In één zin. Het inzagerecht uit AVG artikel 15 geeft elke betrokkene het recht om binnen één maand een gratis kopie van alle eigen persoonsgegevens te ontvangen plus zeven specifieke informatie-elementen — en de Autoriteit Persoonsgegevens straft organisaties die dit recht moeilijk maken, zoals blijkt uit de BKR-boete van 830 K EUR.
Belangrijkste punten
- Recht op kopie + 7 informatie-elementen (art. 15 lid 1-2).
- Termijn één maand, verlengbaar met twee.
- Eerste kopie gratis, redelijke vergoeding voor extra.
- BKR 830 K EUR (2020) voor obstakels bij inzage.
- Geldt voor alle persoonsgegevens — ook back-ups, logs, e-mails.
- Beperkingen: rechten van anderen, intellectueel eigendom.
1. Wettelijke grondslag
Artikel 15 AVG (EUR-Lex) geeft de betrokkene het recht uitsluitsel te krijgen of persoonsgegevens worden verwerkt, en zo ja, inzage in die gegevens plus aanvullende informatie. Vorm: schriftelijk of elektronisch. Termijnen geregeld in art. 12.
UAVG voegt geen aanvullende regels toe — directe werking AVG.
2. Wat moet u verstrekken
Art. 15 lid 1: informatie over:
- a) Doelen verwerking.
- b) Categorieën persoonsgegevens.
- c) Ontvangers of categorieën ontvangers (incl. derde landen).
- d) Indien mogelijk: bewaartermijn of criteria.
- e) Bestaan van rectificatie-, wissings-, beperkings- of bezwaarsrecht.
- f) Klachtrecht bij AP.
- g) Beschikbare informatie over herkomst gegevens indien niet bij betrokkene verzameld.
- h) Bestaan geautomatiseerde besluitvorming + logica.
Plus: doorgifte naar derde land + waarborgen.
Inzage is in de praktijk vaak de opmaat naar een verwijderingsverzoek — zie het recht op vergetelheid van artikel 17.
3. Kopie van gegevens (art. 15 lid 3)
Verantwoordelijke verstrekt kopie van de persoonsgegevens die worden verwerkt. Vorm:
- Elektronisch indien verzoek elektronisch (tenzij anders gevraagd).
- Begrijpelijke vorm.
- Bij voorkeur gestructureerd machineleesbaar formaat.
Niet de ruwe database — toegankelijke selectie van persoonsgegevens betreffende verzoeker.
4. Termijnen
| Fase | Termijn |
|---|---|
| Reactie op verzoek | 1 maand |
| Verlenging mogelijk | +2 maanden bij complexiteit |
| Notificatie verlenging | Binnen 1 maand met motivering |
| Identiteitsverificatie | Bij twijfel “redelijke termijn” extra |
Termijn start bij ontvangst verzoek (poststempel of e-mail-timestamp).
5. Kosten
Eerste kopie gratis (art. 15 lid 3). Aanvullende kopieën: redelijke vergoeding op basis administratieve kosten. Bij kennelijk ongegrond of buitensporig verzoek (bv. herhaaldelijk): redelijke vergoeding of weigering, bewijslast bij verantwoordelijke.
Geen verborgen kosten zoals identificatie via aangetekende post — BKR-zaak.
6. BKR-boete 830 K EUR (2020)
AP-boete voor:
- Betaalde inzage (eerste kopie moet gratis).
- Identificatie via persoonlijk bezoek of post-procedure.
- Geen online verzoek mogelijk.
- Lange afhandelduur.
Schending art. 12 (faciliteren rechten) en art. 15 (inzagerecht). BKR aangepast: gratis online inzage, eenvoudige identificatie. Belangrijke jurisprudentie — geldt voor elke organisatie die rechten “duur” of “moeilijk” maakt.
7. Wat valt onder “persoonsgegevens”
Ruim begrip: elke informatie over geïdentificeerde of identificeerbare persoon. Inclusief:
- Direct identificerend (naam, BSN, foto).
- Indirect identificerend (IP, cookie-ID, telefoonnummer).
- Afgeleide gegevens (profielen, scores, classificaties).
- Communicatie waarin persoon voorkomt (e-mails, chats, notulen).
- Back-ups en archiefkopieën.
- Logbestanden (toegang, gebruik).
Anonieme of geanonimiseerde gegevens vallen erbuiten.
8. Beperkingen op inzagerecht
Art. 15 lid 4 + EDPB Guidelines 01/2022 over inzagerecht:
- Rechten van anderen: geen openbaarmaking gegevens derden zonder hun toestemming (blacken of weglaten).
- Intellectueel eigendom: source code, algoritme-detail beschermbaar (uitkomsten/logica wel verstrekken).
- Bedrijfsgeheim: beperkt erkend, alleen voor zover noodzakelijk.
- Persoonlijke aantekeningen: vroeger uitzondering Wbp, niet meer in AVG.
- Lopend onderzoek: alleen bij specifieke wettelijke basis (UAVG art. 41 LE).
9. Inzage in interne notities en e-mails
Vraagstuk: vallen e-mails over de betrokkene onder inzagerecht? HvJ EU bevestigt: ja, indien zij persoonsgegevens betreffen. EDPB Guidelines 01/2022 nuanceren:
- E-mails over zakelijk onderwerp waar persoon in voorkomt: ja.
- Persoonlijke aantekeningen werknemer voor eigen geheugen: discussie, doorgaans beperkt onder accountability.
- Notulen vergadering: ja, voor zover persoon erin staat.
Praktisch: zoek in e-mailarchief op naam, filter relevante items, redigeer derden.
10. Geautomatiseerde besluitvorming (art. 15 lid 1 sub h)
Bij geautomatiseerde besluiten met rechtsgevolgen (art. 22) recht op:
- Bevestiging dat besluit geautomatiseerd is.
- Betekenisvolle informatie over onderliggende logica.
- Verwacht belang en gevolgen voor betrokkene.
“Logica” vereist géén complete source code. Wel: welke variabelen, gewichten in algemene zin, beslissingsregels. ING-boete 290 K EUR (2025) deels op gebrekkige uitleg.
11. Praktisch DSAR-proces
- Ontvangst verzoek (mailbox, formulier, brief).
- Identiteitsverificatie binnen 48 uur.
- Scope vaststellen (welke systemen, periode).
- Data extractie uit alle systemen + back-ups.
- Redactie derden en bedrijfsvertrouwelijk.
- Format keuze (PDF, JSON, ZIP).
- Beveiligde levering (versleutelde link, wachtwoord apart).
- Toelichting (informatie-elementen art. 15 lid 1).
- Documentatie in register.
- Audit op tijdigheid en kwaliteit.
12. Veelvoorkomende fouten bij DSAR-afhandeling
- Verzoeken niet centraal registreren — termijnen worden overschreden.
- Identificatie via aangetekende post eisen (BKR-fout, kostendrempel).
- Alleen CRM-export, niet back-ups en logs.
- Te weinig redactie van derden — secundaire datalek door inzageverzoek.
- Geen toelichting bij verstrekte gegevens (informatie-elementen ontbreken).
- E-mailarchieven negeren — HvJ EU vereist meenemen.
- Geautomatiseerde besluitvorming-uitleg te technisch of te oppervlakkig.
- Geen logging van verzoeken — accountability-tekort onder AVG Art. 5 beginselen.
13. CJEU rechtspraak art. 15
- C-487/21 (Österreichische Datenschutzbehörde, mei 2023): “kopie” betekent reproductie van persoonsgegevens, niet uittreksel.
- C-579/21 (Pankki S, juni 2023): bank moet logging van bankmedewerker-inzagen verstrekken.
