Recht op inzage AVG nader belicht
De Algemene verordening gegevensbescherming (AVG), in het Engels aangeduid als de General Data Protection Regulations (GDPR) is sinds 18 mei 2018 van kracht en bevat strenge regels over de wijze waarop persoonsgegevens morgen worden verwerkt.
De AVG geeft aan een ieder waarvan persoonsgegevens worden verwerkt bepaalde rechten zodat hij of zij invloed kan uitoefenen op de manier waarop zijn of haar persoonsgegevens worden verwerkt. Een van die rechten is het recht op inzage in zijn persoonsgegevens. Het recht op inzage in persoonsgegevens staat in artikel 15 AVG. Dat recht houdt concreet in dat een persoon aan iedere organisatie kan vragen of er persoonsgegevens van hem worden verwerkt, en zo ja, om welke persoonsgegevens het gaat en waarom en op welke manier die persoonsgegevens worden verwerkt.
Procedure recht op inzage
Het verzoek om inzage in persoonsgegevens is vormvrij. Dat wil zeggen dat een ieder telefonisch, per brief of per e-mail een organisatie kan verzoeken om inzage te verstrekken in de persoonsgegevens die van hem worden verwerkt. Organisaties moeten daar rekening mee houden en voorzieningen treffen zodat zij inzageverzoeken goed kunnen opvolgen. Het is daarom aan te bevelen om richting de personen waar zij persoonsgegevens van verwerken, niet alleen te communiceren dat er een recht op inzage bestaat, maar ook hoe dit recht kan worden uitgeoefend. Een enkele verwijzing in een privacystatement op de website is in dat opzicht niet erg effectief. Een aparte voorziening – bijvoorbeeld een portal die toegankelijk is via de website – is dan effectiever. Dat scheelt niet alleen tijd, ook wordt daarmee voorkomen dat inzageverzoeken niet worden opgevolgd of te lang blijven liggen, met mogelijke sancties door de Autoriteit Persoonsgegevens (AP) als gevolg.
Wat valt onder het begrip ‘persoonsgegevens’
Wat persoonsgegevens zijn staat gedefinieerd in artikel 4 onder 1 AVG:
“1) „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;”
Onder persoonsgegevens vallen in ieder geval alle persoonsgegevens die geautomatiseerd worden verwerkt. Voor de offline-gegevens geldt dat ze - wanneer ze in een ‘bestand’ (artikel 4 lid 6 AVG) zitten of bedoeld zijn om daarin te worden opgenomen - ook vallen onder de reikwijdte van het inzagerecht.
Rechtspraak heeft in het verleden uitgewezen dat juridische analyses of documenten, waarin slechts sporadisch de naam van de persoon voorkomt niet beschikbaar gesteld hoeven te worden als iemand daar om vraagt via het inzagerecht (HvJ EU 17 juli 2014, ECLI:EU:C:2014:2081). Persoonlijke interne notities van medewerkers van een verantwoordelijke, die bedoeld zijn voor intern overleg en beraad en niet bestemd zijn om in een dossier te worden opgenomen, vallen eveneens buiten het inzagerecht (onder meer Hof Amsterdam 5 juli 2011, ECLI:NL:GHAMS:2011:BR3020; HR 29 juni 2007, ECLI:NL:HR:2007:AZ4663, ECLI:NL:HR:2007:AZ4664, ECLI:NL:HR:2007:BA3529). Ook juridische analyses naar aanleiding van persoonsgegevens kunnen als zodanig niet worden gekwalificeerd als persoonsgegevens (HvJ EU 17 juli 2014, ECLI:EU:C:2014:2081).
Opgenomen telefoongespreken zijn wel aan te merken als persoonsgegevens. Betrokkenen moeten deze kunnen beluisteren of er moet een transcriptie worden verstrekt[1].
