Welke software helpt bij het afhandelen van inzageverzoeken? Voor organisaties die regelmatig verzoeken van betrokkenen krijgen — inzage, verwijdering, rectificatie — wint een DSAR-tool het van handmatige afhandeling per e-mail, om drie redenen: hij bewaakt de wettelijke termijn van één maand (artikel 12 lid 3 AVG), zoekt geautomatiseerd door uw systemen naar de gegevens van de verzoeker, en regelt de identiteitscontrole zonder een kopie van het identiteitsbewijs te eisen — precies de fout waarvoor de Autoriteit Persoonsgegevens DPG Media in 2022 een boete van 525.000 euro oplegde. Deze gids vergelijkt de opties en de kosten.
Het risico van slordige afhandeling is concreet. Een gemiste termijn, gegevens van derden die per ongeschikt worden meegestuurd, of een onrechtmatige eis om een kopie-ID: elk daarvan is een zelfstandige overtreding die tot een klacht bij de AP kan leiden.
Kernpunten
- Inzageverzoeken moeten binnen één maand worden beantwoord (art. 12 lid 3 AVG), met een verlenging van twee maanden bij complexe verzoeken.
- U mag geen kopie van het identiteitsbewijs eisen enkel om de identiteit te controleren — DPG Media kreeg hiervoor 525.000 euro boete.
- Een DSAR-tool bewaakt de termijn, zoekt over systemen en houdt een audittrail bij.
- Bij meer dan enkele verzoeken per maand verdient software zich terug op bespaarde uren en verlaagd boeterisico.
Wat een inzageverzoek juridisch vereist
Het inzagerecht van betrokkenen (artikel 15 AVG) geeft iedereen het recht te weten of en hoe zijn gegevens worden verwerkt, en een kopie te ontvangen. De verwante rechten — verwijdering (art. 17), rectificatie (art. 16) en beperking (art. 18) — volgen dezelfde procedurele regels:
| Eis | Wat het inhoudt |
|---|---|
| Termijn | Eén maand, verlengbaar met twee maanden |
| Kosteloos | In beginsel gratis; alleen bij excessieve verzoeken een vergoeding |
| Identiteitscontrole | Proportioneel; geen kopie-ID enkel ter verificatie |
| Volledigheid | Alle gegevens, over alle systemen |
| Rechten van derden | Gegevens van anderen afschermen (art. 41 UAVG) |
Die laatste twee eisen maken handmatige afhandeling foutgevoelig: gegevens verspreid over CRM, mailboxen, back-ups en logbestanden zijn met de hand nauwelijks volledig te vinden zonder óók gegevens van derden mee te sturen.
De DPG Media-boete: de identiteitscheck als valkuil
De boete van 525.000 euro die de AP in 2022 aan DPG Media oplegde, draaide om precies dit punt. Het bedrijf eiste bij inzage- en verwijderverzoeken standaard een kopie van het identiteitsbewijs of het uploaden van een legitimatie. De AP oordeelde dat dit onnodig en onrechtmatig was: de identiteit kan doorgaans op minder ingrijpende wijze worden vastgesteld, bijvoorbeeld via het account waarmee de betrokkene al bekend is. Een kopie-ID eisen voegt een nieuwe, onnodige verwerking van gevoelige gegevens toe.
De les voor software: een goede DSAR-tool biedt een proportionele identiteitscontrole ingebouwd — verificatie via het bestaande account of een bevestigingslink, niet via een geüpload paspoort.
De boete staat bovendien niet op zichzelf. De AP publiceert richtsnoeren waarin ze herhaaldelijk waarschuwt tegen het routinematig opvragen van identiteitsbewijzen, en tegen het kopiëren van het BSN dat op zo’n document staat. De redenering is consistent met het beginsel van dataminimalisatie: een organisatie mag niet méér gegevens verzamelen dan nodig is om het verzoek te behandelen. Wie de identiteit van een verzoeker al kent — omdat die een account heeft, klant is of eerder correspondentie voerde — heeft geen paspoortkopie nodig. Alleen bij gerede twijfel over de identiteit mag een organisatie aanvullende verificatie vragen, en dan nog moet die zo licht mogelijk zijn. Software die dit verkeerd inricht, verandert elk inzageverzoek in een tweede overtreding: eerst de onnodige verzameling van een identiteitsbewijs, dan de opslag ervan zonder grondslag.
Handmatig versus geautomatiseerd afhandelen
Reken mee voor een organisatie die 3 tot 8 verzoeken per maand ontvangt:
| Taak per verzoek | Handmatig | Met tool |
|---|---|---|
| Registratie en identiteitscheck | 30 - 60 min | Geautomatiseerd |
| Zoeken over systemen | 2 - 6 uur | Minuten tot uren |
| Gegevens van derden afschermen | 1 - 3 uur | Ondersteund |
| Termijnbewaking | Handmatig, foutgevoelig | Automatische klok |
| Antwoord opstellen | 1 - 2 uur | Template + audittrail |
Bij vijf verzoeken per maand loopt handmatige afhandeling snel op tot 25 tot 50 uur per maand — een substantiële verborgen kostenpost, nog los van het risico op een gemiste termijn. Zet die uren af tegen een abonnement en de rekening kantelt snel: waar handmatige afhandeling elke maand terugkomt, is de tool een vaste jaarpost die met het aantal verzoeken meeschaalt zonder evenredig meer werk. En anders dan de uren is één gemiste termijn of onrechtmatige identiteitseis niet in tijd uit te drukken, maar in een klacht en een mogelijke boete.
Het zwaarste werk zit in de volledigheid. Een betrokkene heeft recht op alle gegevens die u over hem verwerkt, en die zitten zelden op één plek: een e-mailadres in het CRM, gespreksnotities in de mailbox, een IP-adres in serverlogs, een klantnummer in het facturatiesysteem, misschien een opname bij de klantenservice. Handmatig betekent dit dat iemand elk systeem apart moet doorzoeken, de resultaten moet samenvoegen en vervolgens de gegevens van andere personen eruit moet redigeren voordat het pakket de deur uit gaat. Elke gemiste bron is een onvolledig antwoord — grond voor een klacht. Elke niet-afgeschermde regel over een derde is een datalek. Een DSAR-tool met datadiscovery over de kernsystemen verkleint beide risico’s tegelijk, doordat de zoekactie reproduceerbaar en gedocumenteerd verloopt in plaats van afhankelijk te zijn van wie het verzoek toevallig behandelt.
De markt in 2026
Legiscope — EU-platform dat verzoeken van betrokkenen registreert, de termijn bewaakt met een klok en de afhandeling koppelt aan het verwerkingsregister, zodat u weet in welke verwerkingen de gegevens van de verzoeker zitten. Nederlandstalig, EU-hosting.
OneTrust — de enterprise-referentie met een volwassen DSAR-module inclusief geautomatiseerde datadiscovery over veel bronsystemen. Krachtig maar duur en complex; onder de 1.000 medewerkers overgedimensioneerd.
PrivacyPerfect — Nederlandse aanbieder met een degelijke rechtenmodule en NL-support. Solide, minder geautomatiseerde discovery.
Gespecialiseerde DSAR-tools — er zijn niche-aanbieders die uitsluitend verzoeken automatiseren, met sterke datadiscovery. Toets of ze koppelen aan uw register en of ze Nederlandstalig zijn.
Een bredere afweging vindt u in onze AVG compliance software vergelijking en de ranglijst van beste AVG-software.
Bij de keuze speelt een afweging die vaak wordt overgeslagen: de mate van integratie met uw eigen systemen. Een gespecialiseerde DSAR-tool die krachtige datadiscovery belooft, levert die belofte alleen in als hij daadwerkelijk koppelt met uw CRM, mailomgeving en kernapplicaties. Zonder die koppelingen valt u terug op handmatig zoeken, en dan betaalt u voor automatisering die u niet krijgt. Toets in de demo dus met welke van úw systemen de tool integreert, en hoeveel configuratie dat vergt. Voor veel mkb-organisaties weegt een iets minder geavanceerde discovery die wél naadloos op de bestaande systemen aansluit, zwaarder dan een geavanceerde tool die maandenlang moet worden ingeregeld. De juiste tool is de tool die in úw landschap werkt, niet de tool met het langste functieoverzicht.
Waarop u een DSAR-tool beoordeelt
- Termijnbewaking met klok. De maand-termijn moet automatisch lopen, met tijdige waarschuwingen en een gedocumenteerde verlenging.
- Datadiscovery over systemen. Kan de tool zoeken in uw kernsystemen, of moet u nog steeds elk systeem handmatig doorzoeken?
- Proportionele identiteitscheck. Verificatie zonder kopie-ID, om de DPG Media-fout te vermijden.
- Afscherming van derden. Ondersteuning bij het redigeren van gegevens van anderen.
- Audittrail. Volledige registratie van wat wanneer aan wie is verstrekt — uw bewijs richting de AP.
Veelgestelde vragen
Mag ik een kopie van het identiteitsbewijs vragen bij een inzageverzoek?
In beginsel niet, enkel ter identiteitscontrole. De AP beboette DPG Media in 2022 met 525.000 euro voor deze praktijk. Verifieer de identiteit proportioneel — via het bestaande account of een bevestigingslink — en vraag alleen aanvullende gegevens als er gerede twijfel is, waarbij het BSN op de kopie altijd moet worden afgeschermd.
Binnen welke termijn moet ik een inzageverzoek beantwoorden?
Binnen één maand na ontvangst (art. 12 lid 3 AVG). Bij complexe of talrijke verzoeken mag u met twee maanden verlengen, mits u de betrokkene binnen de eerste maand informeert over de verlenging en de reden. De termijn bewaken is precies waar handmatige afhandeling misgaat.
Verdient DSAR-software zich terug?
Bij enkele verzoeken per maand doorgaans wel. Handmatige afhandeling kost al snel 4 tot 12 uur per verzoek voor zoeken, afschermen en beantwoorden. Software verlaagt dat en — belangrijker — voorkomt de gemiste termijn of de onrechtmatige identiteitseis die tot een klacht en boete leiden.
Moet de software aan mijn verwerkingsregister koppelen?
Sterk aan te raden. Om een verzoek volledig te beantwoorden moet u weten in welke verwerkingen en systemen de gegevens van de betrokkene zitten. Een tool die de DSAR-afhandeling koppelt aan het verwerkingsregister, maakt die volledigheid aantoonbaar.
Conclusie
Inzageverzoeken software wint van handmatige afhandeling zodra u meer dan een enkel verzoek per maand krijgt: de tool bewaakt de maand-termijn, doorzoekt uw systemen en houdt een audittrail bij die standhoudt bij de AP. De belangrijkste functie is de proportionele identiteitscontrole — verificatie zonder kopie-ID, om de fout van 525.000 euro te vermijden die DPG Media maakte. Voor het Nederlandse mkb koppelt een EU-platform als Legiscope de afhandeling aan het verwerkingsregister, zodat volledigheid en termijn beide geborgd zijn. Test in de demo hoe snel een verzoek van registratie tot volledig, gedocumenteerd antwoord loopt, en of de identiteitscontrole werkelijk zonder kopie-ID werkt.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo