Facebook Instagram Linkedin X-twitter
Bestill time
IT-lov

Rett til innsyn i henhold til GDPR: Hva artikkel 15 AVG dekker

  • Home
  • Blogg
  • Rett til innsyn i henhold til GDPR: Hva artikkel 15 AVG dekker
Tilbake til alle artikler

Artikkel 15 i personvernforordningen – nedfelt i nederlandsk lov gjennom Algemene Verordening Gegevensbescherming (AVG) – gir enhver person en utvetydig rett til å finne ut om en organisasjon behandler deres personopplysninger, få en kopi og se konteksten, for eksempel formål, mottakere og oppbevaringsperioder. Denne retten er ryggraden i åpenhet og ansvarlighet: den lar enkeltpersoner sjekke hva som lagres om dem og tvinger selskaper til å holde datapraksisen sin ren, dokumentert og forsvarlig.

Enten du ber om din egen HR-fil eller forbereder deg på å svare på en kundes forespørsel om innsyn, reduserer det å kjenne det nøyaktige omfanget og grensene i artikkel 15 risikoen for bøter, tvister og omdømmeskade. På de følgende sidene oversetter vi den juridiske teksten til lettfattelig engelsk, veileder de registrerte gjennom en trinnvis forespørselsmal, veileder behandlingsansvarlige om tidsfrister, gebyrer og redigeringsplikter, flagger de nederlandskspesifikke reglene som Autoriteit Persoonsgegevens håndhever, og avslutter med praktiske sjekklister for begge sider.

Dekoding av artikkel 15 AVG i vanlig engelsk

«Den registrerte har rett til å få bekreftelse fra den behandlingsansvarlige på hvorvidt personopplysninger om ham eller henne behandles, og i så fall, tilgang til personopplysningene ...» – Artikkel 15(1) GDPR

Enkelt sagt: du kan spørre hvilken som helst organisasjon «Lagrer dere data om meg? Hvis ja, vis meg hva, hvorfor, med hvem dere deler dem og hvor lenge dere oppbevarer dem.» Det er kjernen i retten til innsyn i henhold til GDPR; omfanget av artikkel 15 i AVG i Nederland er identisk fordi den nederlandske Uitvoeringswet AVG bare lokaliserer håndhevingen uten å endre innholdet.

Når du sender inn en forespørsel, har du rett til åtte konkrete punkter:

  1. Bekreftelse av behandling
  2. En kopi av personopplysningene
  3. Behandlingsformålene
  4. Datakategorier involvert
  5. Mottakere eller mottakerkategorier
  6. Planlagt lagringsperiode eller kriteriene for å bestemme den
  7. Andre GDPR-rettigheter du kan utøve
  8. Sikkerhetsforanstaltninger for overføringer utenfor EØS

Retten er personlig – bare den registrerte (eller en gyldig representant) kan påberope seg den – og den er absolutte når det gjelder mottak av dine egne data. Behandlingsansvarlige kan imidlertid begrense eller nekte tilgang når andre grunnleggende rettigheter (forretningshemmeligheter, tredjeparters personvern) ville bli skadet.

Juridisk tekst kontra lekmannsvilkår

Artikkel 15-klausulen Hva det egentlig betyr
15 (1) bekreftelse Spør «ja/nei» hvis de behandler dataene dine.
15 (1) adgang Få de faktiske dataene pluss kontekst.
15 (1) (c) mottakere Finn ut hvem som ser eller mottar dataene, innenfor eller utenfor firmaet.
15 (2) overføringer fra tredjeland Finn ut om data sendt utenfor EØS og beskyttelsen som brukes.
15 (3) kopiere Motta informasjonen i et gjenbrukbart digitalt format, helt kostnadsfritt.

Viktige takeaways på et øyeblikk

  • Hvor lang tid kan det ta for en kontroller? En måned, kan utvides til tre for komplekse tilfeller.
  • Kan de ta meg betalt? Nei, med mindre forespørselen er «åpenbart grunnløs eller overdreven».
  • I hvilket format vil jeg motta dataene? Sikker elektronisk fil (f.eks. PDF eller CSV) med mindre du ber om noe annet.
  • Må jeg bruke et spesielt skjema? Nei; e-post, brev eller til og med en telefonsamtale teller.
  • Hva om de ikke har noe på meg? De må si det skriftlig innen samme frist.

