Hoe gratis moet een inzageverzoek in je dossier zijn?

Een lezer vroeg me:

Als een klant gebruik maakt van het inzage- en/of dataportabiliteit recht, mag je daar dan een vergoeding voor vragen? En zo ja, hoe hoog zou een dergelijke vergoeding mogen zijn?

Onder de AVG is die vraag in theorie heel kort: Nee, dat mag niet. Dit moet allemaal kosteloos gebeuren (artikel 12 lid 4 AVG). Er zijn slechts twéé gronden om een verzoek te weigeren: het verzoek is kennelijk ongegrond, of het verzoek is buitensporig.

Een verzoek is kennelijk ongegrond als evident niet is voldaan aan de randvoorwaarden bij een verzoek, of als wordt gevraagd om iets waar men evident geen recht in de AVG op heeft. Een voorbeeld zou zijn een inzageverzoek in persoonsgegevens van een ander of een wissingsverzoek op een openstaande factuur.

Een verzoek is buitensporig als het een zeer disproportionele last legt op de verwerkingsverantwoordelijke, bijvoorbeeld wanneer elke week grote dossiers opgevraagd worden of iemand dagelijks verlangt dat zijn achternaam wordt weggehaald en vervolgens weer toegevoegd.

Ik las in diverse media dat sommige organisaties (zoals het BKR) geld blijven vragen voor inzage. Maar daar zit een truc achter: er is een gratis route, alleen vereist die papier en een hoop gedoe. Wie wil betalen, krijgt sneller antwoord en online ook nog.

Het is een tikje gek omdat artikel 12 lid 3 eist dat als iemand elektronisch een verzoek doet, daar ook elektronisch antwoord op gegeven wordt. Ik kan geen manier vinden om bij het BKR gratis een elektronisch verzoek te doen.

Wie dit irritant vindt, kan overigens het BKR bellen en vragen of ze het dossier willen voorlezen. Artikel 12 lid 1 AVG zegt namelijk dat “Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.” Je moet dus alleen wel voorafgaand aan dat gesprek aantonen dat jij het bent, die belt.

Arnoud

32 reacties

  1. Helaas, de BKR heeft al op de site gezet dat bellen niet mogelijk is omdat het onmogelijk is identificatie vast te stellen per telefoon. Dat hebben zo dus al ingedekt als mogelijkheid, immers moeten alle andere verzoeken vergezeld zijn van een scan van een legitimatiebewijs.

    Overigens Arnoud, in het licht van je vorige post over claims lijkt me dit een prachtig eerste doelwit. Ben benieuwd of iemand daar warm voor te krijgen is?

    1. Is het zeggen dat het onmogelijk is om iemand te identificeren over de telefoon niet te kort door de bocht? Dat zou inhouden dat Artikel 12 lid 1 AVG een dode letter in de wet is, en dat kan niet de bedoeling zijn. Wat is het nut van zeggen dat iets toegestaan is (telefonisch informatie opvragen) als aan een voorwaarde moet worden voldaan die onmogelijk is.

        1. Ik zie wellicht nog een mogelijkheid: stuur voorafgaand aan het telefoontje een mail met een scan van je legitimatiebewijs. Geef in dat mailtje aan op welke dag, tijdstip en vanuit welk nummer je gaat bellen. Voeg ten overvloede nog een 8 cijferige code toe om voor te lezen als je belt. In het gesprek kun je dan verwijzen naar dat mailtje. Mits ze ook daadwerkelijk toegang hebben tot de relevante mailbox (zouden ze nog dicht kunnen timmeren voor callcenter medewerkers) kunnen ze onmogelijk stellen dat ze je niet hebben kunnen identificeren omdat ze jouw legitimatiebewijs niet hebben kunnen koppelen aan het telefoongesprek.

          Meest waarschijnlijk verwacht ik echter dat om ‘veiligheidsredenen’ callcenter medewerkers geen toegang zullen hebben tot alle nodige informatie. Om de discussie over de legitimiteit van een dergelijke organisatiestructuur aan te gaan lijkt me dan wel nog voldoende afschrikwekkend om een huis- tuin en keukenclaim in de weg te staan.

        2. Het is wel duidelijk dat jij de persoon bent die om de gegevens vraagt als je een brief stuurt met een kopie identiteitsbewijs? Hoe weten ze dat niet iemand anders die heeft opgestuurd? En in beide gevallen zouden ze de gegevens op dezelfde wijze kunnen verstrekken, maar ze hebben er nu een procedure van gemaakt die mij het idee geeft dat het doel is om het gratis opvragen te hinderen.

        3. BKR is aangesloten op iDIN, een broertje van iDeal dat de meeste banken ondersteunen. Dat gebruiken ze ook voor de betaalde varianten, dus het moet heel makkelijk zijn je te authenticeren. Dat ze dat niet mogelijk maken is pure onwil en bescherming van hun verdienmodel van verkopen aan klanten van wie de data is en waarvoor echt geen wettelijke grondslag bestaat.

  2. De BKR heeft dit op zijn site staan onder de abonnementsvormen: “AVG inzage

    U kunt een keer per jaar kosteloos inzage doen in uw gegevens. Wilt u snel inzicht of heeft u het overzicht nodig voor kredietaanvragen? Kies dan voor BKR Basis, Plus of Premium.

    De AVG inzage wordt binnen 28 dagen op papier aangeleverd.”

    Ik vraag me af of het redelijk is om tot 1 keer per jaar te beperken. Alhoewel ik in de afgelopen bijna 40 jaren 0 keer een vraag heb gehad voor ze.

      1. Inderdaad. Het beste wat ze zouden kunnen doen is kantoortjes openen waar je dus fysiek heen moet om jezelf te identificeren en je dossier mee te krijgen. Desnoods kunnen ze, omdat het een maatschappelijk iets betreft, misschien nog wel regelen dat ze een plekje kunnen krijgen in de gemeentehuizen of andere openbare gebouwen om zo de huurkosten voor die kantoortjes te drukken.

      2. Personen die toegang hebben tot je brief kunnen hem openen, maar dat is in de meeste gevallen strafbaar vanwege het briefgeheim. Als je een brief door het systeem volgt zijn het maar een beperkt aantal mensen die toegang hebben en voor de meesten is het openen van de brief de risico’s (ontslag) niet waard. Het grootste risico dat onbevoegden de brief openen ligt volgens mij na het moment dat de postbode die in jouw brievenbus gedeponeerd heeft. Voed je huisgenoten op!

  3. De BKR laat goed zien hoe je een lange neus kunt maken naar de AVR, door het op papier te eisten, via de post te doen, en bewust pas na 28 dagen antwoord te geven. Ik hoop dat hier op wordt ingegrepen, en dat hele schema van betalen voor je eigen gegevens de nek om wordt gedraaid: ze hebben de infrastructuur; het aanleveren van informatie aan de betrokkene zelf is geen onderdeel van de taken waarvoor een wettelijke grondslag bestaat; en met dat rare extra verdienmodel moet het maar eens afgelopen zijn: ik heb geen toestemming gegeven om mijn gegevens aan mijzelf te verkopen, of zelfs maar aan te bieden, en ik denk dat dat voor zo’n beetje iedereen geldt.

    Als dit niet is aangepast, stel ik voor dat we eind november of begin december met zoveel mogelijk mensen een collectieve “vraag je gegevens op bij BKR” actie beginnen, zodat ze postzakken vol verzoeken krijgen, die ze binnen de wettelijke termijn moeten afhandelen, allemaal NIET gebruikmakend van het formulier, en liefst handgeschreven, zodat automatische verwerking lastig is.

  4. Er zijn slechts twéé gronden om een verzoek te weigeren: het verzoek is kennelijk ongegrond, of het verzoek is buitensporig

    Ik lees het als dat het niet gaat om een buitensporig verzoek maar om een buitensporig aantal verzoeken.

    In de wet staat:

    Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter,

  5. Er zijn slechts twéé gronden om een verzoek te weigeren: het verzoek is kennelijk ongegrond, of het verzoek is buitensporig

    Ik lees het als dat het niet gaat om een buitensporig verzoek maar om een buitensporig aantal verzoeken.

    In de wet staat:

    Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter,

  6. Onder welk recht verwerkt BKR jouw gegevens? Je hebt zelf geen toestemming gegeven aan hun, ook heb je geen rechtstreekse overeenkomst met hen. Is het door een verwerkersovereenkomst met het bedrijf waar jij een lening aan gaat?

    Ik heb nooit iets te maken gehad met het BKR, maar ik heb wel horror verhalen gehoord. Als je nu een conflict heb over een wel of geen geldige BKR registratie. Van wat ik begrepen heb, stuurt het BKR je door naar het bedrijf dat de registratie heeft gedaan (als ze je de naam van dat bedrijf uberhaubt vertellen). Kan je dan nu aanspraak maken op je recht op beperking van de verwerking. Een van de situaties waarin je dit mag doen is:

    Onjuiste gegevens De organisatie gebruikt onjuiste persoonsgegevens van u. U heeft dit aangegeven, maar de organisatie heeft nog niet gecontroleerd of uw gegevens wel kloppen. U kunt de organisatie dan vragen om in de tussentijd de verwerking van uw persoonsgegevens te beperken.
    Wat moet het BKR dan antwoorden als er een nieuwe BKR controle binnenkomt over jou? Moet het systeem dan zeggen dat er geen registratie bovenkwam toen ze in hun systeem zochten? Opzoeken is namelijk een verwerking. Of mag de verwerking van het opzoeken dat er een beperking van een verwerkingen is wel? En dat ze dan antwoorden dat deze controle langer gaat duren (tot de beperking is opgeheven).