In een recent arrest van het Hof van Justitie (van 20 december 2017) is overwogen dat het begrip persoonsgegevens zich potentieel uitstrekt tot elke soort informatie, zowel objectieve als subjectieve informatie, die de betrokkene betreft. Van dat laatste is sprake als de informatie wegens haar inhoud, doel of gevolg gelieerd is aan een natuurlijk persoon (ECLI:EU:C:2017:994, NJ 2018/314 inz. Nowak). Dit betekent dat, als de gegevens mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld, die gegevens als persoonsgegevens worden aangemerkt. Niet alleen gegevens op basis waarvan een natuurlijk persoon geïdentificeerd kan worden, maar ook feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen van een persoon zijn dus persoonsgegevens. Voor zover dergelijke gegevens geautomatiseerd worden verwerkt of voorkomen in bestanden is het inzagerecht daarop van toepassing.
Welke informatie moet worden verstrekt?
Volgens de AVG moet het overzicht, dat de organisatie dient te verstrekken aan de betrokkene, tenminste de volgende informatie bevatten:
- de doelen waarvoor de gegevens worden verwerkt
- de categorieën persoonsgegevens die worden verwerkt
- de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of worden doorgegeven, met name ontvangers in derde landen of internationale organisaties
- indien mogelijk hoe lang de gegevens worden bewaard, of indien dat niet mogelijk is, de criteria om de bewaartermijn te bepalen
- het op recht van de betrokkene op wijziging, verwijdering, beperking of bezwaar
- het recht om een klacht in te dienen bij de toezichthouder
- wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens
- het bestaan van geautomatiseerde besluitvorming waaronder profilering, en indien dit het geval is, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene
Het recht op ontvangst van een kopie van de persoonsgegevens
De betrokkene kan vragen om een kopie van de persoonsgegevens of dat hem op afstand toegang wordt geboden tot de gegevens in een beveiligde omgeving (zoals bijvoorbeeld een persoonlijk account). Er mogen geen kosten worden gerekend voor het verstrekken van de kopieën. Er mogen wel kosten in rekening worden gebracht als er wordt verzocht om meerdere kopieën.
De kopie moet schriftelijk (waaronder begrepen in elektronische vorm) worden verstrekt. Wanneer de betrokkene zijn verzoek elektronisch indient (bijvoorbeeld per e-mail) dan moet de kopie in een gangbare elektronische vorm worden verstrekt, tenzij de betrokkene om een andere regeling vraagt.
Bij het verstrekken van de informatie en de kopie van de gegevens dient rekening te worden gehouden met de bescherming van persoonsgegevens van andere personen. Dat houdt in dat mogelijk bepaalde informatie over andere personen niet mag worden verstrekt.
Het recht op ontvangst van een kopie is echter niet onbeperkt. In een beschikking van de rechtbank Noord-Holland van 23 mei 2019 (ECLI:NL:RBNHO:2019:4283 ) oordeelde de rechtbank dat het recht op inzage is beperkt tot persoonsgegevens en dat er niet altijd een recht bestaat op het verkrijgen van een kopie van de stukken of bescheiden waarin de persoonsgegeven zijn opgenomen. Onder verwijzing naar het arrest van het Europese hof van Justitie van 17 juli 2014 (ECLI:EU:C:2014:2081[2]) oordeelt de rechtbank dat er wel een recht bestaat op een volledig overzicht, in begrijpelijke vorm, van alle persoonsgegevens, maar niet het recht om een afschrift te verkrijgen van het originele document of bestand waarin de gegevens staan. Daarbij overweegt de rechtbank dat de concrete materiële vorm waarin de persoonsgegevens moeten worden verstrekt afhankelijk is van de concrete omstandigheden.
De relevante overwegingen van de rechtbank zijn de volgende.