Hvem kan utøve retten, og mot hvem?

I henhold til artikkel 4(1) i GDPR den registrerte er enhver levende, identifiserbar fysisk person – enten det er kunde, ansatt, pasient eller mindreårig elev. Hver av dem kan påberope seg retten til innsyn i henhold til GDPR: omfanget av artikkel 15 i AVG diskriminerer ikke etter alder, nasjonalitet eller bosted. Forespørsler må rettes til controllerpartiet som bestemmer hvorfor og hvordan dataene behandles. En skyleverandør eller et lønnsbyrå som bare lagrer dataene er en prosessor; den må sende forespørselen til kontrolleren, men kan ikke nekte direkte instruksjon.

Nederlandske innbyggere kan også rette forespørselen sin mot et utenlandsk selskap som retter seg mot det nederlandske markedet (f.eks. et irskbasert sosialt nettverk). Enmånedsklokken starter i det øyeblikket den behandlingsansvarlige mottar forespørselen, uavhengig av hvor serverne befinner seg.

Spesielle situasjoner: Representanter, avdøde personer, foreldre og foresatte

  • Mindreårige og umyndige voksne: en forelder, verge eller kurator kan handle på deres vegne i henhold til bok 1 i den nederlandske sivilloven.
  • Skoler og arbeidsgivereelever og ansatte seg kan sende inn en forespørsel om innsyn i personopplysninger (SAR); representanter er valgfrie, ikke påkrevde.
  • Avdøde personer faller utenfor GDPR, men leger, notarer og forsikringsselskaper må fortsatt overholde regler om taushetsplikt før de utleverer relaterte filer.

Felles ansvar for behandlingsansvarlige i delte systemer

Når to eller flere organisasjoner fellesskap bestemme formålene eller midlene for behandlingen (artikkel 26 i GDPR) – for eksempel en arbeidsgiver og dennes leverandør av HR-programvare – de er felles kontrollørerDe må bli enige om hvem som svarer på forespørsler i henhold til artikkel 15, og informere den registrerte, men hver av dem forblir ansvarlige dersom den andre mister kontrollen.

Hva som må opplyses: Data og tilleggsinformasjon

Når du påberoper deg retten til innsyn i henhold til GDPR, forplikter virkeområdet til artikkel 15 i AVG den behandlingsansvarlige til å utlevere to ting: faktiske personopplysninger og en pakke med kontekstuelle detaljerTenk på det som å motta både bildet og bildeteksten. Lovgivningen deler opplysningsplikten inn i åtte kategorier, som er listet opp nedenfor.

Art. 15(1) punkt Hva du bør motta
(a) Bekreftelse En klar Ja Nei om dataene dine blir behandlet
(b) Formål Årsakene til at dataene finnes (f.eks. lønn, markedsføring)
(c) Kategorier Typer som kontaktinformasjon, kjøpshistorikk, GPS-logger
(d) Mottakere Interne team og eksterne partnere eller databehandlere
(e) Oppbevaring Nøyaktig periode eller kriterier (f.eks. «7 år for skattelovgivning»)
(f) Rettigheter Påminnelse om at du kan rette, slette, begrense, protestere, klage
(g) Kilde Hvor dataene kom fra hvis de ikke er samlet inn fra deg
(h) Overføringer Sikkerhetstiltak for enhver forsendelse utenfor EØS

Personopplysninger er mer enn navn og nummer. Det dekker atferdsprofiler, antatte kredittscore, CCTV-opptak, stemmeopptak, enhets-ID-er og til og med tilsynelatende kjedelige metadata som tidsstempler for pålogging – alt som kan knyttes, direkte eller indirekte, til en identifiserbar person.

Forklaring av «kopi av personopplysningene»

A kopiere betyr en forståelig reproduksjon, ikke den originale papirfilen. Forvent:

  • En PDF-fil av lønnsoversikten din
  • CSV-eksport av CRM-notater
  • ZIP med lydfiler fra støttesamtaler
    Hvis du sendte forespørselen via e-post, bør standardleveringen også være elektronisk og i et «vanlig brukt» format, med mindre du ber om papir.

