Een privacyparadox: waarom een te eerlijk inzageverzoek moet worden afgewezen en een neutraal inzageverzoek niet

3 augustus 2018, laatst geüpdatet 11 september 2024
Het inzagerecht uit het privacyrecht wordt steeds meer gebruikt. En dat is ook wel logisch; het is een makkelijke manier om bewijs te verzamelen. Of er werkelijk veel burgers zijn die uit louter interesse hun gegevens opvragen waag ik te betwijfelen. De paradox is echter: zodra de verzoeker eerlijk vermeldt dat het om bewijsverzameling te doen is, moet (althans mag) het inzageverzoek worden afgewezen. Hoe zit dat? In deze blog leg ik dit kort uit.
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
In dit artikel

Het inzagerecht uit het privacyrecht wordt steeds meer gebruikt. En dat is ook wel logisch; het is een makkelijke manier om bewijs te verzamelen. Of er werkelijk veel burgers zijn die uit louter interesse hun gegevens opvragen waag ik te betwijfelen. De paradox is echter: zodra de verzoeker eerlijk vermeldt dat het om bewijsverzameling te doen is, moet (althans mag) het inzageverzoek worden afgewezen. Hoe zit dat? In deze blog leg ik dit kort uit.

Twee richtingen bij inzageverzoeken

Bij inzageverzoeken spelen juridisch gezien allerlei vragen. Grosse modo komen deze neer op:

  1. is het inzagerecht van toepassing?
  2. zo ja, waar heeft de betrokkene dan precies recht op?

Daarbij hebben zich verschillende richtingen in de rechtspraak ontwikkeld.

Toepasselijkheid hangt af van doel

In 2014 wees het Hof van Justitie de eerste zaak over het inzagerecht. Die kwestie had een asielrechtelijke achtergrond. Een van de kernoverwegingen in dat arrest is (geparafraseerd) dat het inzagerecht bedoeld is zodat de betrokkene "zich ervan kan vergewissen dat zijn persoonsgegevens juist zijn en rechtmatig worden verwerkt", maar niet bedoeld is om "hem een recht van toegang tot bestuurlijke documenten te verzekeren".

Recent zie je dit bijvoorbeeld ook terugkomen in het oordeel van de Hoge Raad:

"De onderhavige vordering van [eiseres] is gericht op verkrijging van informatie ten behoeve van de onderhavige procedure en niet op het doel waartoe Richtlijn 95/46/EG strekt (...). Het gaat hier dus niet om persoonsgegevens in de zin van die richtlijn. Vgl. het hiervoor vermelde arrest van het HvJEU van 17 juli 2014, punten 44-46. Het hof heeft daarom terecht geoordeeld dat [eiseres] aan de Wbp niet een recht op verstrekking van de medische analyse van Lequin kan ontlenen.".

Met andere woorden: zodra je stelt dat je een inzageverzoek doet met als doel om bewijs te verzamelen, dan is de privacywetgeving niet van toepassing.

Ruim inzagerecht voor examenkandidaten

In 2017 heeft hetzelfde Hof van Justitie een ander arrest gewezen over het inzagerecht, ditmaal in verband met examenresultaten. En opmerkelijk genoeg zie je dat het Hof het privacyrecht hier heel ruim uitlegt.

In deze kwestie wilde een student die voor de zoveelste keer was gezakt voor zijn examen inzage hebben in zijn eigen examen. Dat verzoek werd hem geweigerd. De student was volhardend, want ondanks afwijzingen door 4 nationale rechters procedeerde hij door tot aan de hoogste nationale rechter. Deze hoogste rechter verwees de kwestie naar het Hof van Justitie.

Het Hof van Justitie benadrukt in deze kwestie dat het begrip 'persoonsgegevens' ruim moet worden uitgelegd. Het Hof toetst of bepaalde gegevens voor wat betreft inhoud, doel of gevolg gelieerd is aan een natuurlijk persoon (overigens geheel conform de opinie 4/2007 van de WP29). En concludeert dat de antwoorden op een examen en het commentaar van de examinator aan al die criteria voldoen.

