Identiteitscontrole bij het recht op inzage: dit kunnen we leren van de boetes voor DPG Media en SVB

Het recht op inzage

De Algemene Verordening Gegevensbescherming (AVG) geeft betrokkenen een aantal rechten. Eén van die rechten is het zogenaamde ‘recht op inzage’. Het recht op inzage stond ook al in de voorganger van de AVG, de Wet Bescherming Persoonsgegevens, vastgelegd. Toch blijkt er nog veel onduidelijkheid over hoe dit recht nu in de praktijk moet worden ingericht.

In de AVG staat een identificatieverplichting opgenomen; een organisatie moet alle redelijke maatregelen nemen om de identiteit te controleren van een betrokkene die om inzage verzoekt. Komt de informatie namelijk bij een verkeerde persoon terecht, dan is er sprake van een datalek. De grote vraag in de praktijk is daarmee; wanneer weet je zeker genoeg dat de verzoeker dezelfde persoon is zonder teveel persoonsgegevens op te vragen?

In dit artikel laat ik zien hoe de EDBP, de Europese koepel van privacytoezichthouders, naar deze kwestie kijkt op basis van door hen geschreven guidelines. Daarna ga ik in op de cases van DPG Media en SVB

• Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.
• Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
• Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.

Sara Mosch

Team lead legal & Legal counsel