Personopplysninger kontra dokumenter: Hvor skal man trekke grensen

Kontrollører må bare trekke ut utdrag som er relevante for deg. For eksempel, i et møtenotat som inneholder flere ansatte, kan dine talte bemerkninger bli offentliggjort, mens kollegers kommentarer redigeres. Omvendt, en signert arbeidskontrakt er opplyst i sin helhet fordi hver klausul angår deg.

Obligatorisk tilleggsinformasjon

Utover datakopien må den behandlingsansvarlige forklare: formål, kategorier, mottakere, oppbevaring, tilgjengelige rettigheter, datakilder, logikk bak automatiserte beslutninger (hvis noen) og overføringsgarantier. Vær oppmerksom på vage svar – «for forretningsformål» eller «lagres så lenge som nødvendig» vil sannsynligvis ikke tilfredsstille Autoriteit Persoonsgegevens. Omfattende, lettfattelige forklaringer er det beste vernet mot klager og bøter.

Slik sender du inn og håndterer en forespørsel om innsyn i personopplysninger i Nederland

En forespørsel om innsyn kan fremsettes på hvilken som helst måte den registrerte ønsker – per telefon, emalje, brev, direktemelding på sosiale medier eller til og med en chatbot. Artikkel 12 i GDPR forbyr behandlingsansvarlige å kreve et spesifikt skjema, så «Jeg ønsker en kopi av alle personopplysninger dere har om meg» er nok til å starte klokken. Beste praksis er imidlertid å sende inn en skriftlig oversikt slik at begge sider kan spore frister. Når forespørselen er mottatt, må den behandlingsansvarlige umiddelbart (1) bekrefte mottakelsen og (2) legge inn journalen i journalen. en måned svartid. Taushet eller forsinkelse etter den første måneden risikerer en klage til Autoriteit Persoonsgegevens (AP) og potensielle bøter.

Nedenfor finner du en kortfattet, tospråklig mal som datasubjekter kan kopiere og lime inn; ingen juridisk sjargong kreves.

Subject: Subject Access Request – Article 15 GDPR/AVG

Dear [Controller],

I hereby request, under Article 15 GDPR/AVG, confirmation of whether you process my personal data. 
If so, please provide a copy and the supplementary information listed in Article 15(1)(a-h).

Kind regards,
[Name] | [Email] | [Any reference number]

---

Onderwerp: Verzoek om inzage – Artikel 15 AVG/GDPR

Geachte [Verwerkingsverantwoordelijke],

Ik verzoek u op grond van artikel 15 AVG om bevestiging of u mijn persoonsgegevens verwerkt. 
Indien dit het geval is, ontvang ik graag een kopie en de aanvullende informatie zoals genoemd in artikel 15 lid 1 onder a-h.

Met vriendelijke groet,
[Naam] | [E-mail] | [Eventuele referentie]

Kontrollører bør opprette en enkel inntaksarbeidsflyt—[e-postbeskyttet] postkasse, billettnummer, automatisk bekreftelse – for å bevise samsvar senere.

Identitetsverifisering uten overinnsamling

Den behandlingsansvarlige må være «rimelig» når det gjelder å sjekke hvem som spør uten å innhente mer data enn nødvendig. AP anbefaler:

  • Samsvarer forespørselsdetaljer med eksisterende kontodata (brukernavn, klient-ID) der det er mulig.
  • Hvis ekstra bevis er uunngåelig, be om et redigert pass eller skanning av førerkort med BSN, bilde og MRZ mørklagt.
  • Ta aldri vare på kopier lenger enn nødvendig for verifisering; loggfør kontrollen, og slett deretter filen.

Logging og journalføring for ansvarlighet

En enkel SAR-logg holder regulatorer – og din personvernrådgiver – fornøyde. Registrer:

  1. Mottatt dato og kanal (e-post, samtale osv.)
  2. Tiltak for identitetsverifisering er tatt
  3. Omfanget av dataene som er lokalisert
  4. Interne team involvert
  5. Dato og svarmetode + eventuelle påståtte forlengelser
  6. Sammendrag av informasjon gitt eller begrunnelse for avslag

Å føre dette registeret støtter «ansvarlighetsprinsippet» i artikkel 5 og gir et ferdig revisjonsspor hvis AP-en banker på døren din.

Kontrollørers tidslinjer, gebyrer og leveringsformater

Når klokken starter, har kontrollørene en måned for å svare på en forespørsel om innsyn. De kan forlenges én gang med opptil to ekstra måneder, men bare for komplekse eller mange forespørsler og De må forklare forsinkelsen innen den første måneden. Hvis ingen personopplysninger lagres, må den behandlingsansvarlige likevel svare innen samme frist og si det eksplisitt.

Artikkel 12(5) fastsetter en regel om null gebyr: tilgang er gratis. Et gebyr er bare tillatt når en forespørsel er «åpenbart grunnløs eller overdreven»– tenk på en ansatt som ber om identiske kopier hver uke, eller en spammer som ber om data om hundrevis av falske profiler.

Leveringen må være i et sikkert format som er «vanlig brukt». En rask sammenligning:

dannet Pros Ulemper
Kryptert PDF Lesbar; enkel redigering Mulige svake passord
CSV-eksport Maskinlesbar; liten størrelse Vanskeligere for lekfolk
Sikker portal 2FA og revisjonsspor Kostbart å vedlikeholde

Uansett hvilken rute som velges, bør kontrollører respektere rimelige preferanser og unngå proprietær innelåsing.

Sikker overføring og dataminimering

Send aldri ubeskyttede regneark via e-post. Bruk passordbeskyttede filer (del nøkkelen separat), HTTPS-portaler med tofaktorautentisering eller rekommandert post for papirpakker. Før overføring, skrubb tredjepartsdata med redigeringsprogramvare og fjern overflødige felt. Dette oppfyller minimeringskravene i artikkel 5(1)(c) samtidig som det beskytter kolleger, forretningshemmeligheter og tilskuere.

Legitim grunn til å begrense eller nekte tilgang

Artikkel 15 er kraftfull, men ikke ubegrenset. Paragraf 4 og betraktning 63 gjør det klart at en behandlingsansvarlig kan begrense eller til og med nekte utlevering når utlevering av informasjonen ville kollidere med andre grunnleggende rettigheter eller være åpenbart urimelig. Bevisbyrden ligger hos den behandlingsansvarlige: du må dokument hvorfor full tilgang ville undergrave disse konkurrerende interessene, og hvordan du dempet virkningen (f.eks. delvis redigering).

Beskyttelse av tredjeparters personvern

Å avsløre en e-postkjede som også navngir kolleger eller kunder kan avsløre deres personopplysninger. Nederlandsk rettspraksis (Rb. Midden-Nederland, ECLI:NL:RBMNE:2023:1204) bekrefter at behandlingsansvarlige kan blanke ut eller oppsummere tredjepartsidentifikatorer, forutsatt at den som ber om informasjonen fortsatt forstår konteksten. Teknikker:

  • Svarte linjenavn og telefonnumre
  • Erstatt med nøytrale begreper («en annen ansatt»)
  • Lever utdrag i stedet for hele filen

Forretningshemmeligheter, immaterielle rettigheter og opphavsrett

Bedrifter trenger ikke å åpne sin algoritmiske kimono. Hvis avsløring av kildekode, prisformler eller opphavsrettsbeskyttet materiale ville avsløre konfidensiell kunnskap, tillater artikkel 15(4) en kalibrert respons. Typisk løsning: beskriv logikken bak en automatisert beslutning på vanlig språk, ikke hele koden; gi utdrag av en kontraktsplan, ikke den proprietære malen. Forklar alltid hvorfor dypere avsløring ville skade kommersielle interesser.

Forebygging av misbruk av rettigheter

En forespørsel er åpenbart grunnløs eller overdreven når det er repeterende, trakasserende eller bevisst byrdefullt – tenk ukentlige kopier-og-lim inn SAR-er etter at alle data allerede er levert. Behandlingsansvarlige kan da:

  1. Kreve et «rimelig gebyr» som gjenspeiler administrative kostnader, or
  2. Nekter å handle i det hele tatt.
    Uansett må du begrunne standpunktet skriftlig og informere den registrerte om deres rett til å klage til Autoriteit Persoonsgegevens.

Søknad om erstatning: Klager og rettstvister i Nederland

Når en behandlingsansvarlig bommer, har registrerte raske, eskalerende alternativer for å håndheve retten til innsyn i henhold til GDPR (omfanget av artikkel 15 i AVG).

  1. Intern dytt. Send en datert påminnelse med henvisning til artikkel 15 og den utløpte fristen; de fleste organisasjoner overholder kravene når de blir bedt om det.
  2. Autoriteit Persoonsgegevens klage. Søk på nett. AP kan beordre innsyn, ilegge daglige bøter eller ilegge administrative bøter. Enkle saker avsluttes ofte innen tre måneder.
  3. Sivilrettslig søksmål. I henhold til artikkel 82 i GDPR Nederlandske domstoler kan gi forføyninger og tilkjenne erstatning. Nylige avgjørelser har gitt 250–2500 euro i erstatning for tvangsfullbyrdelse, med hurtigbehandling kort geding Avlastning tilgjengelig for presserende ansettelseskrangeringer.

Grenseoverskridende samarbeid og ett-steds-system

En nederlandsk innbygger kan fortsatt klage til AP selv om den behandlingsansvarliges EU-hovedkvarter ligger et annet sted. AP videresender filen via GDPR. One-stop shop, og European Data Protection Board kan bryte enhver regulatorisk fastlåst situasjon – så geografi er ingen hindring for å få tak i dataene dine.

Samsvarsplan for organisasjoner

En ryddig SAR-prosess starter lenge før den første forespørselen kommer. Bygg disse viktige elementene, og 90 % av tilgangsproblemene forsvinner:

  • Publiser en kort, lettfattelig SAR-policy og informer personalet om den.
  • Hold registrene dine over behandlingsaktiviteter (RoPA) oppdatert – slik at du vet hvor dataene befinner seg.
  • Kartoppbevaringsperioder og slettingsutløsere; foreldede data er data du aldri trenger å utlevere.
  • Oppretthold en trinnvis arbeidsflyt for redigering med gjennomgang med dobbel kontroll.
  • Loggfør alle forespørsler, avgjørelser og frister for artikkel 5 ansvarlighet.
  • Kjør årlige bordøvelser for å teste hastighet, klarhet og kommandokjede.

Lær opp resepsjonen, HR og IT i å oppdage og prioritere muntlige forespørsler; én ubesvart telefonsamtale kan starte straffeklokken.

Automatisering og verktøy

Bruk programvare for dataoppdagelse, API-er for ID-verifisering og sikre nedlastingsportaler for å finne, pakke og overføre data raskt – alltid med rom for menneskelig sansekontroll og kontekst.

Integrasjon med andre rettigheter for den registrerte

Design SAR-arbeidsflyten slik at den forgrener seg til rettings-, slettings- eller portabilitetshandlinger; én sammenhengende pipeline unngår dupliserte søk og inkonsistente svar.

Styrking av datasubjekter: Praktiske tips for effektive forespørsler

En tydelig og veldefinert SAR sparer alle tid og gjør det vanskeligere for kontrolleren å stoppe. Prøv disse taktikkene:

  • Pinpoint hva du ønsker: «Alle e-poster mellom meg og leder Jansen fra 1. januar til 31. mars 2024.»
  • Nevn hvor den står der: «HR-system og kundestøttehenvendelser.»
  • Oppgi din foretrukket format (CSV, PDF) og sikker kanal.
  • Flagg hastemeldinger når det er relevant («kommende» ytelsesvurdering den 15. oktober).

Når dataene er mottatt, skann etter feil eller hull og utfør umiddelbart en forespørsel om retting eller sletting – å følge samme bevisspor holder momentum.

Eskaleringsstrategi hvis ignorert

Dag 31 og fortsatt radiostillhet? Vær høflig, men bestemt:

Subject: Reminder – Article 15 GDPR/AVG request overdue

Dear [Controller],

On [date] I requested access to my personal data. The one-month term has passed without a response. 
Please provide the information within seven days or explain the lawful basis for any refusal. 
Failing that, I will file a complaint with the Autoriteit Persoonsgegevens and consider civil action.

