What is a DSAR under GDPR?

A Data Subject Access Request (DSAR) is a right under GDPR Article 15 allowing any individual to request a copy of the personal data an organization holds about them. Organizations must respond within 30 days, provide the data in an accessible format, and include information about processing purposes, retention periods, and third-party recipients. Requests can arrive through any channel, including email, web forms, or verbal communication.

How should organizations verify identity for a DSAR?

Identity verification must be proportionate to the sensitivity of the data involved. For routine requests, confirming details already on file like email address and account information is usually sufficient. For sensitive data, organizations may request a government-issued ID copy. Verification should not be used as a barrier to delay responses. Article 12 allows organizations to request additional information only when there are reasonable doubts about the requester's identity.

Legitieme DSAR-verwerking

Process a data subject access request end to end.

Wat is Legitieme DSAR-verwerking?

Een inzageverzoek van betrokkene (DSAR) is het recht onder AVG-artikel 15 voor ieder persoon om bevestiging te verkrijgen of zijn of haar persoonsgegevens worden verwerkt, en zo ja, om een kopie van die gegevens te ontvangen samen met specifieke aanvullende informatie. Organisaties moeten binnen een kalendermaand na ontvangst van het verzoek reageren. Deze oefening simuleert een realistisch DSAR van een klant die alle persoonsgegevens wil ontvangen die uw organisatie over hem of haar bijhoudt. U begint met het verifiëren van de identiteit van de aanvrager zonder buitensporige documentatie te eisen, een veelgemaakte fout die op zichzelf al de AVG-proportionaliteitsvereisten kan schenden. Vervolgens doorzoekt u meerdere systemen: uw CRM, e-mailarchieven, supporttickets, analyseplatforms en back-updatabases. De uitdaging is volledigheid. Toezichthouders verwachten dat u gegevens vindt in elk systeem waar ze bestaan, inclusief plekken die teams vaak over het hoofd zien, zoals Slack-berichten, gedeelde schijven en integraties met derden. U stelt het antwoordpakket samen en beslist wat u opneemt en wat mogelijk is vrijgesteld onder juridisch privilege of bescherming van bedrijfsgeheimen. De oefening behandelt de praktische mechaniek van het anonimiseren van persoonsgegevens van derden die naast de gegevens van de aanvrager voorkomen. Organisaties die grote volumes DSAR's verwerken, rapporteren gemiddeld 10 tot 20 uur per verzoek te besteden wanneer systemen niet goed georganiseerd zijn, waardoor dit zowel een complianceverplichting als een operationele uitdaging is die training verdient.

Wat je leert in Legitieme DSAR-verwerking

De identiteit van de aanvrager verifiëren met proportionele maatregelen zonder buitensporige persoonlijke documentatie te eisen
Persoonsgegevens lokaliseren in alle organisatorische systemen, waaronder CRM, e-mail, analytics en back-updatabases
Uitzonderingen correct toepassen voor juridisch bevoorrecht materiaal en persoonsgegevens van derden in gedeelde records
Een volledig antwoordpakket samenstellen dat voldoet aan alle informatievereisten van artikel 15 binnen de 30-dagendeadline
Operationele knelpunten in het DSAR-proces identificeren en efficiëntieverbeteringen implementeren voor herhaalde verzoeken

Legitieme DSAR-verwerking — Trainingsstappen

Introductie

Tegenwoordig verwerkt u een legitieme DSAR van een geverifieerde klant – een verzoek dat zorgvuldige aandacht vereist voor deadlines, gegevensontdekking en redactie door derden.
DSAR-ontvangst

Alice ontvangt een nieuwe e-mail in haar werkinbox. De onderwerpregel geeft aan dat het een formeel toegangsverzoek van de betrokkene betreft. De e-mail is afkomstig van jennifer.martinez@acme-corp.com - een geverifieerde klant wiens bedrijf een actief contract heeft met CloudServe Technologies.
Identiteitsverificatie

