Eén klacht is genoeg. Hoe inzageverzoeken je volledige GDPR-compliance kunnen blootleggen (Sirius.Legal)

Een individuele klacht wordt al snel een volledige bedrijfsinspectie…

De beslissing van de Geschillenkamer van 5 juni 2025 is hiervan een bijzonder duidelijk voorbeeld. Het dossier startte met een klacht over de verwerking van persoonsgegevens in het kader van een foutieve schuldinvordering en een daaropvolgend verzoek tot gegevenswissing. Op het eerste gezicht ging het om een beperkt, feitelijk afgelijnd probleem tussen een betrokkene en een verwerkingsverantwoordelijke.

In de loop van het onderzoek beperkte de Inspectiedienst zich echter niet tot die ene verwerking. Ook de privacyverklaring, het register van verwerkingsactiviteiten en de organisatorische invulling van gegevensbescherming binnen de betrokken ondernemingen werden onderzocht. De Geschillenkamer bevestigt daarbij expliciet dat de onderzoeksbevoegdheden van de GBA zich niet hoeven te beperken tot de inhoud van de klacht, maar net dienen om de naleving van de GDPR in haar geheel te beoordelen.

Dat standpunt sluit aan bij eerdere rechtspraak van het Marktenhof, waarin wordt benadrukt dat ondernemingen er rekening mee moeten houden dat één incident aanleiding kan geven tot een integrale inspectie van hun gegevensbeschermingspraktijken. Wie een klacht benadert als een geïsoleerd probleem, miskent fundamenteel hoe de GBA haar rol vandaag invult.

Waarom klachten zo vaak ontstaan uit inzageverzoeken of DSAR’s

In de praktijk zien we dat klachten bij de GBA zelden voortkomen uit uitzonderlijke of technisch complexe verwerkingen. Ze ontstaan meestal uit frustratie over de manier waarop organisaties omgaan met de rechten van betrokkenen. Inzageverzoeken die te laat worden beantwoord, antwoorden die onvolledig blijven of verzoeken tot wissing die intern blijven hangen zonder duidelijke opvolging vormen klassieke aanleidingen voor klachten.

Daarbij gaat het niet alleen om klanten of prospects. Ook personeelsleden en ex-werknemers nemen steeds vaker hun toevlucht tot de GBA, net omdat zij goed weten welke gegevens een organisatie bijhoudt en hoe interne processen lopen. Een inzageverzoek dat intern niet correct wordt opgevolgd, kan in dat geval bijzonder snel escaleren naar een formele procedure.

Een uitgeschreven DSAR-procedure volstaat dan niet. De GBA kijkt niet naar intenties of goede wil, maar naar de concrete werking in de praktijk.

DSAR-processen die alleen op papier bestaan, houden geen stand

Bij inspecties focust de GBA in toenemende mate op aantoonbaarheid. Worden verzoeken systematisch geregistreerd en opgevolgd? Zijn verantwoordelijkheden duidelijk toegewezen en gekend binnen de organisatie? Is het helder waar persoonsgegevens zich bevinden en hoe ze binnen de wettelijke termijnen kunnen worden verzameld en meegedeeld? En kan gegevenswissing technisch en organisatorisch ook effectief worden uitgevoerd?

In beslissing 91/2025 speelt precies dat element een cruciale rol. Een onvolledig register van verwerkingsactiviteiten leidt tot een afzonderlijke vaststelling van een inbreuk, los van de oorspronkelijke klacht. Het argument dat men werkte met een bestaand model of te goeder trouw handelde, wordt uitdrukkelijk verworpen. De verantwoordelijkheid om te voldoen aan de GDPR en dat ook te kunnen aantonen, rust onverkort bij de organisatie zelf.

Ook datalekken blijven een structurele trigger voor controles

Naast DSAR’s vormen datalekken een tweede belangrijke toegangspoort tot inspecties door de GBA. Niet zozeer het incident op zich, maar wel de manier waarop een organisatie daarmee omgaat, bepaalt vaak het verdere verloop. Onduidelijke meldpunten, incidenten die intern blijven circuleren zonder registratie, of laattijdige en defensieve meldingen aan de GBA verhogen de kans op een bredere controle aanzienlijk.

Ook hier geldt dat procedures alleen waarde hebben als ze in de praktijk functioneren. Personeel moet weten waar het een incident meldt, incident response-processen moeten effectief worden toegepast en incidentregisters moeten correct en actueel worden bijgehouden. Organisaties die tijdig, transparant en goed gedocumenteerd handelen, beperken doorgaans de impact van een incident. Wie dat niet doet, vergroot onnodig het risico op escalatie.

Wanneer de GBA controleert, primeert documentatie

Wanneer een organisatie effectief met een inspectie of procedure wordt geconfronteerd, verschuift de aandacht vrijwel volledig naar wat zij kan voorleggen. Registers van verwerkingsactiviteiten moeten actueel zijn en onmiddellijk beschikbaar. Verwerkersovereenkomsten moeten inhoudelijk correct zijn en effectief worden toegepast. Interne processen moeten niet alleen bestaan, maar ook aantoonbaar worden nageleefd.

Ook de rol van de DPO krijgt daarbij steeds meer gewicht. Geschreven adviezen, verslagen van overlegmomenten, jaarverslagen en een duidelijke afbakening van taken zijn geen formaliteiten, maar essentiële elementen om te tonen dat gegevensbescherming structureel is ingebed in de organisatie. De recente beslissing illustreert bovendien dat de GBA ook buiten de oorspronkelijke klacht aandacht heeft voor de positionering en onafhankelijkheid van de DPO.

Wat betekent dit concreet voor jouw organisatie?

Wie inspecties en sancties wil vermijden, doet er goed aan verder te kijken dan juridische teksten en policies. Inzageverzoeken en datalekken zijn terugkerende operationele risico’s die een organisatie perfect onder controle kan houden, op voorwaarde dat processen niet alleen zijn uitgeschreven, maar ook effectief worden toegepast en opgevolgd in de praktijk. Concreet betekent dit onder meer het volgende:

• Zorg voor een duidelijk en werkbaar DSAR-proces dat niet alleen bestaat op papier, maar ook effectief wordt nageleefd, met vaste interne meldpunten, duidelijke verantwoordelijkheden en actieve opvolging van termijnen.
• Weet waar persoonsgegevens zich bevinden binnen de organisatie en bij externe verwerkers, zodat inzage, rechtzetting en wissing niet afhangen van ad-hocopzoekingen op het moment dat een verzoek binnenkomt.
• Hou je registers van verwerkingsactiviteiten en je DSAR- en incidentregisters voortdurend up-to-date, en niet pas wanneer de Inspectiedienst er expliciet naar vraagt.
• Investeer in een goed datalekproces met gekende meldpunten voor personeel, een duidelijke incident response-aanpak en een consequente documentatie van elk incident, ook wanneer het uiteindelijk niet meldingsplichtig blijkt.
• Zorg ervoor dat de rol en werking van de DPO aantoonbaar zijn, met geschreven adviezen, verslagen van overlegmomenten en een duidelijke afbakening van taken en verantwoordelijkheden.
• Voorzie gepaste professionele ondersteuning bij je GDPR-compliancetraject, hetzij intern via een DPO of jurist, hetzij extern, zodat processen niet alleen juridisch correct zijn, maar ook praktisch werkbaar blijven en consistent worden toegepast.

Organisaties die deze basis op orde hebben, staan niet alleen sterker bij een inspectie, maar vermijden vaak al dat klachten of incidenten überhaupt escaleren tot een formeel GBA-dossier.