Privacy, de fundamenten: Inzagerechten

Show Notes

Wat zegt de AVG over inzagerechten? En wat betekent dit voor een organisatie en voor privacy professionals? ​​In deze aflevering wordt hier op ingegaan met Gerrit-Jan Zwenne, hoogleraar privacyrecht in Leiden en aan de Open Universiteit en advocaat partner bij Pels Rijcken. 

Transcript

Aankondiging: Dit is een podcast van het CIP: het Centrum voor Informatiebeveiliging en Privacybescherming.

Walter van Wijk: Deze podcast is onderdeel van een serie met als titel 'Privacy, de fundamenten'. In deze aflevering gaan we in op het inzagerecht onder de AVG. Onze gast is Gerrit-Jan Zwenne, advocaat bij Pels Rijcken en hoogleraar bij de Universiteit Leiden en de Open Universiteit. Gerrit-Jan, wat zegt de AVG over inzagerechten?

Gerrit-Jan Zwenne: De AVG geeft betrokkenen, datasubjecten, individuen - zoals jij en ik, de consument, de patiënt - het recht om uitsluitsel te krijgen of er over hen persoonsgegevens worden verwerkt. Zo ja, dan heb je het recht om een kopie te krijgen van die persoonsgegevens. Meestal zal dat een overzicht van de persoonsgegevens zijn, zoals een tabel in Microsoft Word of Excel. Daarin bevinden zich dan de persoonsgegevens die door de betreffende organisatie over jou als betrokkene worden verwerkt. Daarnaast heb je aanspraak op allerlei informatie over waarvoor die gegevens worden verwerkt en aan wie die zijn verstrekt. Er moet ook worden vermeld bij wie je kan klagen en dat er een rectificatierecht is. Dat is wat de AVG kort gezegd bepaalt over het inzagerecht.

Walter van Wijk: In een andere aflevering in deze serie komen we op de rectificatie terug. Klopt het dat het vooral gaat over de juistheid en de rechtmatigheid van de gegevens die worden gebruikt of verwerkt?

Gerrit-Jan Zwenne: Daar is wat veranderd. In overweging 63 van de AVG staat dat het doel van het inzagerecht is dat je de rechtmatigheid van de gegevensverwerking kan controleren. In het verleden zagen we dat iemand die een inzageverzoek deed voor een ander doel, het risico liep dat de rechter zei dat het misbruik van recht was. De motivering daarbij was dan dat diegene die gegevens niet wilde hebben vanwege zorgen over de rechtmatigheid van de verwerking, maar vanwege aansprakelijkheidsstelling van bijvoorbeeld de werkgever of de tandarts. De bedoeling van het inzagerecht is niet het aansprakelijk stellen van je tandarts. In het verleden zag je dat de inzage om die reden kon worden geweigerd. De rechter zei dan dat het misbruik van recht was.

Gerrit-Jan Zwenne: In 2023 was er een arrest van het Hof van Justitie. Dat is de hoogste rechter die gaat over de AVG en het Handvest. Daarin is uitgemaakt dat ook als je het inzageverzoek met een ander doel doet, er aan moet worden voldaan. De beperking waarbij het inzagerecht bedoeld is om de rechtmatigheid van de verwerking te controleren, lijkt met dat arrest te zijn weggevallen. Onlangs is door de Europese Commissie de Digital Omnibus gepresenteerd. Daar heb je vast van gehoord, want het heeft veel ophef gegeven. Daarbij gaat het om de beperking waarbij je het recht op inzage alleen mag gebruiken om jouw gegevens te beschermen en de rechtmatigheid te beoordelen. Die lijkt de commissie toch weer te willen invoeren. Dat is een wijziging van artikel 12 van de AVG.

Gerrit-Jan Zwenne: Dat moet nog een wetgevingstraject in. De Commissie wil in de AVG opnemen dat je jouw inzagerecht alleen mag uitoefenen om jouw gegevens te beschermen. Wat precies wordt bedoeld met 'jouw gegevens te beschermen', is me nog niet duidelijk. Het lijkt nadrukkelijk te zijn bedoeld om de uitspraak van het Hof van Justitie - de hoogste Europese rechter - terug te draaien. Men vindt dat in Brussel kennelijk niet een gewenste uitleg van de AVG.

Walter van Wijk: Dat houdt in dat over de correcte interpretatie van die inzagerechten de nodige onduidelijkheid is. De verschillende hoven lijken daar andere ideeën over te hebben dan op dit moment in de wet beschreven staat.

Gerrit-Jan Zwenne: Het is duidelijk. Het Hof van Justitie is de hoogste rechter. Dat is de laatste autoriteit. De Europese Commissie - de wetgever - wil de AVG aanpassen om de reikwijdte beperkter te maken. Als de Commissie zijn zin krijgt, zul je vaker het argument zien dat de verwerkingsverantwoordelijke - de controller, degene die beschikt over de gegevens - vaker kan zeggen dat iemand zijn of haar inzagerecht gebruikt voor een doel waar het niet voor bedoeld is. Dat is misbruik van recht, dus je krijgt geen inzage. Dat zal op dit moment niet vaak voorkomen. Dat geldt dan alleen voor extreme gevallen. Ik zag laatst een uitspraak waar iemand vijftien jaar geleden was ontslagen en sindsdien meer dan veertig inzageverzoeken had gedaan. De nationale rechter noemt dat misbruik van recht.