Voordat ze het verzoek verwerkt, moet Alice verifiëren dat de persoon die het verzoek indient daadwerkelijk Jennifer Martinez is. De AVG vereist echter dat de verificatie proportioneel is; Alice mag geen buitensporige barrières opwerpen. Omdat het verzoek afkomstig is van een e-mailadres dat al aan het klantaccount is gekoppeld en het juiste klant-ID bevat, heeft Alice redelijke zekerheid over de identiteit.
Het verzoek registreren

Alice heeft toegang tot de DSAR-wachtrij in het privacyportaal. Ze ziet dat Jennifers verzoek automatisch is geregistreerd met de datum van vandaag, waarmee de reactieklok van 30 dagen wordt gestart. Het systeem toont alle informatie die nodig is om de identiteit van de aanvrager te verifiëren aan de hand van bestaande klantgegevens.
Bevestiging verzenden

Nu de identiteit is geverifieerd, moet Alice nu een bevestigingsmail naar Jennifer sturen. Dit bevestigt de ontvangst van het verzoek en schept verwachtingen voor de responstijdlijn. Het is een goede gewoonte om DSAR’s onmiddellijk te erkennen, ook al vereist de AVG dit niet strikt.
Gegevens ontdekken

Nu moet Alice alle bedrijfssystemen doorzoeken op de persoonlijke gegevens van Jennifer. De AVG vereist dat alle persoonlijke gegevens over het individu worden verstrekt – niet alleen voor de hand liggende plaatsen zoals het CRM. Alice moet het volgende controleren: CRM-records, ondersteuningstickets, factureringssystemen, e-mailcommunicatie, systeemlogboeken en eventuele back-ups die mogelijk persoonlijke gegevens bevatten.
Gegevens zoeken uitvoeren

Alice voert het e-mailadres van Jennifer in om in alle verbonden systemen te zoeken. Het privacyportaal bevraagt automatisch de CRM, het ondersteuningsticketingsysteem, het factureringsplatform en de toegangslogboeken. De zoekopdracht retourneert gegevens uit meerdere bronnen: sommige bevatten alleen de gegevens van Jennifer, en andere bevatten ook gegevens over andere personen.
Supervisoroproep - Redactievereisten

Terwijl ze de zoekresultaten bekijkt, merkt Alice dat verschillende ondersteuningstickets gegevens bevatten over andere medewerkers van ACME Corp die een CC-bericht voor communicatie hadden ontvangen. Ze heeft begeleiding nodig over hoe om te gaan met gegevens van derden. Ze belt haar supervisor, David Chen, om de redactievereisten te bespreken.
Gegevens beoordelen en redigeren

Op advies van David beoordeelt Alice de samengestelde gegevensexport. Ze identificeert verschillende stukjes informatie die moeten worden geredigeerd: - E-mailadressen van andere medewerkers van ACME Corp in supportticketthreads - Namen van CloudServe-medewerkers die ondersteuningsaanvragen hebben afgehandeld - Interne ticket-ID's die de gegevens van andere klanten kunnen onthullen Alice moet Jennifer al haar eigen gegevens verstrekken en tegelijkertijd de privacy van anderen beschermen.
Redacties toepassen

Alice beoordeelt elke gegevensbron zorgvuldig en past redacties toe om informatie van derden te beschermen. Het privacyportaal helpt door potentiële gegevens van derden onder de aandacht te brengen, maar Alice moet bij elke redactie de uiteindelijke beslissing nemen. Ze zorgt ervoor dat alle persoonlijke gegevens van Jennifer zichtbaar blijven, terwijl de informatie van andere personen op de juiste manier wordt verborgen.

Wat is Legitieme DSAR-verwerking?

Wat je leert in Legitieme DSAR-verwerking

Legitieme DSAR-verwerking — Trainingsstappen

Introductie

DSAR-ontvangst

Identiteitsverificatie

Het verzoek registreren

Bevestiging verzenden

Gegevens ontdekken

Gegevens zoeken uitvoeren

Supervisoroproep - Redactievereisten

Gegevens beoordelen en redigeren

Redacties toepassen