Interessant is dat in deze kwestie was betoogd dat het begrip "persoonsgegeven" niet te ruim zou moeten worden uitgelegd, omdat dit de onbedoelde consequentie zou hebben dat er dan een recht op inzage zou bestaan. Het Hof draait dit argument om door te stellen dat juist de privacybescherming behouden moet blijven: "Bijgevolg zou het niet-kwalificeren als „persoonsgegevens” van informatie betreffende een kandidaat (...) die informatie volledig onttrekken aan de bescherming van de beginselen en waarborgen inzake persoonsgegevens (...)". Sterker nog, even verderop oordeelt het Hof: "dat het verlenen van een recht op toegang tot die antwoorden en opmerkingen krachtens artikel 12, onder a), van deze richtlijn, het doel van die richtlijn dient".

Dit oordeel lijkt diametraal te staan op het oordeel in de hiervoor aangehaalde uitspraak inzake asielzoekers. Waar het Hof

  • in 2014 oordeelt dat het privacyrecht niet bedoeld is om documenten op te vragen;
  • oordeelt het in 2017 dat het niet zo kan zijn dat het privacyrecht beperkt moet worden uitgelegd louter om te borgen dat er maar geen documenten moeten worden vrijgegeven.

Waar precies recht op?

Ook voor wat betreft de omvang van het inzagerecht lijken de uitspraken haaks op elkaar te staan.

In de asielzoekers-kwestie spreekt het Hof nog over een "volledig overzicht in begrijpelijke vorm". En dat oordeel zien we in diverse Nederlandse uitspraken terugkomen.

In het examenresultaten-arrest concludeert het Hof dat de kandidaat recht heeft op toegang tot zijn eigen antwoorden en de opmerkingen van de examinator. Daarbij wordt aangetekend dat zelfs een handschrift kwalificeert als persoonsgegeven. Met andere woorden: de student heeft recht op een kopie van zijn examen (evt. de vragen afgeschermd).

Overigens wordt bij de "begrijpelijk overzicht"-rechtspraak m.i. al regelmatig uit het oog verloren dat het Hof de zin vervolgt met "dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij de artikelen 12, sub b en c, 14, 22 en 23 van die richtlijn verleende rechten kan uitoefenen". Om te kunnen controleren of doelbinding wordt nageleefd zal een overzicht van sec de persoonsgegevens bijvoorbeeld vaak al niet (kunnen) volstaan. Zie ook mijn artikel dat ik destijds in P&I schreef.

Is het billijk eerlijk gedrag af te straffen?

Waar verschillen de student en de asielzoeker in deze kwesties nu echt in? Ze wilden beide toegang tot documenten om een bepaald juridisch gevolg aan te kunnen vechten. De asielzoeker wilde de afwijzing van de asielaanvraag aanvechten, de student wilde het zakken voor het examen aanvechten.

Is het nu zo dat namens de asielzoeker eerlijk is betoogd dat het eigenlijk om bewijsverzameling te doen is? Bij nazoeken blijkt dat dit niet het geval is. De asielzoekers uitspraak komt voort uit vragen van de rechtbank Middelburg en de Raad van State. In die uitspraken is te lezen:

  • Middelburg: “Eiser wil echter door inzage in de minuut controleren of de gegevens op juiste en volledige wijze zijn verwerkt. Er is geen andere manier om dit te controleren dan door inzage in de minuut.
  • Raad van State: “[verzoeker B] stelt zich op het standpunt dat de minister gehouden is de gehele minuut te verstrekken, aangezien het anders niet mogelijk is om na te gaan welke persoonsgegevens daarin zijn verwerkt en te controleren of die gegevens op de juiste wijze zijn verwerkt."

Alleen bij de kwestie van de Hoge Raad is uit de proceshouding van partijen duidelijk af te leiden dat het om bewijsvergaring ging. De procedure was daar namelijk gebaseerd op artikel 843a Rv (een artikel om afschrift van documenten te eisen) en het privacyrecht werd er alleen maar zijdelings bijgehaald.

