt worden geacht om te voldoen aan een verzoek om gegevensoverdraagbaarheid, bijvoorbeeld pdf-bestanden, kunnen dus wel geschikt zijn om te voldoen aan een verzoek om inzage.

5.3 Tijdschema voor het verlenen van inzage

Uit hoofde van artikel 12, lid 3, AVG moet de verwerkingsverantwoordelijke de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek informatie verstrekken over het gevolg dat aan het verzoek uit hoofde van artikel 15 is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn met maximaal twee maanden worden verlengd, op voorwaarde dat de betrokkene binnen een maand na ontvangst van het verzoek op de hoogte is gesteld van de redenen voor een dergelijke verlenging. Deze verplichting om de betrokkene te informeren over de verlenging en de redenen daarvoor mag niet worden verward met de informatie die onverwijld en uiterlijk binnen een maand moet worden verstrekt wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek, zoals bepaald in artikel 12, lid 4, AVG.
De verwerkingsverantwoordelijke reageert en verstrekt, als algemene regel, onverwijld de informatie uit hoofde van artikel 15, wat betekent dat de informatie zo snel mogelijk moet worden verstrekt. Dit betekent dat als het mogelijk is om de gevraagde informatie in een kortere tijd dan een maand te verstrekken, de verwerkingsverantwoordelijke dit moet doen. De EDPB is ook van mening dat de termijn om het verzoek te beantwoorden in sommige situaties moet worden aangepast aan de opslagperiode om inzage te kunnen verlenen 89 .
De termijn begint te lopen wanneer de verwerkingsverantwoordelijke een verzoek uit hoofde van artikel 15 heeft ontvangen, dat wil zeggen wanneer het verzoek de verwerkingsverantwoordelijke bereikt via een van zijn officiële kanalen 90 . Het is niet noodzakelijk dat de verwerkingsverantwoordelijke daadwerkelijk op de hoogte is van het verzoek. Wanneer de verwerkingsverantwoordelijke echter met de betrokkene moet communiceren vanwege onzekerheid over de identiteit van de verzoeker, kan de termijn worden opgeschort totdat de

89 Zie afdeling 2.3.3.

90 In sommige lidstaten is er nationale wetgeving die bepaalt wanneer een bericht als ontvangen moet worden beschouwd, rekening houdend met weekends en nationale feestdagen.

verwerkingsverantwoordelijke de benodigde informatie van de betrokkene heeft verkregen, op voorwaarde dat de verwerkingsverantwoordelijke onverwijld om aanvullende informatie vraagt. Hetzelfde geldt wanneer een verwerkingsverantwoordelijke een betrokkene heeft verzocht de verwerkingen te specificeren waarop het verzoek betrekking heeft, wanneer aan de in overweging 63 genoemde voorwaarden is voldaan 91 .

Voorbeeld 31 : Na ontvangst van het verzoek reageert een verwerkingsverantwoordelijke onmiddellijk en vraagt hij de informatie die hij nodig heeft om de identiteit van de verzoeker te bevestigen. Deze antwoordt pas enkele dagen later en de informatie die de betrokkene stuurt om de identiteit te verifiëren, lijkt niet voldoende, waardoor de verwerkingsverantwoordelijke om opheldering moet vragen. In deze situatie wordt de termijn opgeschort totdat de verwerkingsverantwoordelijke voldoende informatie heeft verkregen om de identiteit van de betrokkene te controleren.

De termijn om te antwoorden op een verzoek om inzage moet worden berekend overeenkomstig Verordening (EEG) nr. 1182/71 92 .

Voorbeeld 32: Een organisatie ontvangt een verzoek op 5 maart. De termijn begint te lopen op dezelfde dag. Dit geeft de organisatie tot en met 5 april de tijd om uiterlijk aan het verzoek te voldoen.

Voorbeeld 33: Als de organisatie een verzoek ontvangt op 31 augustus, is er geen overeenkomstige datum omdat de volgende maand korter is. De datum voor het antwoord is dan uiterlijk de laatste dag van de volgende maand, dus 30 september.

Als de laatste dag van deze periode in een weekend of op een feestdag valt, heeft de verwerkingsverantwoordelijke tot de volgende werkdag om te reageren.
Onder bepaalde omstandigheden kan de verwerkingsverantwoordelijke de tijd om te reageren op een verzoek om inzage indien nodig met twee maanden verlengen, rekening houdend met de complexiteit en het aantal verzoeken. Deze mogelijkheid vormt een uitzondering op de algemene regel en mag niet te vaak worden gebruikt. Als verwerkingsverantwoordelijken zich vaak genoodzaakt zien om de termijn te verlengen, kan dit een indicatie zijn dat ze hun algemene procedures voor het afhandelen van verzoeken verder moeten ontwikkelen.
Wat een complex verzoek is, hangt af van de specifieke omstandigheden van elke zaak. Enkele factoren die als relevant kunnen worden beschouwd, zijn bijvoorbeeld:
 de hoeveelheid gegevens die door de verwerkingsverantwoordelijke worden verwerkt,
 hoe de informatie wordt opgeslagen, vooral wanneer het moeilijk is om de informatie terug te vinden, bijvoorbeeld wanneer gegevens door verschillende eenheden van de organisatie worden verwerkt,
 de noodzaak om informatie te verwijderen wanneer een vrijstelling van toepassing is, bijvoorbeeld informatie over andere betrokkenen of informatie die bedrijfsgeheimen bevat, en
 wanneer de informatie verder moet worden bewerkt om deze te kunnen begrijpen.

91 Zie voorts afdeling 2.3.1.

Het loutere feit dat het voldoen aan het verzoek een grote inspanning zou vergen, maakt een verzoek nog niet complex. Ook het feit dat een groot bedrijf een groot aantal verzoeken ontvangt, leidt niet automatisch tot een verlenging van de termijn. Wanneer een verwerkingsverantwoordelijke echter tijdelijk een groot aantal verzoeken ontvangt, bijvoorbeeld als gevolg van buitengewone publiciteit over zijn activiteiten, kan dit worden beschouwd als een legitieme reden om de antwoordtermijn te verlengen. Niettemin moet een verwerkingsverantwoordelijke, vooral als hij een grote hoeveelheid gegevens verwerkt, procedures en mechanismen hebben om verzoeken onder normale omstandigheden binnen de termijn te kunnen afhandelen.

6 GRENZEN EN BEPERKINGEN OP HET RECHT VAN INZAGE

6.1 Algemene opmerkingen

Het recht van inzage is onderworpen aan de beperkingen die voortvloeien uit artikel 15, lid 4, AVG (rechten en vrijheden van anderen) en artikel 12, lid 5, AVG (kennelijk ongegronde of buitensporige verzoeken). Bovendien kan Unierecht of lidstatelijk recht het recht van inzage beperken in overeenstemming met artikel 23 AVG. Afwijkingen met betrekking tot de verwerking van persoonsgegevens voor wetenschappelijk of historisch onderzoek of statistische doeleinden of archivering in het algemeen belang kunnen worden gebaseerd op artikel 89, leden 2 en 3, AVG en afwijkingen voor verwerking voor journalistieke doeleinden of voor academische, artistieke of literaire uitdrukkingsvormen kunnen worden gebaseerd op artikel 85, lid 2, AVG.
Het is belangrijk op te merken dat, afgezien van de hierboven genoemde grenzen, afwijkingen en mogelijke beperkingen, de AVG geen verdere vrijstellingen of afwijkingen van het recht van inzage toestaat. Dat betekent onder meer dat het recht van inzage geen algemeen voorbehoud van evenredigheid inhoudt met betrekking tot de inspanningen die de verwerkingsverantwoordelijke moet leveren om te voldoen aan het verzoek van de betrokkene op grond van artikel 15 AVG 93 . Bovendien is het niet toegestaan om het recht van inzage te beperken in een contract tussen de verwerkingsverantwoordelijke en de betrokkene.
Volgens overweging 63 wordt het recht van inzage verleend aan betrokkenen om kennis te nemen van de rechtmatigheid van de verwerking en deze te controleren. Dit recht op toegang is met name noodzakelijk opdat de betrokkene eventueel van de voor de verwerking verantwoordelijke gedaan kan krijgen dat deze zijn gegevens rectificeert, uitwist of afschermt 94 . De betrokkenen zijn echter niet verplicht om hun verzoek te motiveren of te rechtvaardigen. Zolang aan de vereisten van artikel 15 AVG wordt voldaan, moeten de doeleinden achter het verzoek als irrelevant worden beschouwd 95 .

6.2 Artikel 15, lid 4, AVG

Volgens artikel 15, lid 4, AVG mag het recht op het verkrijgen van een kopie geen afbreuk doen aan de rechten en vrijheden van anderen. Uitleg over deze beperking wordt gegeven in de vijfde en zesde zin

94 Hof van Justitie, gevoegde zaken C-141/12 en C-372/12, YS e.a.

van overweging 63. Dat recht mag geen afbreuk doen aan de rechten of vrijheden van anderen, met inbegrip van bedrijfsgeheimen of intellectuele eigendom en met name het auteursrecht dat de software beschermt.

Die overwegingen mogen echter niet ertoe leiden dat betrokkenen alle informatie wordt onthouden. Bij de interpretatie van artikel 15, lid 4, AVG moet er nauwlettend op worden toegezien dat de in artikel 23 AVG vervatte beperkingen, die alleen onder strikte voorwaarden zijn toegestaan, niet op ongerechtvaardigde wijze worden verruimd.

Artikel 15, lid 4, AVG is van toepassing op het recht om een kopie van de gegevens te verkrijgen, wat de belangrijkste regeling is om inzage te verlenen in de verwerkte gegevens (tweede element van het recht van inzage). Het is ook van toepassing, en er wordt rekening gehouden met de rechten en vrijheden van anderen, als inzage in de persoonsgegevens uitzonderlijk wordt verleend op een andere manier dan door middel van een kopie. Er is bijvoorbeeld geen verschil gerechtvaardigd ingeval bedrijfsgeheimen worden aangetast door het verstrekken van een kopie of door het verlenen van inzage ter plaatse aan de betrokkene. Artikel 15, lid 4, AVG is niet van toepassing op de aanvullende informatie over de verwerking zoals vermeld in artikel 15, lid 1, punten a) tot en met h), AVG.
Volgens overweging 63 omvatten conflicterende rechten of vrijheden bedrijfsgeheimen of intellectuele eigendom en met name het auteursrecht dat de software beschermt. Deze uitdrukkelijk vermelde rechten en vrijheden moeten louter als voorbeelden worden beschouwd, aangezien in principe elk recht of elke vrijheid op basis van Unierecht of lidstatelijk recht kan worden geacht de beperking van artikel 15, lid 4, AVG in te roepen 96 . Zo kan het recht op bescherming van persoonsgegevens (artikel 8 van het Handvest van de grondrechten van de Europese Unie) ook worden beschouwd als een betrokken recht in de zin van artikel 15, lid 4, AVG. Wat het recht op het verkrijgen van een kopie betreft, is het recht op gegevensbescherming van anderen een typisch geval waarin de beperking moet worden beoordeeld. Bovendien moet rekening worden gehouden met het recht op vertrouwelijkheid van correspondentie, bijvoorbeeld met betrekking tot private emailcorrespondentie in de context van de arbeidsverhouding 97 . Overigens komt niet elk belang neer op 'rechten en vrijheden' krachtens artikel 15, lid 4, AVG. De economische belangen van een bedrijf om geen persoonsgegevens vrij te geven, volstaan bijvoorbeeld niet om de uitzondering van artikel 15, lid 4, in te roepen, zolang er geen bedrijfsgeheimen, intellectuele eigendom of beschermde rechten in het geding zijn.
'Anderen' betekent elke andere persoon of entiteit dan de betrokkene die zijn recht van inzage uitoefent. Er kan dus rekening worden gehouden met de rechten en vrijheden van de verwerkingsverantwoordelijke of de verwerker (bijvoorbeeld bij het vertrouwelijk houden van handelsgeheimen en intellectueel eigendom). Als de EU-wetgever de rechten en vrijheden van verwerkingsverantwoordelijken of verwerkers had willen uitsluiten, zou hij de term 'derde' hebben gebruikt, die is gedefinieerd in artikel 4, punt 10, AVG.
De algemene bezorgdheid dat de rechten en vrijheden van anderen zouden kunnen worden aangetast door in te gaan op het verzoek om inzage, is niet voldoende om een beroep te doen op artikel 15, lid 4,

AVG. De verwerkingsverantwoordelijke moet kunnen aantonen dat in de concrete situatie de rechten of vrijheden van anderen daadwerkelijk zouden worden aangetast.

Voorbeeld 34: Een persoon die nu volwassen is, werd in het verleden een aantal jaren begeleid door het bureau voor jeugdzorg. De overeenkomstige bestanden kunnen mogelijk gevoelige informatie bevatten over andere personen (ouders, maatschappelijk werkers, andere minderjarigen). Een verzoek om informatie van de betrokkene kan echter in het algemeen niet om deze reden worden afgewezen onder verwijzing naar artikel 15, lid 4, AVG. De rechten en vrijheden van anderen moeten veeleer in detail worden onderzocht en vastgesteld door het bureau voor jeugdzorg als verwerkingsverantwoordelijke. Afhankelijk van de belangen in kwestie en hun relatieve gewicht, kan het verstrekken van dergelijke specifieke informatie worden geweigerd (bv . door namen te redigeren).

Met betrekking tot overweging 4 van de AVG en de grondgedachte achter artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, is het recht op bescherming van persoonsgegevens geen absoluut recht 98 . Daarom moet ook de uitoefening van het recht van inzage worden afgewogen tegen andere grondrechten overeenkomstig het evenredigheidsbeginsel. Wanneer de beoordeling op grond van artikel 15, lid 4, AVG aantoont dat het voldoen aan het verzoek nadelige (negatieve) gevolgen heeft voor de rechten en vrijheden van andere deelnemers (stap 1), moeten de belangen van alle deelnemers worden afgewogen, rekening houdend met de specifieke omstandigheden van het geval en in het bijzonder de waarschijnlijkheid en ernst van de risico's die zich voordoen wanneer de gegevens worden verstrekt. De verwerkingsverantwoordelijke moet proberen de conflicterende rechten met elkaar te verzoenen (stap 2), bijvoorbeeld door de implementatie van passende maatregelen om het risico voor de rechten en vrijheden van anderen te beperken . Zoals benadrukt in overweging 63 mag de bescherming van de rechten en vrijheden van anderen op grond van artikel 15, lid 4, van de AVG niet leiden tot een weigering om alle informatie aan de betrokkene te verstrekken. Dit betekent bijvoorbeeld dat, wanneer de beperking van toepassing is, informatie over anderen zoveel mogelijk onleesbaar moet worden gemaakt in plaats van te weigeren een kopie van de persoonsgegevens te verstrekken. Als echter geen oplossing kan worden gevonden om de desbetreffende rechten met elkaar te verzoenen, moet de verwerkingsverantwoordelijke in een volgende stap beslissen welke van de conflicterende rechten en vrijheden voorrang heeft (stap 3).

