Een klant mailt: “Welke gegevens hebben jullie van mij, en wil je ze verwijderen?” Onder de AVG heb je dan rechten van betrokkenen na te komen, meestal binnen een maand. Zo pak je het rustig en correct aan.
Welke rechten kunnen mensen inroepen?
- Inzage, een kopie van de gegevens die je verwerkt.
- Rectificatie, correctie van onjuiste gegevens.
- Verwijdering (“recht op vergetelheid”).
- Beperking van de verwerking.
- Dataportabiliteit, gegevens in een herbruikbaar formaat.
- Bezwaar, bijvoorbeeld tegen direct marketing.
Stap 1: identiteit vaststellen
Geef nooit gegevens vrij zonder zeker te weten dat de verzoeker is wie hij zegt. Vraag om bevestiging, maar wees terughoudend met het opvragen van een kopie ID, vaak volstaat verificatie via het e-mailadres dat al bij je bekend is.
Stap 2: het verzoek beoordelen
Niet elk verzoek hoeft (volledig) te worden ingewilligd. Je mag gegevens bewaren als een wettelijke plicht dat vereist, denk aan de fiscale bewaartermijn van facturen. Je verwijdert dan wat kan en legt uit wat je waarom moet bewaren.
Stap 3: reageren binnen de termijn
Je hebt in beginsel één maand om te reageren. Bij complexe of veel verzoeken mag je met twee maanden verlengen, mits je dat binnen de eerste maand laat weten. Reageren is gratis; alleen bij buitensporige verzoeken mag je een redelijke vergoeding vragen.
Stap 4: vastleggen
Noteer wanneer het verzoek binnenkwam, wat je hebt gedaan en wanneer. Dat helpt als de Autoriteit Persoonsgegevens ooit vragen stelt, en het dwingt tot een consistente werkwijze.
Maak het jezelf makkelijk
Zorg dat je weet wélke gegevens je waar bewaart en wie er toegang toe heeft. Een actuele privacyverklaring die dat beschrijft, maakt het beantwoorden van verzoeken een stuk eenvoudiger. Deelt een verwerker in de gegevens? Dan moet die je helpen het verzoek na te komen.
Klaar om jouw privacy policy te maken?
Gebruik onze gratis generator en heb in 3 minuten een juridisch correcte privacy policy op maat.
Start de generator - gratis