De (m.i. wonderlijke) consequentie van de huidige stand van zaken in de privacyrechtspraak is dus dat een eiser die bij een inzageverzoek eerlijk vermeldt - of waarvan de rechter vindt - dat het hem om bewijsvergaring te doen is de zaak verliest, terwijl een eiser die zich daar niet over uitlaat de zaak zou moeten winnen.

Recente nuancering door het Gerechtshof Den Haag

Uit een recente uitspraak van het Gerechtshof Den Haag blijkt dat dit Hof voorgaande vragen genuanceerd ziet.

Het Hof overweegt namelijk als volgt: “Gelet op het voorgaande is het doel van artikel 35 Wbp dat de betrokkene kan controleren of zijn persoonsgegevens juist en rechtmatig worden verwerkt. (…) Het belang van [appellant] bij zijn verzoek is hiermee gegeven. Dat [appellant] daarbij mogelijk tevens een ander belang heeft (gehad), te weten het verkrijgen van gegevens om deze te gebruiken in een gerechtelijke procedure – het hof merkt op dat de tussen partijen bij het gerechtshof Amsterdam aanhangige procedure inmiddels in staat van wijzen is – is ontoereikend om aan te nemen dat hij van dit recht misbruik maakt. Onder deze omstandigheden kan immers niet worden geoordeeld dat [appellant] zijn recht uitoefent voor een ander doel dan waarvoor het is verleend.

Conclusie: het laatste woord is hier nog niet over gezegd

Uit het voorgaande volgt dat het laatste woord over het inzagerecht nog lang niet gezegd is. De uitspraak van het HvJEU uit 2014 is tot op heden vrij ruimschoots omarmd in de rechtspraak, maar de vraag of dit na de uitspraak uit 2017 houdbaar is. Zeker wanneer bedacht wordt dat het netto effect van die bestendige lijn in feite is dat eerlijkheid wordt afgestraft. Een dergelijk netto effect lijkt me niet bepaald een rechtstaat waardig.

Wilt u zelf een inzageverzoek doen, dan doet u er dus in ieder geval goed aan vooral niet te eerlijk te zijn. En vooral te hameren op de principiële grondrechtelijke aspecten van uw verzoek.

Ontvangt u als organisatie een inzageverzoek? Laat u dan goed adviseren, want u ziet dat er allerlei verweren denkbaar zijn.

Neem voor vragen over het privacyrecht gerust contact op met mij of een van de andere advocaten uit het privacyteam.

Gerelateerd

Gebalanceerde stenen

Langjarige samenwerkingscontracten: het nut van een goede balansbepaling

Samenwerkingscontracten worden vaak voor langere tijd (>5 jaar) aangegaan. Vaak wordt een bepaalde mate van exclusiviteit afgesproken maar dat kan ook gaan...
vrouw justitia

De (bijzondere) zorgplicht van de IT-leverancier: een overzicht

Welke inspanning mag van een IT-leverancier verwacht worden? De beantwoording van die vraag wordt gekleurd door de zorgplicht van een IT-leverancier. En deze...

Hoe goed is jouw bedrijf beveiligd?

Alle computerschermen op zwart, een natuurramp, of een inbraak midden in de nacht. Het is de nachtmerrie van iedere bestuurder. Voor belangrijke organisaties,...

Opnieuw verbod op tracking cookies in kort geding

Nadat onlangs Criteo al een verbod kreeg om tracking cookies te plaatsen zonder toestemming, is nu ook aan Microsoft, LinkedIn, MIOL en Xandr een verbod...

Aandachtspunten bij het gebruik van AI in de zorg (deel II)

Artificial Intelligence (AI) is een gamechanger voor de gezondheidszorg. Voor een sector die kampt met personeelstekorten en groeiende kosten, kan...

Verplichte basisverzekering arbeidsongeschiktheid voor zelfstandigen: een stap dichterbij een gelijker speelveld voor werknemers en zelfstandigen met huidig wetsvoorstel?

Op 11 juni 2024 is de internetconsultatie gestart voor het wetsvoorstel Wet basisverzekering arbeidsongeschiktheid zelfstandigen.
No posts found