- C-307/22 (FT, oktober 2023): medisch dossier-inzage zonder kosten, ook bij volgende kopieën als specifieke wettelijke regelingen dat vereisen.
- C-154/21 (RW, januari 2023): identiteit van concrete ontvangers verstrekken (niet alleen categorieën) tenzij onmogelijk.
Deze uitspraken verzwaren DSAR-praktijk: meer detail, meer transparantie over ontvangers, meer logging. Zie ook AP boetes 2025.
14. Sancties bij overtreding
Schending art. 15 valt onder art. 83 lid 5: tot 20 M EUR of 4% wereldwijde omzet. AP-boete BKR (830 K EUR, 2020) en Bouwinvest (525 K EUR, 2025) tonen aan dat AP DSAR-tekortkomingen serieus straft. De indeling van boetes staat in het overzicht van AVG-boetecategorieën: categorie III-IV afhankelijk van omvang.
FAQ
Hoe vraag ik inzage in mijn gegevens?
Schriftelijk of elektronisch verzoek aan verantwoordelijke. Geen verplichte vorm — e-mail met “Ik verzoek om inzage in mijn persoonsgegevens onder AVG art. 15” volstaat. Organisatie moet binnen één maand reageren.
Moet ik betalen voor inzage?
Nee, eerste kopie gratis (art. 15 lid 3). Aanvullende kopieën: redelijke vergoeding administratieve kosten. Geen verborgen kosten zoals dure identificatieprocedure (BKR-zaak).
Wat moet de organisatie verstrekken?
Kopie alle persoonsgegevens + zeven informatie-elementen (doel, categorieën, ontvangers, bewaartermijn, rechten, klachtrecht, herkomst, eventueel geautomatiseerde besluitvorming).
Mag organisatie mijn verzoek weigeren?
Alleen bij kennelijk ongegrond of buitensporig verzoek, bewijslast op organisatie. Bij beperkingen (rechten van anderen, intellectueel eigendom) moet wel motiveren én klachtrecht AP wijzen.
Hoe lang heeft een organisatie om te reageren?
Eén maand vanaf ontvangst verzoek. Verlengbaar met twee maanden bij complexiteit, mits binnen eerste maand motivering aan u gestuurd. Maximaal drie maanden totaal.
Krijg ik ook inzage in interne e-mails over mij?
Ja, indien e-mails uw persoonsgegevens bevatten. HvJ EU bevestigt dit; EDPB Guidelines 01/2022 nuanceren voor persoonlijke aantekeningen. Organisatie moet e-mailarchief doorzoeken op naam/e-mailadres, relevante items extraheren, derden redigeren. Pankki S-arrest (HvJ EU 2023) breidde dit uit naar logging van wie wanneer in uw dossier keek.
Welke ID-verificatie mag de organisatie vragen?
Alleen wat strikt noodzakelijk is om te voorkomen dat gegevens aan verkeerde persoon worden afgegeven. Voor bestaande account: inloggen volstaat. Voor nieuwe verzoeker: e-mailadres-verificatie of foto van ID met BSN onleesbaar. BKR-fout was juist het overvragen — niet aangetekende post of fysiek bezoek eisen.
Moet ik ook profielen en scores verstrekken?
Ja. Persoonsgegevens omvat ook afgeleide data: scores (BKR, fraudeprofiel), classificaties, persona-tags, lifetime value, propensity scores. Bij geautomatiseerde besluiten ook de logica (art. 15 lid 1 sub h). ING-boete 290 K EUR (2025) bevestigde dat oppervlakkige uitleg onvoldoende is — concrete inputvariabelen en gewichten in algemene zin moeten worden geduid. Zie ook Verwerkersovereenkomst template voor inzage in data bij verwerkers.
Zie ook: een klacht indienen bij de AP, software voor inzageverzoeken (DSAR) en een voorbeeldbrief voor een inzageverzoek.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial