2LRN4 security awareness platform
← Terug naar overzicht

Wat doe je bij een privacyverzoek van een klant of collega?

Iemand vraagt welke gegevens je van hem hebt, of wil ze laten verwijderen. Wat zijn de rechten van betrokkenen onder de AVG, en wat doe jij als medewerker als zo'n verzoek bij jou binnenkomt?

Op een dag krijg je het: een klant, sollicitant of collega die vraagt welke gegevens jullie van hem hebben, of die ze wil laten aanpassen of verwijderen. Dat is een privacyverzoek, en de AVG geeft mensen daar recht op. Je hoeft het niet zelf juridisch op te lossen, maar je moet het wel herkennen en goed doorzetten. Dit artikel legt uit wat die rechten zijn en wat jij doet als zo'n verzoek bij jou binnenkomt.

De rechten van betrokkenen, kort uitgelegd

De AVG geeft mensen een aantal rechten over hun eigen gegevens. De belangrijkste die je in de praktijk tegenkomt:

  • Inzage: iemand mag opvragen welke gegevens je van hem hebt en waarvoor je ze gebruikt.
  • Correctie: kloppen gegevens niet, dan mag iemand vragen ze te verbeteren.
  • Verwijdering: in bepaalde gevallen mag iemand vragen zijn gegevens te wissen (het "recht op vergetelheid").
  • Bezwaar: iemand mag bezwaar maken tegen bepaald gebruik van zijn gegevens.
  • Overdraagbaarheid: in sommige gevallen mag iemand zijn gegevens in een herbruikbare vorm meekrijgen.

Hoe herken je een privacyverzoek?

Een privacyverzoek komt zelden netjes met het label "AVG-verzoek" binnen. Het kan een gewone mail zijn ("kunnen jullie mijn gegevens verwijderen?"), een opmerking aan de telefoon, of een vraag via een contactformulier of social media.

Juist daarom is herkennen belangrijk. Zodra iemand iets vraagt over zíjn eigen gegevens, wat je van hem hebt, of het weg kan, of het klopt, is het een privacyverzoek, ook al gebruikt hij dat woord niet.

Wat doe jij als het bij jou binnenkomt?

Het belangrijkste: probeer het niet zelf af te handelen, maar zet het direct door naar de juiste persoon. In de meeste organisaties is dat de functionaris voor gegevensbescherming, de privacy-officer of een centraal meldpunt. Zij weten welke stappen en termijnen gelden.

Waarom doorzetten en niet zelf doen? Omdat aan een privacyverzoek wettelijke eisen en termijnen vastzitten. Een organisatie moet in beginsel binnen een maand reageren, en moet eerst de identiteit van de verzoeker controleren. Geef dus zelf nooit zomaar gegevens vrij, hoe aardig het verzoek ook klinkt.

De valkuil: gegevens vrijgeven aan de verkeerde

Een privacyverzoek kan ook een aanvalsmethode zijn. Een oplichter doet zich voor als klant en vraagt "al mijn gegevens", in de hoop dat een behulpzame medewerker ze zonder controle opstuurt. Zo wordt het recht op inzage misbruikt om gegevens buit te maken.

Daarom hoort identiteitscontrole bij elk verzoek, en is doorzetten naar de juiste afdeling geen bureaucratie maar bescherming. Behandel een verzoek serieus én voorzichtig: serieus omdat het een recht is, voorzichtig omdat je niet zomaar gegevens aan een onbekende geeft.

Een eenvoudig stappenplan

Krijg je een privacyverzoek, houd dan deze stappen aan:

  • Herken het: gaat de vraag over iemands eigen gegevens? Dan is het een privacyverzoek.
  • Geef zelf geen gegevens vrij en bevestig geen details.
  • Zet het direct door naar de privacy-officer of het centrale meldpunt.
  • Noteer datum en inhoud, zodat de termijn vanaf het juiste moment loopt.
  • Twijfel je of het een verzoek is? Behandel het voor de zekerheid als zodanig en vraag het na.

Zo verankert je dit in je awarenessprogramma

Veel medewerkers weten niet dat een gewone vraag een privacyverzoek kan zijn. Maak in je programma concreet hoe zo'n verzoek eruitziet, en maak vooral duidelijk dat doorzetten de juiste reflex is, niet zelf oplossen.

Combineer dat met één bekende meldroute. Hoe duidelijker waar een verzoek heen moet, hoe kleiner de kans dat iemand uit behulpzaamheid gegevens aan de verkeerde geeft.

FAQ

Moet ik een privacyverzoek zelf afhandelen?

Nee. Zet het direct door naar de functionaris voor gegevensbescherming, de privacy-officer of het centrale meldpunt. Aan een verzoek zitten wettelijke termijnen en identiteitscontrole vast die zij correct afhandelen.

Binnen welke termijn moet een organisatie reageren?

In beginsel binnen een maand na ontvangst. Bij complexe of veel verzoeken mag die termijn worden verlengd, maar dat moet wel aan de verzoeker worden gemeld. Daarom telt het moment van binnenkomst, en noteer je dat.

Wat als ik twijfel of iemand wel is wie hij zegt?

Geef dan geen gegevens vrij. Identiteitscontrole hoort bij elk verzoek; oplichters misbruiken het recht op inzage juist om gegevens te bemachtigen. Zet het verzoek door, dan zorgt de juiste afdeling voor verificatie.

Geldt een verzoek via social media of telefoon ook?

Ja. Een privacyverzoek is vormvrij; het kan per mail, telefoon, formulier of social media komen. Zodra iemand iets vraagt over zijn eigen gegevens, behandel je het als verzoek en zet je het door.

Mag iemand altijd verwijdering van zijn gegevens eisen?

Niet altijd. Het recht op verwijdering geldt in bepaalde gevallen, maar soms moet of mag een organisatie gegevens bewaren, bijvoorbeeld vanwege een wettelijke bewaarplicht. De privacy-officer beoordeelt dat per geval.

Wil je hulp bij implementatie?

Plan een korte demo of bespreek jouw use case. We reageren snel.

Plan een demo Bekijk support