Gerrit-Jan Zwenne: Daar zal niet veel aan veranderen. De Europese Commissie - de wetgever - wil het doel van het inzagerecht duidelijker definiëren. Daar hebben ze nu een voorstel voor gepresenteerd. Op dit moment mag je een inzageverzoek doen om je werkgever, de Staat of je tandarts aansprakelijk te stellen. Het Hof van Justitie zegt dat dit mag. De Commissie zegt dat dit niet de bedoeling is. Het gaat er niet om dat je jouw werkgever aansprakelijk kan stellen. Het gaat erom dat jij je persoonsgegevens kan beschermen.

Walter van Wijk: Dit gaat over waarom iemand een beroep wil doen op zijn of haar inzagerechten. Wat valt er precies onder?

Gerrit-Jan Zwenne: Je krijgt uitsluitsel over of je gegevens worden verwerkt. Zo ja, dan krijg je een kopie van die gegevens. Dat is niet hetzelfde als een kopie van het dossier of het document. Het kan zijn dat je een overzicht krijgt van de gegevens die op jou betrekking hebben. De verwerkingsverantwoordelijke zegt dan dat bijvoorbeeld je naam, achternaam, geboortedatum en beroep zijn geregistreerd en hoe die zijn gespeld en genoteerd. Misschien is genoteerd dat je een aandoening of ziekte hebt en is je BSN genoteerd. Dat krijg je in een overzicht. In voorkomende gevallen kan een verwerkingsverantwoordelijke ervoor kiezen om een kopie van een dossier te verstrekken. Dat heeft meer voeten in de aarde, omdat je dan gegevens van anderen die in dat dossier staan, moet verwijderen of zwart maken.

Walter van Wijk: Je krijgt dus een kopie van je gegevens, maar zonder de context waarin het gebruikt wordt. Dit zijn de regels en afspraken. Wat betekent dit? We maken deze serie vooral voor privacy-officers, specifiek binnen de Nederlandse overheid. Wat betekent dit voor een organisatie en voor privacy-professionals?

Gerrit-Jan Zwenne: Dat je er op voorbereid moet zijn dat er inzageverzoeken kunnen komen. Je moet de processen hebben om op een goede wijze - in beginsel binnen een maand - aan zo'n verzoek te voldoen. Je moet een afwegingskader hebben. Er kunnen situaties zijn waarin je geen inzage hoeft te geven. Als de rechten en vrijheden van jouw organisatie of medewerkers in de organisatie worden geraakt, hoef je wellicht geen inzage te geven. Als iemand vraagt om inzage in alle email-correspondentie waarin deze persoon wordt genoemd, kun je je voorstellen dat de medewerkers die deze e-mails hebben gestuurd, daar bezwaar tegen maken. Ze vinden dan dat ze in vrijheid met elkaar van gedachten moeten kunnen wisselen over het betreffende dossier of de betreffende zaak.

Gerrit-Jan Zwenne: Tenminste zul je de namen en e-mailadressen van die mensen zwart moeten maken. Die mag je dan niet verstrekken. Het kan zijn dat je uit de context kunt afleiden dat het de medewerker moet zijn met wie de verzoeker dat onaangename gesprek heeft gehad. Het kan zijn dat die gegevens dan niet worden verstrekt. Ik moet je op een punt aanvullen. Als de context waarin de gegevens zijn geplaatst, relevant is om te kunnen beoordelen of het rechtmatig is, moeten er wel kopieën van documenten worden verstrekt. As de context bepalend en belangrijk is, kan het zijn dat er toch een kopie van een document moet worden verstrekt. Het uitgangspunt is dat je volstaat met een overzicht van de gegevens die de verwerkingsverantwoordelijke verwerkt.

Walter van Wijk: Ik hoor jou een maand noemen. Is dat wat de wet zegt? Moet je binnen een maand gereageerd hebben? Is dat dan inhoudelijk of mag je volstaan met: we hebben uw verzoek ontvangen, we komen er binnenkort op terug?

Gerrit-Jan Zwenne: Nee. Je stuurt binnen een week een ontvangstbevestiging. Binnen een maand moet je aan het verzoek hebben voldaan. Dat is de hoofdregel. Als het heel omvangrijk of ingewikkeld is, moet je wel binnen die maand laten weten dat je maximaal twee extra maanden nodig hebt. Het moet dan wel complex en veel omvattend zijn. De verwerkingsverantwoordelijke kan zichzelf meer tijd geven, maar die moet dat dan binnen een maand hebben gemeld.

Walter van Wijk: Dit is fundamenteel en rudimentair. Dat is ook waar deze serie voor bedoeld is. Gerrit-Jan Zwenne, advocaat en hoogleraar, dank voor je uitleg over het inzagerecht onder de AVG. Bekijk of beluister ook de andere afleveringen in deze serie. Daarin besteden we aandacht aan onderwerpen als: wat is de definitie van persoonsgegevens, wat is de verwerkingsverantwoordelijke, wat is een DPIA, wat is een verwerkingsregister, hoe ga je om met datalekken en nog meer. Deze serie is geproduceerd door CIP: het Centrum Informatiebeveiliging en Privacybescherming en werd mede mogelijk gemaakt door CIO Rijk.

Afsluiting: Je luisterde naar een podcast van het CIP. Wij ontwikkelen en delen kennis op het gebied van informatieveiligheid. Meer daarover kun je vinden op onze website: cip-overheid.nl. Tot de volgende keer.