Verstrekking volledige documenten of uittreksels bij inzageverzoek AVG soms noodzakelijk
De casus
Het arrest gaat over een Oostenrijks bedrijfsadviesbureau genaamd CRIF GmbH, kortweg CRIF, dat op verzoek van klanten informatie vrijgeeft over de solvabiliteit van derde partijen. CRIF verwerkt daarbij persoonsgegevens van die derde partijen, waaronder die van een particulier genaamd F.F. Deze persoon, F.F., heeft vervolgens bij CRIF verzocht om de gegevens die op hem slaan in te mogen zien. CRIF heeft aan de inzage meegewerkt en een lijst verstrekt met daarin een bundeling van alle persoonsgegevens die zij met betrekking tot F.F. had verwerkt. De vorm waarin de gegevens werden verstrekt was tegen het zere been van F.F.: hij had specifiek gevraagd om afgifte van alle documenten (voornamelijk e-mails en databankuittreksels), en niet om een overzicht met een opsomming van de verwerkte persoonsgegevens. F.F. heeft een klacht ingediend bij de Oostenrijkse gegevensbeschermingsautoriteit (DSB), maar die werd afgewezen. Volgens de DSB heeft CRIF het recht op inzage van F.F. op geen enkele wijze geschonden. Tegen dit besluit van de DSB gaat F.F. in beroep. De rechter stelt vervolgens prejudiciële vragen aan het Europese Hof van Justitie over de uitleg van het inzagerecht, en met name over hoe de term ‘kopie’ zoals deze staat in artikel 15 lid 3 AVG moet worden geïnterpreteerd.
Inzage, hoe zat het ook alweer?
Het inzagerecht volgt uit artikel 15 van de AVG. Volgens dit artikel hebben betrokkenen het recht om inzage te vragen in alle gegevens die een organisatie over hen verwerkt. Voor betrokkenen is dit recht uiterst belangrijk. Zo zorgt het ervoor dat personen in staat worden gesteld andere rechten die de AVG ze biedt te kunnen uitoefenen. Voorbeelden hiervan zijn het recht op rectificatie, en het recht op verwijdering van de persoonsgegevens. Een betrokkene is namelijk afhankelijk van het inzagerecht om te weten of er foutieve gegevens zijn verwerkt, of welke gegevens hij graag wil laten verwijderen. Daarnaast dwingt het inzagerecht organisaties tot een zekere mate van transparantie: zij moeten in beginsel op verzoek van de betrokkene alle persoonsgegevens aan hem vrijgeven. (1) De verstrekte gegevens moeten vervolgens op grond van artikel 12 AVG in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm worden medegedeeld.
In het derde lid van artikel 15 AVG staat dat inzage wordt verleend door het ter beschikking stellen van een ‘kopie’. De term ‘kopie’ is in de AVG echter niet nader gedefinieerd, en uit de wettekst blijkt niet duidelijk wat hier precies onder moet worden verstaan. Ziet zij enkel op de persoonsgegevens die worden verwerkt, of doelt zij op een letterlijke kopie van documenten waarin deze persoonsgegevens zijn verwerkt? In Nederland zoekt de rechtspraak nog veelal aansluiting met een ander arrest van het Europese Hof van Justitie uit 2014, over de toenmalige Wet bescherming persoonsgegevens.(2) In dit arrest oordeelt het Europese Hof dat het niet de bedoeling van het inzagerecht is om betrokkene toegang tot volledige documenten te verschaffen. Dit betekent dat een verwerkingsverantwoordelijke dan ook niet verplicht is tot het verstrekken van een kopie hiervan, maar dat een overzicht volstaat wanneer dit voldoende toegankelijk en begrijpelijk is. Als gevolg van dit arrest wordt in het nationale recht tot op heden het inzagerecht relatief beperkt uitgelegd. Verwerkingsverantwoordelijken zouden er op basis daarvan immers in veel gevallen vanuit kunnen gaan dat een overzicht van persoonsgegevens afdoende zou zijn.
Hoe zit het nu?
