Agnes behandelt een AVG-verzoek van een betrokkene met een checklist

Wat zijn de rechten van betrokkenen onder de AVG? (En hoe handel je ze af)

GDPR, Compliance, MKB

Een AVG-verzoek in je inbox. Wat nu?

Een klant mailt: "Ik wil weten welke gegevens jullie van mij hebben." Of een ex-medewerker schrijft: "Verwijder al mijn data." Of een sollicitant vraagt: "Stuur me een kopie van alles wat jullie over mij bewaren."

Dit zijn AVG-verzoeken. En de kans dat je er een ontvangt, groeit. Mensen weten steeds beter welke rechten ze hebben. De vraag is: weet jij hoe je ermee omgaat?

In dit artikel bespreken we alle rechten van betrokkenen onder de AVG, met per recht een praktische uitleg van wat je moet doen als iemand er een beroep op doet.

Waarom de rechten van betrokkenen praktisch relevant zijn

De rechten van betrokkenen staan in de AVG (Artikelen 15 t/m 22). Ze geven mensen controle over hun persoonsgegevens. En ze leggen bij jou de verplichting om daar goed mee om te gaan.

In de praktijk betekent dat:

  • Verzoeken herkennen als ze binnenkomen (ze worden niet altijd netjes gelabeld als "AVG-verzoek")
  • Ze op tijd beantwoorden (binnen een maand)
  • Documenteren wat je hebt gedaan
  • Intern weten wie dit oppakt

Een goed proces beschermt je reputatie. Organisaties zonder werkende afhandeling riskeren geen boete als eerste probleem, maar een beschadigde klantrelatie als ze een verzoek negeren of verkeerd afhandelen.

Laten we de rechten een voor een doorlopen.

Recht op inzage: wat mag iemand opvragen en hoe reageer je?

Iemand vraagt welke persoonsgegevens je van hem of haar verwerkt, en wil daar een kopie van. Dit is het meest voorkomende AVG-verzoek.

Hoe je dit afhandelt: bevestig de ontvangst, verifieer de identiteit van de verzoeker (meer hierover straks), en verzamel alle persoonsgegevens die je van deze persoon hebt. Denk aan je CRM, HR-systeem, e-mail, cloud-opslag, en eventueel bij je leveranciers. Stuur vervolgens een overzicht in een begrijpelijk format: welke data je hebt, waarom je die verwerkt, met wie je die deelt, en hoe lang je die bewaart.

De termijn: een maand na ontvangst.

Meer achtergrond: recht op inzage (FAQ).

Recht op rectificatie: wanneer en hoe corrigeer je data?

Iemand geeft aan dat de gegevens die je hebt onjuist of onvolledig zijn, en vraagt om correctie.

Controleer of de claim klopt, pas de gegevens aan in alle systemen waar ze voorkomen, en informeer eventuele derden met wie je de foutieve gegevens hebt gedeeld.

Een voorbeeld: een klant verhuist en meldt dat het oude adres nog in je systeem staat. Je corrigeert het in je CRM, factureringssysteem en eventueel bij je boekhouder.

Dit is vaak het meest rechttoe rechtaan verzoek. Maar vergeet niet om het ook bij je leveranciers door te geven als zij die data ook verwerken.

Recht op verwijdering ("recht om vergeten te worden")

Iemand vraagt je om al zijn of haar persoonsgegevens te verwijderen. Dit recht is niet absoluut, maar je moet het serieus nemen.

Je moet verwijderen als:

  • De gegevens zijn niet meer nodig voor het oorspronkelijke doel
  • De betrokkene trekt toestemming in (en er is geen andere grondslag)
  • De betrokkene maakt bezwaar en er is geen doorslaggevend belang om door te gaan
  • De gegevens zijn onrechtmatig verwerkt

Maar je mag ook weigeren, bijvoorbeeld als:

  • Je hebt een wettelijke bewaarplicht (fiscale administratie, bijvoorbeeld)
  • De gegevens zijn nodig voor een lopend juridisch geschil
  • Er is een ander gerechtvaardigd belang dat zwaarder weegt

Goed om te weten: verwijderen en anonimiseren zijn niet hetzelfde. Bij verwijdering zijn de data weg. Bij anonimisering maak je de data onherleidbaar naar een persoon. Geanonimiseerde data valt niet meer onder de AVG en mag je bewaren voor statistieken of analyse.

Meer achtergrond: recht op verwijdering (FAQ).

Recht op beperking van verwerking

De betrokkene vraagt je om de verwerking van zijn data tijdelijk stop te zetten. Niet verwijderen, maar "bevriezen."

Dit speelt als:

  • De juistheid van de data wordt betwist (terwijl je dat uitzoekt)
  • De verwerking is onrechtmatig, maar de betrokkene wil geen verwijdering
  • Je hebt de data niet meer nodig, maar de betrokkene wel (voor een juridische claim)
  • De betrokkene heeft bezwaar gemaakt en je beoordeelt nog of je een doorslaggevend belang hebt

In de praktijk betekent dit: markeer de data als "beperkt" en gebruik het niet meer tot de situatie is opgelost. De data mag wel bewaard worden.

Meer achtergrond: recht op beperking (FAQ).

Recht op dataportabiliteit

De betrokkene vraagt om zijn persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar format te ontvangen, zodat hij die kan overdragen aan een andere dienstverlener.

Dit geldt als de verwerking is gebaseerd op toestemming of een overeenkomst, en de verwerking geautomatiseerd gebeurt (dus digitaal, niet op papier).

Wat je levert: een bestand (CSV, JSON, XML) met de persoonsgegevens die de betrokkene zelf heeft verstrekt. Analyses of afgeleide data hoef je niet mee te geven.

Een voorbeeld: een gebruiker van je platform wil overstappen naar een concurrent en vraagt om een export van zijn accountgegevens en opgeslagen data.

Meer achtergrond: recht op dataportabiliteit (FAQ).

Recht op bezwaar

De betrokkene maakt bezwaar tegen een specifieke verwerking van zijn gegevens. Dit recht geldt vooral als je verwerkt op basis van gerechtvaardigd belang of een taak van algemeen belang.

Stop de verwerking, tenzij je kunt aantonen dat je een dwingende reden hebt die zwaarder weegt. Bij direct marketing is er geen discussie: stop altijd, zonder uitzondering.

Een voorbeeld: een klant maakt bezwaar tegen het gebruik van zijn aankoopgeschiedenis voor gepersonaliseerde marketing. Kun je geen dwingend belang aantonen? Dan stop je daarmee.

Meer achtergrond: recht op bezwaar (FAQ).

Hoe stel je een intern proces op voor AVG-verzoeken?

De rechten kennen is stap een. Een werkend proces hebben is stap twee. Hier is een blauwdruk:

1. Bepaal het aanspreekpunt

Wie ontvangt AVG-verzoeken? Dat kan een privacy-officer zijn, maar bij een MKB is het vaak de directeur, HR-manager of office manager. Kies iemand en communiceer dat intern en extern (via je privacyverklaring).

2. Verifieer de identiteit

Je moet controleren of de verzoeker echt is wie die zegt te zijn. Maar overdrijf niet. Een kopie van het paspoort vragen bij elk verzoek is disproportioneel.

Vuistregels:

  • Als het verzoek komt van een e-mailadres dat je al kent van deze persoon, is dat meestal voldoende
  • Bij twijfel: vraag om verificatie via een kanaal dat je al met de persoon gebruikt
  • Vraag nooit meer identificatie dan nodig

3. Registreer het verzoek

Leg vast: datum ontvangst, type verzoek, naam verzoeker, en deadline voor antwoord. Dit is je bewijs dat je het serieus neemt.

4. Verzamel de data

Doorzoek alle systemen waar persoonsgegevens van deze persoon kunnen staan. Vergeet niet: ook bij je leveranciers en in je e-mail.

5. Reageer binnen de termijn

Een maand na ontvangst. Bij complexe verzoeken mag je twee maanden verlengen, maar je moet de verzoeker binnen de eerste maand laten weten dat je verlengt en waarom.

6. Documenteer het resultaat

Leg vast wat je hebt gedaan, wanneer, en wat het resultaat was. Dit is het dossier dat je bij een audit kunt tonen.

Veelgemaakte fouten bij het afhandelen van verzoeken

"Dat verzoek is vast niet serieus." Behandel elk verzoek alsof het serieus is. Negeren is de snelste weg naar een klacht bij de AP.

Geen centraal overzicht. Als verzoeken via drie verschillende mailboxen binnenkomen en niemand bijhoudt of ze zijn afgehandeld, gaat er gegarandeerd iets mis.

Te veel identiteitsverificatie. Een kopie van het paspoort vragen is in de meeste gevallen disproportioneel. Houd het simpel.

De deadline missen. Een maand klinkt lang, maar als je het verzoek pas na twee weken oppakt en dan alle systemen moet doorzoeken, wordt het krap. Zet een herinnering bij ontvangst.

Vergeten om leveranciers mee te nemen. Als een klant vraagt om verwijdering, moet je dat ook doorgeven aan de partijen die namens jou data verwerken. Het is niet klaar als je het alleen in je eigen CRM verwijdert.

Praktijkvoorbeeld: een medewerker verlaat het bedrijf en vraagt om verwijdering van alle persoonsgegevens. Je verwijdert de gegevens uit het HR-systeem, maar je moet nagaan: wat bewaar je vanwege de fiscale bewaarplicht? Wat staat er nog bij de salarisadministratie? En hoe zit het met de e-mailbackups? Loop alle systemen na, documenteer wat je wel en niet verwijdert (met reden), en communiceer dit helder naar de ex-medewerker.

Van losse verzoeken naar een werkend systeem

AVG-verzoeken zijn geen theoretisch scenario. Ze komen van klanten, medewerkers, sollicitanten, soms zelfs websitebezoekers. En het verschil tussen een professionele reactie en een chaotische is bijna altijd hetzelfde: een intern proces dat iedereen kent.

Begin simpel. Kies een aanspreekpunt, maak een registratie-template, en oefen een keer met een fictief verzoek. De rest komt vanzelf als je het in de praktijk gaat doen.

Bekijk ook het verwerkingsregister (RoPA) in ComplianceHive om te zien hoe je verzoeken kunt koppelen aan je verwerkingsoverzicht.

ComplianceHive helpt je AVG-documentatie op orde te houden: verwerkingsregister, leveranciersbeheer en privacyregistraties in één overzicht. Start gratis.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis