Inzageverzoek ontvangen: zo handel je het stap voor stap af

Er staat een e-mail in je inbox. "Ik wil graag weten welke gegevens u van mij heeft." Eerste reflex: negeren. Dat is precies de verkeerde keuze. Dit is een inzageverzoek onder artikel 15 AVG, en je hebt een maand om te reageren. Goed nieuws: voor de meeste ZZP'ers is het een half uur werk.

Stappenplan: van inbox tot antwoord

Stap 1: registreer het verzoek (dag 1). Noteer de datum van ontvangst. Dat is het startpunt van je maand-termijn. Bewaar de e-mail, of leg het vast als het mondeling was. Stuur een ontvangstbevestiging: "Je verzoek is ontvangen, ik reageer binnen een maand."

Stap 2: verifieer de identiteit (dag 1-3). Je moet weten of de verzoeker is wie hij zegt te zijn. Maar proportioneel. Een bestaande klant die mailt vanaf een bekend e-mailadres? Dat is voldoende. Een onbekend persoon? Vraag om een bevestiging via een klantnummer of telefoonnummer dat je al hebt.

Wat je niet moet doen: een kopie paspoort eisen. De AP is hier scherp op. Mediabedrijf DPG kreeg een boete van de AP omdat ze standaard een kopie identiteitsbewijs vroegen bij inzageverzoeken. De Raad van State bevestigde de overtreding, al werd het bedrag verlaagd. De regel: gebruik de minst ingrijpende manier om de identiteit vast te stellen. Bij bestaande klanten is dat bijna altijd een bevestiging via een kanaal dat je al kent.

Stap 3: doorzoek al je systemen (week 1-2). Dit is waar het misgaat. Uit gecoördineerd onderzoek van Europese privacytoezichthouders blijkt dat zo'n 40% van de inzageverzoeken niet correct wordt afgehandeld. De hoofdoorzaak: ondernemers doorzoeken hun CRM of boekhoudpakket en vergeten de rest. Maar klantgegevens staan op meer plekken dan je denkt.

Waar staan gegevens van je klanten?

• E-mail (inbox en verzonden items)
• Boekhoudpakket (Moneybird, Exact Online)
• CRM of klantendatabase
• Cloudopslag (Google Drive, Dropbox, OneDrive)
• WhatsApp-gesprekken
• Telefooncontacten
• Nieuwsbrieflijst (Mailchimp, Brevo)
• Papieren dossiers en back-ups
• Website-formulieren en analytics

Heb je een verwerkingsregister? Dan heb je deze lijst al. Het register betaalt zich precies hier terug.

Stap 4: stel het antwoord samen (week 3). Maak een overzicht van alle persoonsgegevens die je verwerkt van deze persoon. Niet de originele documenten, maar de gegevens zelf: naam, adres, e-mailadres, factuurgegevens, projectnotities, correspondentie.

Artikel 15 lid 1 AVG vereist dat je daarnaast vermeldt:

• Waarvoor je de gegevens verwerkt (doeleinden)
• Welke categorieën gegevens het betreft
• Met wie je ze deelt (verwerkers, zoals je hostingpartij of boekhoudpakket)
• Hoe lang je ze bewaart (of de criteria daarvoor)
• Dat de betrokkene recht heeft op rectificatie, verwijdering en bezwaar
• Dat de betrokkene een klacht kan indienen bij de AP

Let op: gegevens van derden. Als een e-mail of dossier ook gegevens van andere personen bevat, anonimiseer die voordat je het verstrekt. Het inzagerecht geeft geen recht op andermans gegevens.

Stap 5: verstuur en archiveer (week 4). Per e-mail in een gangbaar formaat: PDF of gestructureerde e-mail. Bewaar een kopie van wat je hebt verstuurd en wanneer. Die documentatie heb je nodig als er ooit een klacht volgt.

Voorbeeldantwoord: hoe ziet die e-mail eruit

De meeste handleidingen vertellen je wat je moet doen, maar niet hoe het eruitziet. Hier is een concreet voorbeeld voor een freelance webdeveloper:

De AP biedt ook een voorbeeldoverzicht dat je als basis kunt gebruiken. Pas het aan voor je eigen situatie.

Weet je niet of je alle benodigde informatie op orde hebt? De Privacy Scan checkt in 2 minuten of je basis staat.

Twee scenario's die je herkent

De oud-klant die opruimt. Je bent grafisch ontwerper. Een klant van twee jaar geleden mailt: "Welke gegevens heb je nog van me?" Je zoekt in Moneybird (facturen), Gmail (correspondentie) en Google Drive (projectmap met logo-bestanden en briefing). Je stuurt het overzicht: factuurgegevens bewaar je tot 2032 vanwege de fiscale bewaarplicht, projectbestanden zijn verwijderd conform je bewaartermijnen. Klaar. Twintig minuten, inclusief zoeken.