Voorbeeld 35 : Een detailhandelaar biedt zijn klanten de mogelijkheid om producten te bestellen via een hotline van zijn klantenservice. Om de commerciële transacties te staven, slaat de winkelier een gespreksopname op, in overeenstemming met de strenge eisen van de toepasselijke wetgeving. Een klant wil een kopie ontvangen van het gesprek dat hij had met een medewerker van de klantenservice. In een eerste stap analyseert de detailhandelaar het verzoek en realiseert zich dat de opname persoonsgegevens bevat die ook betrekking hebben op iemand anders, namelijk op de medewerker van de klantenservice. In een tweede stap moet de detailhandelaar, om te beoordelen of het verstrekken van de kopie de rechten en vrijheden van anderen zou aantasten, de tegenstrijdige belangen tegen elkaar afwegen, met name rekening houdend met de waarschijnlijkheid en de ernst van mogelijke risico's voor de rechten en vrijheden van de medewerker van de klantenservice die zich voordoen wanneer de opname aan de klant wordt verstrekt. De detailhandelaar concludeert dat er zeer weinig persoonsgegevens over de medewerker van de klantenservice in de opname staan, alleen zijn stem. De detailhandelaar/verwerkingsverantwoordelijke vindt dat de medewerker niet gemakkelijk te identificeren is. Bovendien is de inhoud van het gesprek van professionele aard en was de

betrokkene de gesprekspartner. Op basis van de bovengenoemde omstandigheden komt de verwerkingsverantwoordelijke objectief tot de conclusie dat het recht van inzage geen afbreuk doet aan de rechten en vrijheden van de medewerker van de klantenservice en daarom kan de verwerkingsverantwoordelijke de betrokkene de volledige opname verstrekken, met inbegrip van de delen waarin de stem van de medewerker van de klantenservice te horen is.

Voorbeeld 36: Een klant van een winkel voor medische benodigdheden wil inzage van de meetresultaten met betrekking tot haar benen op basis van artikel 15 AVG. De winkel voor medische benodigdheden had de benen van de proefpersoon opgemeten om individuele medische steunkousen te maken. Blijkbaar had de winkel veel ervaring en een speciale techniek ontwikkeld om nauwkeurig te meten. Na de meting in de winkel voor medische hulpmiddelen wil de klant de meetresultaten gebruiken om elders goedkopere sokken te kopen (bestelling in een onlinewinkel). De winkel weigert gedeeltelijk inzage in de gegevens op grond van artikel 15, lid 4, AVG met het argument dat vanwege hun speciale, nauwkeurige meettechnieken de resultaten beschermd zijn als bedrijfsgeheim. Indien en voor zover de verwerkingsverantwoordelijke kan bewijzen:

 dat het verstrekken van informatie over de meetresultaten aan de betrokkene niet mogelijk is zonder te onthullen hoe de metingen zijn uitgevoerd, en
 dat de informatie over hoe de metingen zijn uitgevoerd, inclusief in voorkomend geval de exacte bepaling van de meetpunten, bedrijfsgeheimen zijn

kan hij artikel 15, lid 4, AVG toepassen.

De verwerkingsverantwoordelijke zou nog steeds zoveel mogelijk informatie moeten verstrekken over de meetresultaten die zijn bedrijfsgeheim niet onthullen, zelfs als dat zou betekenen dat hij moeite zou moeten doen om de resultaten te herzien en te bewerken.

Voorbeeld 37: GAMER X is geregistreerd als gebruiker op het gamingplatform van PLATFORM Y. Op een dag krijgt GAMER X een melding dat zijn onlineaccount is beperkt. Omdat hij niet meer kan inloggen, vraagt GAMER X de verwerkingsverantwoordelijke om inzage van alle hem betreffende persoonsgegevens. Daarnaast vraagt GAMER X inzage van de redenen voor de beperking van zijn account. PLATFORM Y, de beheerder van het onlinegamingplatform waarbij het verzoek is ingediend, informeert de gebruikers in zijn algemene voorwaarden die beschikbaar zijn op zijn website, dat elke vorm van valsspelen (voornamelijk door het gebruik van software van derden) een tijdelijk of permanent toegangsverbod tot zijn platform oplevert. PLATFORM Y informeert de gebruikers in zijn privacybeleid ook over de verwerking van persoonsgegevens voor het opsporen van valsspelen, in overeenstemming met de vereisten van artikel 13 AVG.

Na ontvangst van het verzoek van GAMER X om inzage, moet PLATFORM Y aan GAMER X een kopie verstrekken van de persoonsgegevens die over GAMER X worden verwerkt. Met betrekking tot de reden voor de beperking van het account moet PLATFORM Y aan GAMER X bevestigen dat het heeft besloten de toegang van GAMER X tot onlinespellen te beperken vanwege het gebruik van een of meerdere game cheats die in strijd zijn met de algemene gebruiksvoorwaarden. Naast de verstrekte informatie over de verwerking ten behoeve van de opsporing van valsspelen, moet PLATFORM Y aan GAMER X inzage verlenen van de informatie die het heeft opgeslagen over het valsspelen van GAMER X dat tot de beperking heeft geleid. In het bijzonder moet PLATFORM Y aan GAMER X de informatie verstrekken die heeft geleid tot de beperking van het account ( bv. logoverzicht, datum

en tijd van valsspelen, detectie van software van derden, …) zodat de betrokkene (d.w.z. GAMER X) kan controleren of de gegevensverwerking correct was.

PLATFORM Y is overeenkomstig artikel 15, lid 4, en overweging 63 AVG evenwel niet verplicht om enig deel van de technische werking van de antivalsspeelsoftware te onthullen, zelfs als deze informatie betrekking heeft op GAMER X, zolang deze als bedrijfsgeheim kan worden beschouwd. De noodzakelijke belangenafweging krachtens artikel 15, lid 4, AVG zal tot gevolg hebben dat de bedrijfsgeheimen van PLATFORM Y in de weg staan aan de bekendmaking van deze persoonsgegevens, omdat kennis van de technische werking van de antivalsspeelsoftware de gebruiker ook in staat zou kunnen stellen toekomstige valsspeel- of fraudedetectie te omzeilen 99 .

Als verwerkingsverantwoordelijken geheel of gedeeltelijk weigeren gevolg te geven aan een verzoek om inzage op grond van artikel 15, lid 4, AVG, moeten zij de betrokkene onverwijld en uiterlijk binnen een maand op de hoogte stellen van de redenen hiervoor (artikel 12, lid 4, AVG). De toelichting moet verwijzen naar de concrete omstandigheden, zodat de betrokkenen kunnen beoordelen of ze actie willen ondernemen tegen de weigering. Ze moet informatie bevatten over de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit (artikel 77 AVG) en om een voorziening in rechte in te stellen (artikel 79 AVG).

6.3 Artikel 12, lid 5, AVG

Artikel 12, lid 5, AVG stelt verwerkingsverantwoordelijken in staat om verzoeken om inzage die kennelijk ongegrond of buitensporig zijn, terzijde te schuiven. Deze begrippen moeten strikt worden geïnterpreteerd, aangezien de beginselen van transparantie en kosteloze rechten van de betrokkenen niet mogen worden ondermijnd.
Verwerkingsverantwoordelijken moeten aan de betrokkene kunnen aantonen waarom zij van mening zijn dat het verzoek kennelijk ongegrond of buitensporig is en moeten desgevraagd de redenen kunnen uitleggen aan de bevoegde toezichthoudende autoriteit. Elk verzoek moet per geval worden bekeken in de context waarin het wordt gedaan om te beslissen of het kennelijk ongegrond of buitensporig is.