  7. Ik heb een klein forumpje maa nu wil iemand zijn account verwijderen. alleen heeft hij geen toegang tot het account omdat hij zegt dat hij het wachtwoord is vergeten en hij het mailadres niet meer gebruikt. Hij kan dus niet bewijzen dat het zijn account is. moet ik nou toch verwijderen of is het gewoon zijn eigen schuld dat hij het account niet meer in kan?

  8. Bedoelt u lid 5? “5. Het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 22 en artikel 34 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel: a) een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel b) weigeren gevolg te geven aan het verzoek. Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.” https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL

  9. Het is een tikje gek omdat artikel 12 lid 3 eist dat als iemand elektronisch een verzoek doet, daar ook elektronisch antwoord op gegeven wordt. Ik kan geen manier vinden om bij het BKR gratis een elektronisch verzoek te doen.

    Zoek het rekeningnummer van de BKR op, maak een cent over, en plaatst de tekst: inzage verzoek in kader AVG. electronisch leveren. email adres. Verzoek is electronisch ingediend, authenticatie is in orde, en verzoek is helder, moet dus binnen een maand benantwoord zijn.

    1. Deze methode gevolgd, reactie van de BKR: “Wij zien een overmaking van een cent niet als geldig identificatie middel.” Ze geven aan dat ze de cent terugstorten :-). In de antwoord op de betrokken mail ze bedankt voor de bevestiging van de ontvangst van mijn verzoek en een gedeeltelijk geblurde en gemarkeerde scan van mijn paspoort opgestuurd.

      Mijn interpretatie van de AVG is dat elk redelijkerwijs als zodanig verzoek voor inzage een geldig verzoek is, en dus in behandeling genomen dient te worden.

      Mij lijkt het dat een een cent betaling juist een veel veiligere methode van identificatie is (en wat dat betreft equivalent aan iDin), omdat je daarmee controle over je bankrekening (en bijbehorende gegevens) laat zien, iets waar de meeste mensen zorgvuldig mee omgaan, terwijl het relatief eenvoudig is om aan kopieen van paspoorten te bemachtigen, en met name paspoorten die al gedeeltelijk geblurred zijn. Een Google images search voor “geblurred paspoort” vind er al een paar.

      Natuurlijk staat met de AVG hun hele verdienmodel op de schop, maar dat lijkt mij gewoon een bewuste keuze van de wetgever.

      Wordt vervolgd….

  10. En als je gewoon ongehoorzaam bent en een van de e-formulieren gebruikt, die niet voor een inzage verzoek zijn bedoeld? Je hebt dan het verzoek dan elektronisch gedaan. BKR zal je verzoek niet behandelen, waarna je naar je rechter stapt.

    1. Ik vermoed dat die formulieren opgesteld zijn in de vorm van een contract, [X] verzoekt, tegen betaling van [Y] (vooraf per iDeal) een overzicht van zijn bij het BKR geregistreerde gegevens.

      Dan kom je moeilijk onder de betaling uit.

  11. Naar aanleiding van deze prachtige draad heb ik contact opgenomen met het BKR, zie hieronder de reactie:

    “De elektronische weg, kosteloos, conform de AVG

    Natuurlijk heeft BKR ook onderzocht of het recht op inzage op een digitale manier aangevraagd kan worden. De AVG laat gegevensverwerkers de keuze, maar stelt wel digitaal aanvragen is ook digitaal uitleveren en papier aanvragen is papier uitleveren. Nu verwerkt BKR meer gegevens dan alleen de kredietgegevens (zie voor alle registers en de rol die BKR vervult onze privacyverklaring). Voor kredietgegevens hebben wij sinds een aantal jaren de mogelijkheid om digitaal een aanvraag in te dienen en leveren wij ook digitaal uit. Voor andere gegevens kennen wij alleen een zakelijke klant, maar hebben wij geen digitale consumenten inzage voorzien. Deze hebben we binnen de AVG nu wel geregeld. Door alle, vanuit privacy en interne scheidingen van systemen, heeft BKR de keuze gemaakt een verzoek tot inzage op papier beschikbaar te stellen. Wij sluiten niet uit in de toekomst deze inzage alsnog te digitaliseren. Hiermee voldoen we aan de AVG wetgeving.”

    Ik hoor het graag als ik het fout heb, maar ik kan dit niet anders lezen dan een prachtig staaltje sofisterij dat voor onoplettende lezers de suggestie moet wekken dat er een technische reden is om de inzage slechts op papier beschikbaar te stellen. Dit terwijl er volgens mij gewoon staat dat deze er niet langer is.

    Naar aanleiding van sommige reacties hier: mochten jullie zelf contact willen opnemen met het BKR over dit soort vragen (inclusief inzage) wil ik jullie van harte uitnodigen het daarvoor beschikbaar gestelde e-mail adres te nuttigen: privacy@bkr.nl

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.