R.o. 4.6:
“Artikel 15 lid 3 AVG geeft recht op verstrekking van een kopie van de persoonsgegevens die worden verwerkt. Stukken als zodanig zijn geen persoonsgegevens en nergens in de AVG wordt gesproken over het verstrekken van een kopie van de bescheiden waarin de persoonsgegevens zijn verwerkt. Het recht op inzage betekent dan ook niet dat de betrokkene zonder meer recht heeft op inzage in of kopieën van de stukken of dossiers als zodanig als daarin zijn persoonsgegevens voorkomen. Wel bestaat een recht op een volledig overzicht, in begrijpelijke vorm, van alle persoonsgegevens. Dat wil zeggen in een vorm die de betrokkene in staat stelt kennis te nemen van zijn gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met de AVG. Voor zover daaraan kan worden voldaan met een andere vorm van verstrekking kan de betrokkene aan de AVG niet het recht ontlenen om een afschrift te verkrijgen van het originele document of bestand waarin de gegevens staan (HvJ EU 17 juli 2014, ECLI:EU:C:2014:2081, inz. IND). In welke concrete materiële vorm de gegevens moeten worden verstrekt is daarom afhankelijk van de concrete omstandigheden.”
R.o. 4.7:
“Voor zover documenten niet alleen NAW-gegevens bevatten, maar ook meerdere feitelijke en waarderende gegevens over eigenschappen of gedragingen van natuurlijke personen lenen dergelijke gegevens zich niet goed voor opname in een overzicht. Gelet op de uitspraken van de Hoge Raad in de Dexia-zaak (HR 29 juni 2007, ECLI:NL:HR:2007:AZ4663, ECLI:NL:HR:2007:AZ4664, ECLI:NL:HR:2007:BA3529) heeft een betrokkene in beginsel dan ook recht op een (eventueel deels zwartgemaakte) kopie van de documenten waarin die gegevens zijn opgenomen, omdat dat de meest effectieve wijze is waarop voldaan kan worden aan de verplichting zo volledig en duidelijk mogelijk informatie te verschaffen aan de hand waarvan de rechtmatigheid en juistheid van de gegevens kan worden gecontroleerd. Zoals uit het navolgende zal blijken bestaat op dit recht echter een aantal uitzonderingen.”
AVG termijn recht op inzage
De organisatie, die de persoonsgegevens van de betrokkene verwerkt, dient binnen een maand na ontvangst van het verzoek de betrokkene te informeren over de uitvoering van het verzoek. Ook wanneer geen gehoor wordt gegeven aan het verzoek van de betrokkene moet dit binnen een maand kenbaar worden maken. Een weigering moet worden gemotiveerd waarbij de betrokkene moet worden gewezen op het klachtrecht bij de toezichthouder. De termijn mag twee maanden zijn indien het gaat om veel verzoeken of complexe verzoeken. Als van deze extra tijd gebruik wordt gemaakt dan moet de betrokkene hierover ook binnen een maand na ontvangst van het verzoek worden geïnformeerd.
De informatie moet schriftelijk of met andere (elektronische) middelen worden verstrekt.
Conclusie: specificeer het verzoek om inzage persoonsgegevens
Een verzoek om inzage in persoonsgegevens kan vergezeld gaan van een verzoek van ontvangst van kopieën van de documenten waarin de persoonsgegevens voorkomen.
Zoals uit het voorgaande blijkt, hoeft de organisatie die een zodanig verzoek ontvangt niet altijd alle documenten die persoonsgegeven bevatten te overleggen. Dat zou wel moeten als in de documenten meerdere feitelijke en waarderende gegevens over eigenschappen of gedragingen van natuurlijke personen staan, omdat dergelijke gegevens zich niet goed voor opname in een overzicht lenen.
Het verdient aanbeveling om een verzoek aan een verantwoordelijke tot inzage en het ontvangen van een afschrift van de documenten waarin persoonsgegevens voorkomen, zo goed mogelijk te specificeren. De verantwoordelijke aan wie het verzoek is gericht zal dan beter kunnen beoordelen welke persoonsgegevens het betreft. Een weigering om bepaalde gegevens te verstrekken dient dan ook met argumenten te worden onderbouwd.
Bronnen
[1] College bescherming persoonsgegevens, 17 maart 2006 inzake ambtshalve onderzoek de bank (https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/uit/z2005-1028.pdf).
[2] https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:62012CJ0141
Lees meer:
Wanneer zijn bedrijfsgeheimen beschermd?