Het Europese Hof brengt nu op voornoemd arrest uit 2014 een nuance aan. Uit het onderhavige arrest blijkt dat het verstrekken van letterlijke kopieën van (delen van) volledige documenten noodzakelijk kan zijn wanneer dit nodig is voor een betrokkene om de eerder genoemde rechten die hij heeft op grond van de AVG daadwerkelijk uit te oefenen. De juridische toets is dat de inzage de betrokkene in staat moet stellen om te controleren of de gegevens die hem betreffen juist zijn of rechtmatig worden verwerkt. Wanneer het achterwege laten van de context waarin de wél verstrekte persoonsgegevens tot uitdrukking komen ervoor zorgt dat deze gegevens niet begrijpelijk zijn, schiet het inzagerecht wat dat betreft te kort. Bij het verstrekken van een overzicht is het daarom belangrijk dat het voor de betrokkene duidelijk is waar de gegevens precies op zien. Gebeurt dit niet, dan kan de betrokkene wegens gebrek aan transparantie niet controleren of de gegevensverwerking rechtmatig is verlopen, en ook niet zijn overige rechten uit de AVG uitoefenen. Of het verstrekken van (delen van) documenten noodzakelijk is om de begrijpelijkheid van de persoonsgegevens te garanderen, moet door de verwerkingsverantwoordelijke van geval tot geval worden beoordeeld. Het Europese Hof geeft enkele voorbeelden van gevallen waar met name de context voor betrokkene van belang is om op transparante wijze inzage te krijgen, zoals wanneer de betreffende gegevens worden gegenereerd uit andere persoonsgegevens of wanneer deze gegevens voortkomen uit open tekstvelden.
Het Europese Hof vermeldt ten slotte nog dat bij het verstrekken van een kopie die ziet op volledige of gedeeltelijke documenten ook rekening moet worden gehouden met de rechten en vrijheden van anderen. Voorbeelden die het Europese Hof noemt zijn bedrijfsgeheimen en intellectuele eigendomsrechten, met name auteursrecht die software beschermt. Ook blijkt uit de rechtspraak dat privacyrechten van derden hieronder vallen.(3) Organisaties zullen, in gevallen dat een overzicht aan persoonsgegevens niet volstaat, zelf een belangenafweging moeten maken tussen de botsende rechten. Hierna kan zij besluiten welke gedeelten van de documenten door de betrokkene wel en niet mogen worden ingezien. Toch kan het resultaat van deze belangenafweging nooit zijn dat betrokkene alle informatie wordt onthouden.
Conclusie – Wat betekent dit voor uw organisatie?
Het arrest van het Europese Hof brengt de nodige consequenties met zich mee voor organisaties die persoonsgegevens verwerken. Wanneer een betrokkene een inzageverzoek doet, zal voortaan een overzicht met de verwerkte persoonsgegevens niet altijd volstaan. De toets om te bepalen wanner dat wel kan en wanneer niet is of het inzagerecht het beoogde doel bereikt namelijk dat betrokkene in staat wordt gesteld zijn overige rechten op grond van de AVG uit te oefenen en de rechtmatigheid van de gegevensverwerking te controleren, wanneer de context noodzakelijk is om de begrijpelijkheid van de verstrekte gegevens te garanderen. De verwerkingsverantwoordelijke moet zelf de afweging maken of het verstrekken van de gegevens in de huidige vorm voldoende begrijpelijk is. Daarbij moet zij een belangenafweging maken met de rechten en vrijheden van anderen. Heeft u verdere vragen over wat deze ontwikkeling in het inzagerecht betekent voor uw organisatie? Neem dan gerust contact met ons op.
1 In een aantal gevallen is dit niet zo, bijvoorbeeld wanneer de organisatie erg veel gegevens verwerkt en het verzoek niet nader is gepreciseerd, wanneer het toewijzen van inzage inbreuk zou maken op de rechten en vrijheden van anderen, en wanneer het verzoek tot inzage een misbruik van recht zou opleveren.
2 Zie voor een vrij recent voorbeeld: ABRvS 2 maart 2022, ECLI:NL:RVS:2022:649.
3 Hof Den Haag 17 september 2019, ECLI:NL:GHDHA:2019:2398.