6.3.1 Wat betekent 'kennelijk ongegrond'?

Een verzoek om inzage is kennelijk ongegrond als bij toepassing van een objectieve benadering duidelijk niet wordt voldaan aan de vereisten van artikel 15 AVG. Zoals in afdeling 3 wordt uitgelegd, zijn er echter maar heel weinig voorwaarden voor verzoeken om inzage. Daarom benadrukt de EDPB dat er slechts zeer beperkte mogelijkheden zijn om zich te beroepen op het 'kennelijk ongegrond' alternatief van artikel 12, lid 5, AVG met betrekking tot verzoeken om inzage.
Verder moet in herinnering worden gebracht dat verwerkingsverantwoordelijken de inhoud en reikwijdte van het verzoek zorgvuldig moeten analyseren voordat ze de beperking inroepen. Een verzoek mag bijvoorbeeld niet als kennelijk ongegrond worden beschouwd als het verzoek betrekking

99 De omvang van de informatie die aan personen wordt verstrekt, zal sterk afhankelijk zijn van de context, rekening houdend met de aard van de verwerkingsverantwoordelijke en de aard van de inbreuk op de servicevoorwaarden. In sommige gevallen kan de verwerkingsverantwoordelijke alleen basisinformatie verstrekken in antwoord op een verzoek om inzage waarop artikel 15, lid 4, van toepassing is.

heeft op de verwerking van persoonsgegevens die niet onder de AVG vallen (in dat geval moet het verzoek niet worden behandeld als een verzoek uit hoofde van artikel 15).

Andere gevallen waarin de toepasselijkheid van artikel 12, lid 5, AVG twijfelachtig is, zijn verzoeken met betrekking tot informatie of verwerkingsactiviteiten die duidelijk niet onder de verwerkingsactiviteiten van de verwerkingsverantwoordelijke vallen.

Voorbeeld 38 : Een betrokkene richt een verzoek aan een gemeentelijke autoriteit met betrekking tot gegevens die worden verwerkt door een overheidsinstantie. In plaats van aan te voeren dat het verzoek kennelijk ongegrond is, zou het voor de aangezochte autoriteit passender en eenvoudiger zijn om te bevestigen dat zij die gegevens niet verwerkt (eerste bestanddeel van artikel 15 AVG: 'of' persoonsgegevens worden verwerkt) 100 .

Een verwerkingsverantwoordelijke mag niet aannemen dat een verzoek kennelijk ongegrond is omdat de betrokkene eerder verzoeken heeft ingediend die kennelijk ongegrond of buitensporig waren of als het verzoek niet-objectieve of ongepaste taal bevat.

6.3.2 Wat betekent buitensporig?

Er is geen definitie van de term 'buitensporig' in de AVG. Enerzijds kan op grond van de formulering 'met name vanwege hun repetitieve karakter' in artikel 12, lid 5, AVG worden geconcludeerd dat het belangrijkste scenario voor de toepassing van dit lid met betrekking tot artikel 15 AVG verband houdt met de hoeveelheid verzoeken van een betrokkene om inzage. Anderzijds laat de bovengenoemde formulering zien dat andere redenen die buitensporigheid zouden kunnen veroorzaken niet bij voorbaat worden uitgesloten.
Overeenkomstig artikel 15, lid 3, AVG met betrekking tot het recht om een kopie te verkrijgen, kan een betrokkene zeker meer dan één verzoek indienen bij een verwerkingsverantwoordelijke 101 . In het geval van verzoeken die mogelijk als buitensporig kunnen worden beschouwd, hangt de beoordeling van de 'buitensporigheid' af van de analyse die de verwerkingsverantwoordelijke verricht en van de specifieke kenmerken van de sector waarin deze actief is.
Bij latere verzoeken moet worden beoordeeld of de drempel van redelijke tussenpozen (zie overweging 63) al dan niet is overschreden. Verwerkingsverantwoordelijken moeten zorgvuldig rekening houden met de specifieke omstandigheden van elk geval.
In het geval van sociale netwerken zal de gegevensset waarschijnlijk met kortere tussenpozen worden gewijzigd dan in het geval van kadasters of centrale bedrijfsregisters. In het geval van zakenpartners moet de frequentie van de contacten met de klant in aanmerking worden genomen. Dienovereenkomstig verschillen ook de 'redelijke tussenpozen' waarbinnen betrokkenen hun recht van inzage opnieuw kunnen uitoefenen. Hoe vaker de databank van de verwerkingsverantwoordelijke wordt gewijzigd, hoe vaker betrokkenen inzage mogen vragen in hun persoonsgegevens zonder dat dit buitensporig is. Anderzijds kan een tweede verzoek van dezelfde betrokkene onder bepaalde omstandigheden als repetitief worden beschouwd.

100 Een andere vraag is of de autoriteit waaraan het verzoek om inzage is gericht, gerechtigd is om het verzoek door te geven aan de bevoegde overheidsinstantie.

101 Volgens de tweede zin van artikel 15, lid 3, mag de verwerkingsverantwoordelijke een redelijke vergoeding aanrekenen voor bijkomende kopieën waarom is verzocht.

Bij het bepalen of er een redelijke tussenpoos is verstreken, moeten de verwerkingsverantwoordelijken rekening houden met het volgende in het licht van de redelijke verwachtingen van de betrokkene:
 hoe vaak worden de gegevens gewijzigd - is het onwaarschijnlijk dat de informatie tussen twee verzoeken is gewijzigd? Als een gegevensverzameling duidelijk niet onderworpen is aan een andere verwerking dan opslag en de betrokkene hiervan op de hoogte is, bijvoorbeeld vanwege een eerder verzoek om inzage, kan dit een indicatie zijn voor een buitensporig verzoek;
 de aard van de gegevens - bijvoorbeeld of ze bijzonder gevoelig zijn;
 de doeleinden van de verwerking - hierbij kan het gaan om de vraag of de verwerking de verzoeker waarschijnlijk schade zal berokkenen als deze openbaar wordt gemaakt;
 of de opeenvolgende verzoeken betrekking hebben op hetzelfde soort informatie of verwerkingsactiviteiten dan wel op verschillende 102 .

Voorbeeld 39 (timmerman): Een betrokkene dient elke twee maanden een verzoek tot inzage in bij de timmerman die een tafel voor hem heeft gemaakt. De timmerman beantwoordde het eerste verzoek volledig. Bij het bepalen of er een redelijke tussenpoos is verstreken, moet in overweging worden genomen dat de timmerman slechts af en toe (eerste opsommingsteken) en niet als onderdeel van zijn kernactiviteit persoonsgegevens verwerkt en verzamelt, en het is nog minder waarschijnlijk dat de timmerman vaak diensten verleent aan dezelfde betrokkene. In dit geval verleende de timmerman namelijk niet meer dan één dienst aan de betrokkene, waardoor het onwaarschijnlijk is dat er wijzigingen zijn opgetreden in de dataset met betrekking tot de betrokkene. Met name gezien de aard en de hoeveelheid van de verwerkte persoonsgegevens, kunnen de risico's in verband met de verwerking als laag worden beschouwd (tweede opsommingsteken), zoals het doel van de verwerking (factureringsdoeleinden en naleving van de registratieplicht) waarschijnlijk geen schade toebrengt aan de betrokkene (derde opsommingsteken). Het verzoek heeft verder betrekking op dezelfde informatie als het laatste verzoek (vierde opsommingsteken). Dergelijke verzoeken kunnen bijgevolg als buitensporig worden beschouwd omdat ze zo vaak worden herhaald.

Voorbeeld 40 (socialemediaplatform): Een socialemediaplatform waarvan de kernactiviteit het verzamelen en/of verwerken van persoonsgegevens van de betrokkene is, voert grootschalige complexe en continue verwerkingsactiviteiten uit. Een betrokkene die gebruik maakt van de diensten van het platform dient om de drie maanden een verzoek tot inzage in. In dit geval is het zeer waarschijnlijk dat de persoonsgegevens met betrekking tot de betrokkene vaak worden gewijzigd (eerste opsommingsteken) en omvat het brede spectrum van verzamelde gegevens geëxtrapoleerde gevoelige persoonsgegevens (tweede opsommingsteken) die worden verwerkt om relevante inhoud en netwerkleden aan de betrokkene te tonen (derde opsommingsteken). Verzoeken om inzage om de drie maanden kunnen - onder deze omstandigheden - in principe niet als buitensporig worden beschouwd vanwege het repetitieve karakter.

Voorbeeld 41 (kredietbureaus): Net als bij sociale netwerken kan niet worden uitgesloten dat de relevante gegevens die door kredietbureaus worden bijgehouden, met veel kortere tussenpozen worden gewijzigd dan het geval is op andere gebieden (eerste opsommingsteken). Dit houdt verband met talrijke factoren waarvan de betrokkene, als persoon van buitenaf, zich meestal niet bewust is vanwege de complexiteit van het bedrijfsmodel. De vraag welke soorten gegevens werden verzameld voor een scorewaardeberekening door de verwerkingsverantwoordelijke en welke momenteel in de berekening zijn opgenomen, kan daarom alleen door het kredietbureau zelf worden beantwoord. Daarnaast kan gegevensverwerking via kredietbureaus en de daaruit voortvloeiende scorewaarde verstrekkende gevolgen hebben voor de betrokkene met betrekking tot voorgenomen juridische transacties, zoals het sluiten van koop-, huur- of leasecontracten (derde opsommingsteken).

Het is niet mogelijk om in het algemeen een specifieke tussenpoos te bepalen waarbinnen het indienen van een bijkomend verzoek om inzage buitensporig zou kunnen worden geacht op grond van de tweede zin van artikel 12, lid 5, AVG. Daarentegen moet een algemene afweging worden gemaakt van de omstandigheden van het individuele geval. Gezien het belang van gegevensverwerking voor het dagelijks leven van de betrokkenen, kan echter worden aangenomen dat een tussenpoos van een jaar tussen de gratis verstrekte informatie in ieder geval te lang is om het verzoek als buitensporig te beschouwen. Als een verzoek met een zeer korte tussenpoos wordt ingediend, moet de beslissende factor zijn of de betrokkene reden heeft om aan te nemen dat de informatie of de verwerking is gewijzigd sinds het laatste verzoek. Als de betrokkene bijvoorbeeld een financiële transactie heeft uitgevoerd, zoals het afsluiten van een lening, moet de betrokkene het recht hebben om inzage te vragen in de kredietinformatie, ook al is een dergelijk verzoek kort daarvoor ingediend en beantwoord.

Als het mogelijk is om de informatie eenvoudig langs elektronische weg of via toegang op afstand tot een beveiligd systeem te verstrekken, waardoor de nakoming van dergelijke verzoeken de verwerkingsverantwoordelijke eigenlijk niet belast, kunnen latere verzoeken waarschijnlijk niet als buitensporig worden beschouwd.
Als een verzoek een eerder verzoek overlapt, kan het overlappende verzoek over het algemeen als buitensporig worden beschouwd, indien en voor zover het precies dezelfde informatie of verwerkingsactiviteiten betreft en de verwerkingsverantwoordelijke nog niet aan het eerdere verzoek heeft voldaan zonder dat de toestand van 'onredelijke vertraging' is bereikt (zie artikel 12, lid 3, AVG). In de praktijk kunnen beide verzoeken daarom worden gecombineerd.
Het feit dat het de verwerkingsverantwoordelijke veel tijd en moeite zou kosten om de informatie of de kopie aan de betrokkene te verstrekken, kan op zichzelf een verzoek niet buitensporig maken 103 . Een groot aantal verwerkingsactiviteiten brengt doorgaans grotere inspanningen met zich mee bij het voldoen aan verzoeken om inzage. Zoals hierboven vermeld, kunnen verzoeken onder bepaalde omstandigheden echter als buitensporig worden beschouwd om andere redenen dan hun repetitieve karakter. Naar de mening van de EDPB omvat dit met name gevallen waarin misbruik wordt gemaakt van artikel 15 AVG, d.w.z. gevallen waarin betrokkenen buitensporig gebruik maken van het recht van inzage met als enige bedoeling de verwerkingsverantwoordelijke schade te berokkenen.
Tegen deze achtergrond mag een verzoek niet als buitensporig worden beschouwd op grond van het feit dat:

103 Geen evenredigheidstoets, zie punt 166.

 de betrokkene geen redenen geeft voor het verzoek of de verwerkingsverantwoordelijke het verzoek als zinloos beschouwt;
 de betrokkene ongepaste of onbeleefde taal gebruikt;
 de betrokkene voornemens is de gegevens te gebruiken om verdere vorderingen in te dienen tegen de verwerkingsverantwoordelijke 104 .

Aan de andere kant kan een verzoek buitensporig worden bevonden wanneer bijvoorbeeld:

 een persoon een verzoek indient, maar tegelijkertijd aanbiedt dit verzoek in te trekken in ruil voor een of ander voordeel van de verwerkingsverantwoordelijke, of
 het verzoek kwaadwillig is en wordt gebruikt om de verwerkingsverantwoordelijke of zijn werknemers lastig te vallen met het loutere doel om hinder te veroorzaken, bijvoorbeeld op grond van het feit dat:
o de persoon uitdrukkelijk, in het verzoek of in andere communicatie, heeft aangegeven dat hij enkel van plan is om hinder te veroorzaken, of
o de persoon systematisch verschillende verzoeken naar een verwerkingsverantwoordelijke stuurt als onderdeel van een campagne, bijvoorbeeld eens per week, met als doel en resultaat dat hinder wordt veroorzaakt 105 .

6.3.3 Gevolgen

In het geval van een kennelijk ongegrond of buitensporig verzoek om inzage kunnen de verwerkingsverantwoordelijken, overeenkomstig artikel 12, lid 5, AVG een redelijke vergoeding aanrekenen (rekening houdend met de administratieve kosten voor het verstrekken van informatie of communicatie of het ondernemen van de gevraagde actie) of weigeren aan het verzoek te voldoen.
De EDPB wijst erop dat verwerkingsverantwoordelijken - aan de ene kant - over het algemeen niet verplicht zijn om een redelijke vergoeding aan te rekenen voordat ze weigeren om op een verzoek in te gaan. Aan de andere kant zijn ze ook niet volledig vrij om te kiezen tussen de twee alternatieven. In feite moeten verwerkingsverantwoordelijken een passende beslissing nemen afhankelijk van de specifieke omstandigheden van het geval. Terwijl het nauwelijks denkbaar is dat het aanrekenen van een redelijke vergoeding een geschikte maatregel is bij kennelijk ongegronde verzoeken, zal het bij buitensporige verzoeken - in overeenstemming met het transparantiebeginsel - vaak beter zijn om een vergoeding aan te rekenen als compensatie voor de administratieve kosten die de herhaalde verzoeken veroorzaken.
Verwerkingsverantwoordelijken moeten het kennelijk ongegronde of buitensporige karakter van een verzoek kunnen aantonen (artikel 12, lid 5, derde zin, AVG). Daarom wordt aanbevolen om de onderliggende feiten goed te documenteren. In overeenstemming met artikel 12, lid 4, AVG moeten verwerkingsverantwoordelijken, indien zij geheel of gedeeltelijk weigeren om in te gaan op een

105 'Systematisch verzenden als onderdeel van een campagne' betekent dat verzoeken die gemakkelijk in één verzoek kunnen worden gebundeld, door de betrokkene kunstmatig worden opgesplitst in vele afzonderlijke verzoeken met de kennelijke bedoeling om hinder te veroorzaken.

verzoek om inzage, de betrokkene onverwijld en uiterlijk binnen een maand na ontvangst van het verzoek de volgende informatie verstrekken:

 de reden ervoor;
 dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
 de mogelijkheid om een voorziening in rechte in te stellen.

Alvorens een redelijke vergoeding aan te rekenen op basis van artikel 12, lid 5, AVG, moeten verwerkingsverantwoordelijken de betrokkenen op de hoogte stellen van hun voornemen om dat te doen. Deze laatsten moeten in staat worden gesteld om te beslissen of ze het verzoek intrekken om te voorkomen dat er kosten worden aangerekend.
Ongerechtvaardigde afwijzingen van verzoeken op grond van het recht van inzage kunnen worden beschouwd als inbreuken op de rechten van de betrokkene uit hoofde van de artikelen 12 tot en met 22 AVG en kunnen derhalve worden onderworpen aan de uitoefening van corrigerende bevoegdheden door de bevoegde toezichthoudende autoriteiten, waaronder administratieve geldboeten op grond van artikel 83, lid 5, punt b), AVG. Als betrokkenen van mening zijn dat inbreuk is gepleegd op hun rechten als betrokkene, hebben zij het recht om een klacht in te dienen op basis van artikel 77 AVG.

6.4 Mogelijke beperkingen in de wetgeving van de Unie of de lidstaten op basis van artikel 23 AVG en afwijkingen

De reikwijdte van de verplichtingen en rechten die zijn vastgelegd in artikel 15 AVG kan worden beperkt door wetgevende maatregelen in het recht van de Unie of de lidstaten 106 .
Verwerkingsverantwoordelijken die zich willen beroepen op een beperking op basis van nationale wetgeving, moeten zorgvuldig de vereisten van de bepaling in die wetgeving controleren. Verder is het belangrijk op te merken dat in het recht van de lidstaten (of de Unie) vervatte beperkingen van het recht van inzage die zijn gebaseerd op artikel 23 AVG, strikt moeten voldoen aan de voorwaarden van die bepaling. De EDPB heeft de Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG uitgegeven met meer uitleg hierover. Wat het recht van inzage betreft, herinnert de EDPB eraan dat de verwerkingsverantwoordelijke de beperkingen moet opheffen zodra de omstandigheden die deze rechtvaardigen, niet langer van toepassing zijn 107 .
Wetgevingsmaatregelen met betrekking tot beperkingen op grond van artikel 23 AVG mogen er ook in voorzien dat de uitoefening van een recht tijdelijk wordt uitgesteld, dat een recht gedeeltelijk wordt uitgeoefend of tot bepaalde categorieën van gegevens wordt beperkt, of dat een recht indirect via een onafhankelijke toezichthoudende autoriteit kan worden uitgeoefend 108 .

aan een betrokkene die om inzage heeft verzocht, deze informatie op verzoek van de betrokkene wordt verstrekt aan de federale toezichthoudende autoriteit, tenzij de verantwoordelijke hoogste federale autoriteit (boven de autoriteit waarop het verzoek betrekking had) in het individuele geval bepaalt dat dit de veiligheid van de federatie of een deelstaat in gevaar zou brengen. De Italiaanse wet inzake gegevensbescherming voorziet in indirecte inzage (via de autoriteit) indien de inzage bepaalde belangen kan schaden (bv. het belang om het witwassen van geld tegen te gaan), zie artikel 2-L van de Italiaanse wet inzake gegevensbescherming.

BIJLAGE - STROOMDIAGRAM

Stap 1: Hoe moet ik het verzoek interpreteren en beoordelen?

Stap 2: Hoe wordt het verzoek beantwoord (1)?

Drie hoofdbestanddelen van het recht van inzage (structuur van artikel 15)

Uitsluitsel over het al dan

niet verwerken

van persoonsgegevens

Aanvullende informatie over doelen, ontvangers enz. (artikel 15, lid 1, punten a) tot en met h))

Stap 2: Hoe wordt het verzoek beantwoord (2)?

Stap 2: Hoe wordt het verzoek beantwoord (3)?

Hoe kan de verwerkingsverantwoordelijke alle gegevens over de betrokkene opvragen?	Hoe kan de verwerkingsverantwoordelijke alle gegevens over de betrokkene opvragen?	Hoe kan de verwerkingsverantwoordelijke alle gegevens over de betrokkene opvragen?
Zoekcriteria definiëren - op basis van wat de betrokkene heeft opgegeven, andere informatie die de verwerkingsverantwoordelijke over de betrokkene heeft en de factoren aan de hand waarvan de gegevens zijn gestructureerd (bv. klantnummer, IP-adressen, beroepstitel, familierelaties	Alle technische functies identificeren die beschikbaar kunnen zijn om gegevens op te halen.	Alle relevante IT- of niet-IT-bestanden doorzoeken.	Gegevens die betrekking hebben op de betrokkene samenvatten, extraheren of anderszins verzamelen op een manier die de verwerking volledig weerspiegelt, d.w.z . die alle persoonsgegevens over de betrokkene omvat en de betrokkene in staat stelt zich te vergewissen van de rechtmatigheid van de verwerking en deze te controleren. De informatie kan per geval worden opgevraagd of, in voorkomend geval, met behulp van een

Inzage van persoonsgeg evens

Stap 3: Grenzen en beperkingen controleren (1)

Stap 3: Grenzen en beperkingen controleren (2)

Footnotes

Verwijzingen naar 'lidstaten' in dit document moeten worden gelezen als verwijzingen naar 'lidstaten van de EER'.
Zie overwegingen 7, 68, 75 en 85 van de AVG.
Zie hoofdstuk VIII, de artikelen 77, 78 en 79 van de AVG.
Richtsnoeren 10/2020 van de EDPB met betrekking tot de beperkingen krachtens artikel 23 AVG, versie voor openbare raadpleging, 18 december 2020.
Zie voor informatie hierover Groep gegevensbescherming artikel 29, WP260 rev.01, 11 april 2018, Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679 - bekrachtigd door de EDPB (hierna 'Richtsnoeren inzake transparantie van de Groep gegevensbescherming artikel 29 - bekrachtigd door de EDPB' genoemd).
De verplichting om een kopie te verstrekken werd niet genoemd in Richtlijn 95/46/EG betreffende gegevensbescherming.
Voor richtsnoeren over passende maatregelen, zie afdeling 5, punten 123-129.
Zie voor meer informatie afdeling 5.2.3 over de gelaagde aanpak.
Zie in dit verband verdere verduidelijkingen in afdeling 4 van deze richtsnoeren, alsook in het arrest van het Hof van Justitie van de Europese Unie van 7 mei 2009 in zaak C-553/07, College van burgemeester en wethouders van Rotterdam/M. E. E. Rijkeboer, over een recht op toegang tot informatie over de ontvangers of categorieën ontvangers met betrekking tot het verleden.
De verwerkingsverantwoordelijke zorgt voor passende beveiliging van de persoonsgegevens, in overeenstemming met het beginsel van integriteit en vertrouwelijkheid (artikel 5, lid 1, punt f), AVG), door passende technische en organisatorische maatregelen te treffen, zoals bedoeld in artikel 32 AVG en uitgewerkt in artikel 24 AVG. De verwerkingsverantwoordelijke moet kunnen aantonen dat hij een passend niveau van gegevensbescherming waarborgt, in overeenstemming met het verantwoordingsbeginsel (zie ook: Groep gegevensbescherming artikel 29, Advies 3/2010 over het beginsel van verantwoordingsplicht, vastgesteld op 13 juli 2010, 00062/10/EN WP 173, en Richtsnoeren 07/2020 van de EDPB over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG).
Tenzij het verzoek ook betrekking heeft op niet-persoonsgebonden gegevens die onlosmakelijk verbonden zijn met de persoonsgegevens van de betrokkene. Voor meer uitleg zie punt 100.
Zie overweging 26 AVG. Verdere uitleg over de begrippen anonieme gegevens en gepseudonimiseerde gegevens is te vinden in Advies 4/2007 van de Groep gegevensbescherming artikel 29 over het begrip persoonsgegeven, blz. 18-21.
Groep gegevensbescherming artikel 29, WP242 rev.01, 5 april 2017, Richtlijnen inzake het recht op gegevensoverdraagbaarheid - bekrachtigd door de EDPB (hierna 'Groep gegevensbescherming artikel 29, Richtlijnen inzake het recht op gegevensoverdraagbaarheid - bekrachtigd door de EDPB' genoemd), blz. 9.
Zie afdeling 3.4 ('Verzoeken via derden/volmachthouders').
Zie verdere richtsnoeren over het tijdschema in afdeling 5.3.
Groep gegevensbescherming artikel 29, Richtlijnen inzake het recht op gegevensoverdraagbaarheid bekrachtigd door de EDPB, blz. 13.
Groep gegevensbescherming artikel 29, Richtlijnen inzake het recht op gegevensoverdraagbaarheid bekrachtigd door de EDPB, blz. 14.
Zie verder advies over authenticatie in afdeling 3.3.
Groep gegevensbescherming artikel 29, Richtlijnen inzake het recht op gegevensoverdraagbaarheid bekrachtigd door de EDPB, blz. 14.
Zie verdere richtsnoeren met betrekking tot authenticatiemethoden in de Richtsnoeren 01/2021 van de EDPB over voorbeelden betreffende de melding van inbreuken in verband met persoonsgegevens, vastgesteld op 14 januari 2021, blz. 30-31, en in de Richtsnoeren 02/2021 van de EDPB inzake virtuele spraakassistenten, versie 2.0, vastgesteld op 7 juli 2021, afdeling 3.7.
Groep gegevensbescherming artikel 29, Richtlijnen inzake het recht op gegevensoverdraagbaarheid bekrachtigd door de EDPB, blz. 14.
Groep gegevensbescherming artikel 29, Richtlijnen inzake het recht op gegevensoverdraagbaarheid bekrachtigd door de EDPB, blz. 14.
Zie ook Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG, waarin verschillende diensten worden genoemd die veilige identificatie op afstand mogelijk maken.
Met betrekking tot de termijnen voor de uitoefening van het recht van inzage wanneer de verwerkingsverantwoordelijke aanvullende informatie nodig heeft, zie punt 157.
Met betrekking tot de termijnen voor de uitoefening van het recht van inzage wanneer de verwerkingsverantwoordelijke aanvullende informatie nodig heeft, zie punt 157.
In overeenstemming met het beginsel van privacy door ontwerp maakt een dergelijke analyse deel uit van de beoordeling van passende maatregelen en waarborgen om de beginselen van gegevensbescherming en de rechten van de betrokkenen te beschermen, die wordt uitgevoerd 'zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf'. Het verkorten van de reactietijd wanneer betrokkenen hun rechten uitoefenen, kan bijvoorbeeld een van de maatstaven zijn. Zie voor meer uitleg de Richtsnoeren 4/2019 inzake artikel 25 - gegevensbescherming door ontwerp en door standaardinstellingen.
Bijvoorbeeld WP251 rev01, Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679, blz. 19; Groep gegevensbescherming artikel 29, Richtlijnen inzake het recht op gegevensoverdraagbaarheid bekrachtigd door de EDPB, blz. 9.
De Groep gegevensbescherming artikel 29 is de onafhankelijke Europese werkgroep die zich tot 25 mei 2018 (inwerkingtreding van de AVG) bezighield met vraagstukken over de bescherming van privacy en persoonsgegevens, en is de voorloper van de EDPB.
Hof van Justitie, gevoegde zaken C-141/12 en C-372/12, YS/Minister voor Immigratie, Integratie en Asiel en Minister voor Immigratie, Integratie en Asiel/M en S, 17 juli 2014.
Hof van Justitie, C-434/16, Peter Nowak/Data Protection Commissioner, 20 december 2017.
Groep gegevensbescherming artikel 29, Richtlijnen inzake het recht op gegevensoverdraagbaarheid bekrachtigd door de EDPB, blz. 9.
Groep gegevensbescherming artikel 29, Richtlijnen inzake het recht op gegevensoverdraagbaarheid bekrachtigd door de EDPB, blz. 10-11.
Groep gegevensbescherming artikel 29, Richtlijnen inzake het recht op gegevensoverdraagbaarheid bekrachtigd door de EDPB, blz. 10-11. Groep gegevensbescherming artikel 29, WP 251 rev.01, 6 februari 2018, Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679 - bekrachtigd door de EDPB (hierna 'Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake geautomatiseerde individuele besluitvorming en profilering - bekrachtigd door de EDPB' genoemd), blz. 9-10.
Zoals eerder vermeld in de Groep gegevensbescherming artikel 29, Richtlijnen inzake het recht op gegevensoverdraagbaarheid - bekrachtigd door de EDPB, blz. 10 en herhaald in de Richtsnoeren van de Groep gegevensbescherming artikel 29 inzake geautomatiseerde individuele besluitvorming en profilering bekrachtigd door de EDPB, blz. 17.
Verdere uitleg over het begrip anonimisering is te vinden in Groep gegevensbescherming artikel 29, Advies 5/2014 over anonimiseringstechnieken, WP216, 10 april 2014, blz. 5-19.
Mededeling van de Commissie aan het Europees Parlement en de Raad van 29 mei 2019 - Richtsnoeren over de verordening inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie (COM(2019)250 final).
Groep gegevensbescherming artikel 29, Richtlijnen inzake het recht op gegevensoverdraagbaarheid bekrachtigd door de EDPB, blz. 9. Alleen persoonsgegevens vallen onder het verzoek tot gegevensoverdraagbaarheid. Dus anonieme gegevens of gegevens die niets met de betrokkene te maken hebben, vallen daar niet onder. Gegevens over een pseudoniem dat duidelijk aan een betrokkene kan worden gelinkt (bv. omdat hij of zij de nodige informatie bezorgt voor de respectieve identificatie, zie artikel 11, lid 2), vallen hier echter wel onder.
Hof van Justitie, arrest in zaak C-434/16, Peter Nowak/Data Protection Commissioner, 2017, punt 44.
Groep gegevensbescherming artikel 29, Richtlijnen inzake het recht op gegevensoverdraagbaarheid bekrachtigd door de EDPB, blz. 9. In veel gevallen zullen verwerkingsverantwoordelijken gegevens verwerken waarin de persoonsgegevens van verschillende betrokkenen opgenomen zijn. In dat geval dienen verwerkingsverantwoordelijken de zin 'persoonsgegevens over de betrokkene' niet al te strikt op te vatten. Zo kunnen gegevens van telefoongesprekken, persoonlijke berichten of VoIP-communicaties (in de accounthistoriek van de klant) bijvoorbeeld informatie bevatten van derden die bij inkomende en uitgaande gesprekken betrokken zijn. Maar ook al bevatten die geregistreerde gegevens dan persoonsgegevens over meerdere personen, toch moeten de klanten deze gegevens op grond van een verzoek tot gegevensoverdraagbaarheid kunnen verkrijgen, want ze betreffen (ook) de betrokkene zelf. Maar als deze gegevens daarna naar een nieuwe verwerkingsverantwoordelijke gestuurd worden, mag deze nieuwe verwerkingsverantwoordelijke ze niet verwerken voor een doel waarbij afbreuk wordt gedaan aan de rechten en vrijheden van derden (zie hierna: derde voorwaarde).
Groep gegevensbescherming artikel 29, WP260 rev.01, 11 april 2018, Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679 - bekrachtigd door de EDPB (hierna 'Richtsnoeren inzake transparantie van de Groep gegevensbescherming artikel 29 - bekrachtigd door de EDPB' genoemd).
Groep gegevensbescherming artikel 29, WP260 rev.01, 11 april 2018, Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679 - bekrachtigd door de EDPB (hierna 'Richtsnoeren inzake transparantie van de Groep gegevensbescherming artikel 29 - bekrachtigd door de EDPB' genoemd), blz. 37 (bijlage)
Het loutere feit dat de gegevens aan een groot aantal ontvangers zijn verstrekt, maakt het verzoek op zich niet buitensporig, zie afdeling 6, punt 188.
Zie in dit verband de Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679 (WP 260), punt 41, met verwijzing naar Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679 (WP 251).
Een dergelijke zoekopdracht moet natuurlijk ook informatie bevatten die in het bezit is van een verwerker, zie artikel 28, lid 3, punt e), AVG.
Groep gegevensbescherming artikel 29, WP260 rev.01, 11 april 2018, Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679 - bekrachtigd door de EDPB (hierna 'Richtsnoeren inzake transparantie van de Groep gegevensbescherming artikel 29 - bekrachtigd door de EDPB' genoemd).
Verordening (EEG, Euratom) nr. 1182/71 van de Raad van 3 juni 1971 houdende vaststelling van de regels die van toepassing zijn op termijnen, data en aanvangs- en vervaltijden.
Wanneer de verwerkingsverantwoordelijke een grote hoeveelheid gegevens betreffende de betrokkene verwerkt, zoals vermeld in overweging 63 AVG, kan de verwerkingsverantwoordelijke de betrokkene verzoeken om te preciseren op welke informatie of welke verwerkingsactiviteiten het verzoek betrekking heeft. Zie ook afdeling 2.3.1.
Dit doet geen afbreuk aan toepasselijke nationale wetgeving die voldoet aan de vereisten van artikel 23 AVG, zie hoofdstuk 6.4.
Het gewicht of de prioriteit van de conflicterende rechten en vrijheden is geen zaak die draait om de definitie van de termen 'rechten en vrijheden'. Het afwegen van dergelijke belangen maakt echter deel uit van een tweede stap in de beoordeling of artikel 15, lid 4, van toepassing is. Zie punt 173.
EHRM, Bărbulescu/Roemenië, nr. 61496/08, punt 80, 5 september 2017.
Zie bijvoorbeeld ook Hof van Justitie, gevoegde zaken C-92/09 en C-93/09, Volker und Markus Schecke GbR en Hartmut Eifert/Land Hessen [Grote Kamer], 9 november 2010, punt 48.
Als het volgende verzoek betrekking heeft op hetzelfde type informatie qua reikwijdte EN tijd, is er geen sprake van buitensporigheid maar van een verzoek om een bijkomende kopie, zie afdeling 2.2.2.2.
Dit doet geen afbreuk aan toepasselijke nationale wetgeving die voldoet aan de vereisten van artikel 23 AVG, zie hoofdstuk 6.4.
Zie bijvoorbeeld de artikelen 32 tot en met 37 van de Duitse federale wet inzake gegevensbescherming (BDSG), de artikelen 16 en 17 van de Noorse wet inzake persoonsgegevens en artikel 5 van de Zweedse wet inzake gegevensbescherming.
Punt 76 van de Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG, versie 2.0, vastgesteld op 13 oktober 2021.
Punt 12 van de Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG, versie 2.0, vastgesteld op 13 oktober 2021. Artikel 34, lid 3, van de Duitse federale wet inzake gegevensbescherming bepaalt bijvoorbeeld dat als een overheidsinstantie vanwege bepaalde beperkingen geen informatie verstrekt

1	Inleiding -algemene opmerkingen ............................................................................................... 9	Inleiding -algemene opmerkingen ............................................................................................... 9
2	Doel van het recht van inzage, structuur van artikel 15 AVG en algemene beginselen ...............	12
2.1	Doel van het recht van inzage...............................................................................................	12
2.2	Structuur van artikel 15 AVG.................................................................................................	13
	2.2.1 De inhoud van het recht van inzage bepalen................................................................	14
2.2.1.1 Uitsluitsel over het al dan niet verwerken van persoonsgegevens...........................	2.2.1.1 Uitsluitsel over het al dan niet verwerken van persoonsgegevens...........................	15
2.2.1.2 Inzage van de persoonsgegevens die worden	2.2.1.2 Inzage van de persoonsgegevens die worden	verwerkt........................................... 15
2.2.1.3 Informatie over de verwerking en over de rechten van betrokkenen......................	2.2.1.3 Informatie over de verwerking en over de rechten van betrokkenen......................	15
2.2.2 Bepalingen inzake regelingen........................................................................................	2.2.2 Bepalingen inzake regelingen........................................................................................	16
2.2.2.1 Een kopie verstrekken...............................................................................................	2.2.2.1 Een kopie verstrekken...............................................................................................	16
2.2.2.2	2.2.2.2	Bijkomende kopieën verstrekken.............................................................................. 17
2.2.2.3 De informatie beschikbaar maken in een gangbare elektronische vorm .................	2.2.2.3 De informatie beschikbaar maken in een gangbare elektronische vorm .................	18
2.2.3 Mogelijke beperking van het recht van inzage .............................................................	2.2.3 Mogelijke beperking van het recht van inzage .............................................................	18
		18
2.3 Algemene beginselen van het recht van inzage....................................................................	2.3 Algemene beginselen van het recht van inzage....................................................................	19
2.3.1 Volledigheid van de informatie ..................................................................................... 2.3.2 Juistheid van de informatie...........................................................................................	2.3.1 Volledigheid van de informatie ..................................................................................... 2.3.2 Juistheid van de informatie...........................................................................................	21
2.3.3 Tijdreferentiepunt van de beoordeling.........................................................................	2.3.3 Tijdreferentiepunt van de beoordeling.........................................................................	21
2.3.4 Voldoen aan vereisten voor gegevensbeveiliging.........................................................	2.3.4 Voldoen aan vereisten voor gegevensbeveiliging.........................................................	23
3		23
Algemene overwegingen bij de beoordeling van verzoekenom inzage....................................... 3.1 Inleiding.................................................................................................................................	Algemene overwegingen bij de beoordeling van verzoekenom inzage....................................... 3.1 Inleiding.................................................................................................................................	23
3.1.1 Analyse van de inhoud van het verzoek........................................................................ 24 3.1.2 Vorm van het verzoek ...................................................................................................	3.1.1 Analyse van de inhoud van het verzoek........................................................................ 24 3.1.2 Vorm van het verzoek ...................................................................................................	3.1.1 Analyse van de inhoud van het verzoek........................................................................ 24 3.1.2 Vorm van het verzoek ...................................................................................................
3.2 Identificatie en authenticatie................................................................................................ 28	3.2 Identificatie en authenticatie................................................................................................ 28	3.2 Identificatie en authenticatie................................................................................................ 28
		31
		Evenredigheidsbeoordeling met betrekking tot de authenticatie van de verzoeker ...........
3.3	3.3	3.3
3.4 Verzoeken via derden/volmachthouders..............................................................................	3.4 Verzoeken via derden/volmachthouders..............................................................................	34
3.4.1 Uitoefening van het recht van inzage namens kinderen .............................................. 35 3.4.2	3.4.1 Uitoefening van het recht van inzage namens kinderen .............................................. 35 3.4.2	Uitoefening van het recht van inzage via die door een derde partij
worden aangeboden	worden aangeboden	worden aangeboden
4 Reikwijdte van het recht van inzage en de persoonsgegevens en informatie waarop het 4.1	4 Reikwijdte van het recht van inzage en de persoonsgegevens en informatie waarop het 4.1	Definitie van persoonsgegevens ........................................................................................... 37
betrekking heeft.................................................................................................................................... 37	betrekking heeft.................................................................................................................................... 37	betrekking heeft.................................................................................................................................... 37
4.2 De persoonsgegevens waarop het recht van inzage betrekking heeft.................................	4.2 De persoonsgegevens waarop het recht van inzage betrekking heeft.................................	41
4.2.1 'Hem betreffende persoonsgegevens'.........................................................................	4.2.1 'Hem betreffende persoonsgegevens'.........................................................................	persoonsgegevens.................................................... 43
4.2.2 Het 'al dan niet verwerken' van	4.2.2 Het 'al dan niet verwerken' van	om inzage.......................................................... 44
4.2.3 De reikwijdte van een nieuw verzoek	4.2.3 De reikwijdte van een nieuw verzoek	4.2.3 De reikwijdte van een nieuw verzoek