Privacy basics: inzageverzoeken.

Dit artikel is relevant voor: iedere organisatie die een inzageverzoek ontvangt met betrekking tot de verwerking van persoonsgegevens van medewerkers, klanten, burgers of andere betrokkenen.

Spring direct naar ons praktijkadvies.

Heb je twijfel over de te verstrekken gegevens bij een inzageverzoek? Het recht op inzage is een van de rechten van betrokkenen, opgenomen in de Algemene Verordening Gegevensbescherming (hierna: AVG). In de praktijk maken voornamelijk ontevreden klanten, procederende partijen en bezwaarmakers (indien het gericht is tot een bestuursorgaan) gebruik van dat recht. Dan rijst vaak de vraag of je alle gegevens betreffende een betrokkene moet verstrekken.
In dit artikel zet ik uiteen welke gegevens je moet verstrekken. Onbesproken blijven de wijze van identificatie van verzoekers (art. 12, lid 6, AVG; overweging 64 AVG), in welke gevallen je een verzoek kunt weigeren vanwege buitensporigheid bij herhaalde verzoeken (art. 12, lid 5, AVG; overweging 63 AVG) en in welke gevallen je inzage kunt weigeren vanwege afbreuk aan de rechten en vrijheden van anderen (art. 15, lid 4, AVG).

Persoonsgegevens

Een betrokkene heeft het recht om inzage te verkrijgen in persoonsgegevens die door de verwerkingsverantwoordelijke worden verwerkt (art. 15, lid 1, AVG). In beginsel gaat het om alle persoonsgegevens, maar wat zijn persoonsgegevens? Dit is van belang, aangezien het bepaalt welke informatie je dient te verstrekken. Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (ofwel de betrokkene) zijn persoonsgegevens. Je bent identificeerbaar als je een natuurlijke persoon bent die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator (art. 4, lid 1, AVG). De inzage heeft derhalve enkel betrekking op de persoonsgegevens van de betrokkene zelf.[1]

Het gerechtshof Den Haag stelt dat er geen onderscheid is tussen objectieve en subjectieve informatie omtrent een betrokkene. Alle objectieve én subjectieve gegevens vallen onder het begrip persoonsgegevens.[2] Onder objectieve gegevens vallen onder andere personalia. Voorbeelden van subjectieve gegevens zijn meningen en beoordelingen. Deze gegevens vallen hieronder indien de informatie wegens haar inhoud, doel of gevolg gelieerd is aan een natuurlijk persoon.[3] Dit betekent onder andere dat als gegevens mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld, je die gegevens als persoonsgegevens moet aanmerken. Beoordelingen en gedragingen zijn hier voorbeelden van.

Niet alleen gegevens op basis waarvan een natuurlijk persoon geïdentificeerd kan worden, maar ook feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen van een persoon zijn persoonsgegevens. Dit is bijvoorbeeld het geval wanneer een werkgever over een werknemer schrijft dat hij/zij gedreven is of verkeerd handelt in stressvolle situaties.

Voor zover je dergelijke gegevens automatisch verwerkt of als het voorkomt in niet-digitale ‘bestanden’ (zie hieronder voor een uitleg van ‘bestanden’), is het inzagerecht daarop van toepassing.[4]

Bijkomende gegevens

Tevens moeten doeleinden van verwerking, de categorieën van persoonsgegevens, de (categorieën) van ontvangers, de bewaartermijn, informatie over de rechten van betrokkene en de bron verstrekt worden (art. 15, lid 1, onder a tot en met h, AVG). En voor zover geautomatiseerde besluitvorming of profilering plaatsvindt, moet je ook ‘nuttige informatie over de onderliggende logica’ geven en informatie over het belang en de verwachte gevolgen voor de betrokkene.