Regards,
[Name]

Dokumenter hvert trinn (datoer, e-poster, telefonlogger). Hvis den ekstra uken utløper, send inn en klage på nett til AP og legg ved bevispakken din; domstoler og regulatorer favoriserer velorganiserte saksøkere.

Avslutning av din innsynsrett

Artikkel 15 i GDPR/AVG setter enkeltpersoner i førersetet: du kan spørre, se og utfordre hva en organisasjon gjør med dataene dine. For behandlingsansvarlige er klare prosedyrer, ryddige registre og fornuftige redigeringer ikke valgfrie – de er den eneste måten å overholde fristen på én måned og unngå Autoriteit Persoonsgegevenss stirrende blikk.

Husk den grunnleggende strategien:

  • forespørselen kan være uformell,
  • svaret må være fritt, rettidig og fullstendig,
  • grensene er smale og må begrunnes,
  • Delvis åpenhet er bedre enn generell avvisning.

Følg disse reglene, så blir innsynsretten en rutinemessig overholdelsesoppgave i stedet for et hodebry i rettssalen.

Trenger du en skreddersydd SAR-mal, hjelp med å løse opp i tredjepartsdata eller en strategi for en sta behandlingsansvarlig? Personvernadvokatene hos Law & More er klare til å trå til – enten du er en registrert person som søker svar eller et selskap som søker sikkerhet.

Trenger du juridisk bistand?

Kontakt Law & More for ekspertveiledning i dine juridiske spørsmål. Vårt flerspråklige team er klare til å hjelpe.

Be om en konsultasjon
Kontakt oss

Trenger du juridisk rådgivning?

Våre erfarne advokater er klare til å hjelpe deg med dine juridiske spørsmål.

Be om en konsultasjon

Relaterte artikler

Styrerom i bedriften med bærbar PC, juridiske dokumenter og et dashbord for samsvar med GDPR som viser varselindikatorer – illustrasjon som følger med juridiske risikoer ved datadeling under GDPR
IT-lov

7 GDPR-risikoer alle bedrifter må kjenne til når de deler data

Datadeling er livsnerven i moderne handel. Enten du etablerer en ny skyleverandør,

Les mer
Luftfoto av et moderne teknologicampus i den gylne timen, med kontorbygg i glass omgitt av grønne åser og en fjern bysilhuett – som symboliserer skjæringspunktet mellom teknologi og juridisk risiko.
Criminal Law, IT-lov

Straffrettsansvar for teknologigründere: når blir en sivil IP-tvist straffbar?

Et nederlandsk SaaS-selskap mottar et opphørsbrev som hevder at en kjernefunksjon i deres

Les mer
Moderne kontor i den gylne timen med tekniske tegninger, et patentdokument og en messingprototype på et elegant skrivebord, med utsikt over byens silhuett
IT-lov

Søknad om patent i Nederland: Den komplette guiden for gründere

1. Innledning – Hvorfor er et patent viktig for gründere? Du har brukt måneder –

Les mer

Hold deg oppdatert på nederlandsk lov

Abonner på nyhetsbrevet vårt for å få den nyeste juridiske innsikten, regelverksoppdateringer og praktiske råd.

Law & More logo
Alle logoer vertikalt (1)

Tjenester

Virksomhetsområder

rask Link

Kontaktinfo

Facebook Instagram Linkedin Twitter

© 2026 Law & More. Alle rettigheter reservert.

Åpningstider image.webp
Klantenvertellen.nl Law and More kundeanmeldelser

Internasjonalt advokatfirma som betjener bedrifter og privatpersoner i Eindhoven og Amsterdam. 

Ekspertise innen Brainports teknologiøkosystem.

 

Facebook Instagram Linkedin Twitter
logoer

Tjenester

Virksomhetsområder

rask Link

© 2026 Law & More. Alle rettigheter reservert.

Generelle vilkår og betingelser  ·  Personvernerklæring  ·  Klager Prosedyre  ·  Cookie Policy

Kontakt

  • +31 20-369 71 21
  • Amsterdam: Pietersbergweg 291, 1105 BM (besøkssted)
  • Man-fre: 08:00-18:00 | Lør-søn: 09.00-17.00

Språk:

Åpningstider image.webp
Klantenvertellen.nl Law and More kundeanmeldelser