Geen sprake van onzorgvuldig handelen bij inzageverzoek

Gepubliceerd in: Sdu Nieuws Privacyrecht, 6 oktober 2022, vindplaats 2022/ 150

Eiser heeft het College van Bestuur van de Erasmus Universiteit Rotterdam (EUR) verzocht om screenshots van zijn persoonsgegevens te verschaffen. Het College heeft tegen de wens van eiser in geëxporteerde bestanden verstrekt. De rechtbank is van oordeel dat het College voldaan heeft aan haar verplichting uit artikel 15 lid 3 AVG.

Casus
Eiser heeft het College verzocht om screenshots van al zijn persoonsgegevens, die de medewerkers van de afdeling Legal Protection/Juridische Zaken van de EUR kunnen waarnemen in het computersysteem Osiris. Naderhand heeft eiser zijn verzoek nader gespecificeerd.

Het College heeft het verzoek van eiser tot inzage van de verwerking van zijn persoonsgegevens, toegewezen. Het College verstrekte 17 geëxporteerde bestanden uit het door het College gebruikte systeem OSIRIS.

Eiser was het met dit besluit niet eens en heeft daartegen bezwaar gemaakt. Hij verzocht namelijk nadrukkelijk om screenshots. De door het College overgelegde geëxporteerde bestanden zijn voor hem niet te controleren op juistheid en volledigheid. In het bestreden besluit heeft het College het bezwaar van eiser ongegrond verklaard. Eiseres heeft tegen dit besluit beroep bij de rechtbank ingesteld.

Beoordeling rechtbank
De rechtbank buigt zich over de vraag of het College op de juiste manier inzage heeft gegeven in de persoonsgegevens van eiser. Eiser geeft aan dat de door het College overgelegde bestanden voor hem niet zijn te controleren op juistheid en volledigheid. Hij is daarom van mening dat hij het beste zelf achter de computer kan zitten om alles te controleren.

De rechtbank is van oordeel dat het College voldaan heeft aan haar verplichting uit artikel 15 lid 3 AVG. Het College dient als verwerkingsverantwoordelijke de betrokkene een kopie van de persoonsgegevens die worden verwerkt te verstrekken. Indien de betrokkene om bijkomende kopieën verzoekt, kan de verwerkingsverantwoordelijke op basis van de administratieve kosten een redelijke vergoeding aanrekenen. Wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling verzoekt, wordt de informatie in een gangbare elektronische vorm verstrekt.

De rechtbank haalt aan dat de Afdeling Bestuursrechtspraak van de Raad van State (de Afdeling) in haar uitspraak van 3 maart 2021 (ECLI:NL:RVS:2021:452), heeft overwogen dat het doel van artikel 15 van de AVG is dat betrokkene zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. De Afdeling heeft verder overwogen dat de verplichting een ‘kopie van de persoonsgegevens’ te verstrekken op grond van artikel 15, lid 3, AVG, niet betekent dat een bestuursorgaan verplicht is een kopie te verstrekken van de documenten waarin die persoonsgegevens voorkomen. Een bestuursorgaan mag dat doen, maar het mag ook voor een andere vorm kiezen, mits met de gekozen wijze van verstrekking maar aan het doel van artikel 15, lid 3, van de AVG.

Ten aanzien van de in de casus beschreven wijze van verstrekken van de persoonsgegevens, een ‘andere vorm’ dus, overweegt de rechtbank dat deze strookt met de strekking van artikel 15 lid 3 AVG. De rechtbank motiveert haar oordeel als volgt: ‘’Door het verstrekken van 17 geëxporteerde bestanden uit het door het College gebruikte systeem OSIRIS heeft hij gehoor gegeven aan eisers verzoek tot het verstrekken van zijn persoonsgegevens voor zover inzichtelijk voor medewerkers van de afdeling Legal Protection/Juridische Zaken. Daarmee is voldaan aan het doel van artikel 15, derde lid van de AVG. Het College was niet gehouden om (ook) screenshots te verstrekken en ook niet om eiser toegang tot haar computersystemen te geven zodat eiser zelf zou kunnen zien hoe zijn persoonsgegevens door het College zijn verwerkt.’’.

De rechtbank is van oordeel dat het College voldaan heeft aan haar verplichting uit artikel 15 lid 3 AVG. De rechtbank verklaart het beroep ongegrond en wijst het verzoek om schadevergoeding af.

Persoonlijke noot auteur
Deze afweging lijkt mij volkomen terecht. Van belang is dat de betrokkene met de verstrekte bestanden de verwerking van de persoonsgegevens en de rechtmatigheid daarvan kan verifiëren. De uitspraak van de rechtbank is daarmee ook in lijn met de richtsnoeren van de EDPD.[1] De EDPD geeft aan dat wanneer een kopie van de persoonsgegevens wordt verstrekt, dat niet noodzakelijkerwijze een reproductie van de originele documenten hoeft te betreffen (paragraaf 23). Uit de uitspraak blijkt echter niet waarom de door het College overgelegde geëxporteerde bestanden niet voor eiser zijn te controleren op juistheid en volledigheid. De vraag die overblijft is wat het verschil is tussen de verzochte screenshots en de verstrekte geëxporteerde bestanden?

[1] Voor meer informatie over dit onderwerp verwijs ik naar het artikel van mijn collega Irma Smeding: ‘’Recht van inzage en toegang ex artikel 15 AVG volgens de Afdeling en de EDPB’’.

Bron: Rechtbank Rotterdam 12 september 2022, ECLI:NL:RBROT:2022:7784 (datum publicatie: 20 september 2022)