De ontevreden klant die druk uitoefent. Midden in een conflict stuurt een klant een inzageverzoek. Het voelt als pressiemiddel. Maakt niet uit. Je behandelt het zakelijk en correct, binnen de termijn. Je documenteert alles. Het inzagerecht geldt ongeacht de motivatie van de verzoeker.

De persoon die je niet kent. Iemand mailt: "Ik wil weten welke gegevens u van mij heeft." Je herkent de naam niet. Dat kan twee dingen betekenen: je hebt geen gegevens, of je hebt ze wel maar weet het niet (denk aan een oud contactformulier of nieuwsbriefinschrijving). Doorzoek je systemen, en reageer. "Na onderzoek in onze systemen heb ik geen persoonsgegevens van u aangetroffen" is een geldig antwoord. Niet reageren is dat niet.

Interne notities: ook die vallen eronder

Een misverstand dat hardnekkig is: "Interne notities hoef ik niet te delen." Dat klopt niet. Nederlandse rechtspraak is hier duidelijk over. Als je interne notities of e-mails persoonsgegevens bevatten van de verzoeker, vallen ze onder het inzagerecht. De gemeente Castricum werd teruggefloten omdat ze interne stukken zonder wettelijke grond uitsloot.

De enige uitzondering: persoonlijke gedachten die niet bestemd waren voor opname in een dossier. Je kladnotities op een post-it tellen niet. Maar een e-mail aan een collega over een klant met naam en situatie? Wel.

Praktisch voor ZZP'ers: als je in een projectnotitie schrijft "klant X was lastig over de deadline", valt dat onder het inzagerecht als klant X een verzoek doet. Wees je daarvan bewust bij wat je vastlegt. De vuistregel: schrijf niets op over een klant dat je niet aan die klant zou willen laten zien.

Verlengen of weigeren

Bij complexe verzoeken mag je de termijn verlengen met maximaal 2 maanden (artikel 12 lid 3 AVG). Voorwaarde: je informeert de betrokkene binnen de eerste maand dat je meer tijd nodig hebt, en waarom. Voor de gemiddelde ZZP'er met 4 tot 8 systemen is de standaard maand ruim voldoende.

Wanneer is een verzoek complex genoeg om te verlengen? Als de persoon gegevens heeft in tientallen systemen. Als er veel correspondentie is die je moet doorlopen op derden-gegevens. Of als er juridische complicaties zijn, bijvoorbeeld rond gegevens die je van een derde partij hebt ontvangen. Communiceer de verlenging altijd schriftelijk, met de reden.

Weigeren mag alleen bij kennelijk ongegronde of buitensporige verzoeken (artikel 12 lid 5 AVG). De bewijslast ligt bij jou. Een eerste inzageverzoek is per definitie niet buitensporig. Een derde verzoek binnen een maand over dezelfde ongewijzigde gegevens: dat zou kunnen. Maar in de praktijk is weigeren bijna nooit verstandig. De kosten van een correct antwoord (maximaal een uur werk) zijn altijd lager dan de kosten van een AP-klacht.

De valkuilen die iedereen maakt

De eerlijke inschatting

Het inzagerecht is het meest gebruikte recht onder de AVG. Europese privacytoezichthouders, waaronder de AP, voeren sinds 2025 gecoördineerde controles uit op de naleving ervan. Vroeg of laat krijgt elke ondernemer met klanten er een. En het is makkelijker dan het klinkt.

De contra-intuïtieve les: het inzageverzoek is niet het probleem. Het is het symptoom. Het echte probleem is of je weet waar je klantgegevens staan. Wie zijn verwerkingsregister op orde heeft en zijn bewaartermijnen kent, beantwoordt een inzageverzoek in twintig minuten. Wie dat niet heeft, is een halve dag aan het zoeken in systemen waarvan hij niet eens wist dat er klantgegevens in stonden.

Het register betaalt zich terug op het moment dat het verzoek binnenkomt. Als je personeelsdossiers bijhoudt, geldt hetzelfde: structuur vooraf bespaart paniek achteraf.

En die paniek is nergens voor nodig. Een inzageverzoek is geen aanklacht. Het is een klant die vraagt wat je van hem weet. Je antwoord hoeft geen juridisch document te zijn. Een heldere e-mail met een overzicht, de bewaartermijnen en de rechten volstaat. Dat is het hele verhaal.