Het inzagerecht heeft bijvoorbeeld geen betrekking op de naam van een anonieme melder die voorkomt in het dossier van een betrokkene, al zou de naam van deze anonieme persoon bekend zijn, ook niet in de zin van ‘bron van die gegevens’ (als bedoeld in art. 15, lid 1, onder g, AVG).[5]

Reikwijdte inzagerecht

In beginsel verstrekt de verwerkingsverantwoordelijke (dus niet de verwerker!) een ‘kopie van de persoonsgegevens’ aan de betrokkene (art. 15, lid 3, AVG). De jurisprudentie legt dit als volgt uit.[6]

Er bestaat een recht op een volledig overzicht, in begrijpelijke vorm, van alle persoonsgegevens. De betrokkene moet daarmee kennis kunnen nemen van zijn gegevens en deze kunnen controleren op juistheid en rechtmatigheid met betrekking tot de AVG.[7] Voor zover de verstrekking op een andere geaccepteerde manier volstaat, kan de betrokkene aan de AVG niet het recht ontlenen om een afschrift te verkrijgen van het originele document of bestand waarin de gegevens staan.[8] In welke concrete materiële vorm je de gegevens moet verstrekken is daarom afhankelijk van de omstandigheden van het geval. Zo wordt er bij een conceptbesluit aangaande een verblijfsvergunning een schriftelijk stuk gevoegd waarin een beslismedewerker aan de resumptor toelicht hoe hij tot dat besluit is gekomenIn plaats van een afschrift van dat stuk ontvangt de verzoeker een overzicht van de persoonsgegevens in dat document, daaronder begrepen informatie over de herkomst van die gegevens en over de instanties waaraan zij eventueel zijn meegedeeld. In dit geval is de verstrekking een volledig en begrijpelijk overzicht en hoeft een afschrift niet verstrekt te worden, omdat de juridische analyse immers geen informatie bevat over de aanvrager van de verblijfstitel, maar hooguit, informatie over de beoordeling en de toepassing van dat recht door de bevoegde autoriteit op de situatie van de aanvrager.

Indien documenten niet alleen NAW-gegevens bevatten, maar ook meerdere feitelijke en waarderende gegevens over eigenschappen of gedragingen van natuurlijke personen kunnen deze gegevens mogelijk niet in een overzicht verwerkt worden. De Hoge Raad stelt in de Dexia-zaak dat een betrokkene dan in beginsel ook recht heeft op een (eventueel deels zwartgemaakte) kopie van de documenten waarin die gegevens zijn opgenomen.[9] Dit is de meest effectieve wijze van nakoming van de verplichting, met inachtneming van de controle op juistheid en de rechtmatigheid. De betrokkene kán dus wel een afschrift krijgen van een origineel document of bestand. Als de verantwoordelijke gegevens niet op een andere manier verstrekt, is dit verplicht.

Het inzagerecht strekt zich beperkt uit tot (delen van) interne notities die de persoonlijke gedachten van medewerkers van de verwerkingsverantwoordelijke bevatten en die uitsluitend bedoeld zijn voor intern overleg.[10] Zo vallen interne notities en correspondentie die de persoonlijke gedachten van werkgevers bevatten die uitsluitend bedoeld zijn voor persoonlijk gebruik onder het inzagerecht indien je ze verwerkt in bestanden.

Verwerking in ‘bestanden’

De AVG is van toepassing op gehele/gedeeltelijke geautomatiseerde én niet-geautomatiseerde verwerking van persoonsgegevens (art. 2, lid 1, AVG). Deze gegevens moeten in een bestand voorkomen of daarvoor bestemd zijn. Bij geautomatiseerde verwerking is altijd sprake van een bestand: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn (art. 4, lid 6, AVG).[11] Bij gedeeltelijk geautomatiseerde en niet-geautomatiseerde verwerking (zoals papieren dossiers en microfiches) is het ook van belang om te weten of sprake is van een bestand. Losse papieren stukken vallen niet onder het inzagerecht, aangezien die geen onderdeel vormen van een gestructureerd geheel. Inzage wordt echter wel mogelijk wanneer zulke stukken aan anderen verstrekt zijn.

Geen ‘fishing expeditions’

Indien je grote hoeveelheden gegevens betreffende de betrokkene verwerkt, heb je de mogelijkheid om de betrokkene te vragen om ‘te preciseren op welke informatie of welke verwerkingsactiviteiten het verzoek betrekking heeft’ (overweging 63 AVG).[12] Het te ruime verzoek wordt ‘fishing expedition’ genoemd.[13] Als nakoming van een verzoek veel inspanning vergt, is de verwerkingsverantwoordelijke soms bevoegd om te volstaan met selecties uit beschikbare gegevens en een ‘steekproefsgewijze’ benadering, omdat de zoektocht anders te kostbaar is.[14] Dit is bijvoorbeeld het geval wanneer je uit een grote hoeveelheid (digitale) documenten moet zoeken naar ten minste één persoonsgegeven betreffende de betrokkene en dat een dergelijke zoektocht in redelijkheid niet van je kan worden gevergd.

Bescherming van de rechten van anderen

Indien de verantwoordelijke en/of derden rechten hebben die geschaad kunnen worden door uitoefening van het recht van inzage door de betrokkene (art. 15, lid 4, AVG), dient de verantwoordelijke een belangenafweging te maken.[15] In dat geval moeten derden de mogelijkheid krijgen hun bezwaren kenbaar te maken vóór de verstrekking.[16] Zo dient een appelante vooraf kenbaar te maken niet in te stemmen met de verstrekking van bijvoorbeeld een kopie van haar raadsdossier aan de ex-partner.[17]

Praktijkadvies: wat betekent dit voor mij?

Het is verstandig om een duidelijk beeld te hebben van de informatie die je moet verstrekken bij een inzageverzoek. Alle informatie en documenten opleveren die betrekking hebben op de verzoeker kost onnodig veel tijd. Ons advies is daarom:

• Indien informatie wegens haar inhoud, doel of gevolg gelieerd is aan een natuurlijk persoon, dien je dit te verstrekken aan de verzoeker. Alle informatie over de betrokkene zijn persoonsgegevens. Het maakt niet uit of het gaat om feitelijke of waarderende gegevens over eigenschappen of opvattingen van de betrokkene.
• In beginsel verstrek je een kopie van persoonsgegevens door een volledig overzicht, in begrijpelijke vorm, van alle persoonsgegevens te geven. In beginsel is een kopie van een document niet noodzakelijk. Uitzondering: soms kun je bepaalde gegevens niet verwerken in een overzicht dus dien je een afschrift te verstrekken van een origineel document of bestand.
• ‘Fishing expeditions’ (niet nader omschreven verzoeken) kun je afwijzen door de betrokkene te verzoeken zijn vraag te preciseren.
• Indien het onmogelijk is om aan een inzageverzoek te voldoen zonder gegevens van anderen te verstrekken, moet je die anderen eerst vragen of zij bezwaar hebben en een belangenafweging maken.

Voetnoten

[1] ABRvS 14 oktober 2020, ECLI:NL:RVS:2020:2419, r.o. 4.1 en 8.1.

[2] Hof Den Haag 17 september 2019, ECLI:NL:GHDHA:2019:2398, r.o. 4.13.

[3] HvJ EU 20 december 2017, C-434/16, ECLI:EU:C:2017:994 (Peter Nowak/Data Protection Commissioner).

[4] Rb. Den Haag 10 oktober 2019, ECLI:NL:RBDHA:2019:13029, r.o. 4.4.

[5] ABRvS 14 oktober 2020, ECLI:NL:RVS:2020:2419, r.o. 4.1 en 8.1.

[6] ABRvS 29 oktober 2020, ECLI:NL:RVS:2020:2559, r.o. 3.4.

[7] Rb. Den Haag 10 oktober 2019, ECLI:NL:RBDHA:2019:13029, r.o. 4.5.

[8] HvJ EU 17 juli 2014, C-141/12 en C-372/12, r.o. 58-59 (IND).

[9] HR 29 juni 2007, ECLI:NL:HR:2007:AZ4663, r.o. 3.4; ECLI:NL:HR:2007:AZ4664.

[10] Hof Den Haag 17 september 2019, ECLI:NL:GHDHA:2019:2398, r.o. 4.21.

[11] HvJ EU 6 november 2003, C-101/01, NJ 2004/248 (Lindquist).

[12] Rb. Noord-Holland 23 mei 2019, ECLI:NL:RBNHO:2019:4283, r.o. 4.17.

[13] Gerechtshof Den Bosch 20 februari 2014 en 11 december 2014, HV 200.138.190/01.

[14] Rb. Amsterdam 20 juni 2019, ECLI:NL:RBAMS:2019:4418, r.o. 4.15-4.16.

[15] Kamerstukken II 1997/98, 25892, 3, p. 171.

[16] Kamerstukken II 1997/98, 25892, 3, p. 159.

[17] ABRvS 29 oktober 2020, ECLI:NL:RVS:2020:2559, r.o. 1.

Foto door Nine Koepfer.