Geschil na inzageverzoek
De kwestie gaat over een geschil tussen een consument en de privacytoezichthouder in Oostenrijk.
De consument had bij een bedrijfsadviesbureau dat rapportages over kredietwaardigheid (solvabiliteit) uitbrengt een inzageverzoek gedaan. Daarop was aan de consument een overzicht van de verwerkte persoonsgegevens verstrekt, zonder onderliggende documenten.
De consument meende dat hij ook recht had op de onderliggende stukken en diende een klacht in bij de toezichthouder. De toezichthouder wees de klacht af. Daarop stapte de consument naar de rechter. De Oostenrijkse rechter stelde daarop vragen aan het Hof van Justitie.
Hof van Justitie: ruime strekking veel begrippen
De kwestie belandt zo bij het Hof van Justitie. De vraag is daarbij in feite hoe ruim het inzagerecht moet worden uitgelegd.
Het Hof van Justitie onderstreept dat allereerst dat veel begrippen uit de AVG een ruime strekking hebben:
- het begrip persoonsgegevens strekt zich uit tot elk soort informatie, zowel objectieve informatie als subjectieve informatie op voorwaarde dat deze informatie de betrokkene „betreft”, dat is in ieder geval zo wanneer de informatie wegens haar inhoud, doel of gevolg verband houdt met een identificeerbare persoon (zie eerdere arrest Examenresultaten);
- het begrip verwerken is ook ruim gedefinieerd met een niet-uitputtende lijst van handelingen (onder verwijzing naar Letse fiscale kwestie).
Het zijn die ruime begrippen die de 'scope' bepalen van waar het inzagerecht op ziet.
Hof van Justitie: kopie is meer dan omschrijving
Het inzagerecht geeft betrokkene recht op een kopie van de persoonsgegevens. Het Hof stelt vast dat de AVG geen definitie bevat van het begrip kopie. Vandaar dat wordt gekeken naar de taalkundige betekenis en doel en strekking van de bepaling.
Het Hof merkt allereerst op dat een kopie een reproductie is en dat niet kan worden volstaan met algemene omschrijvingen:
(...) verwijst naar de getrouwe reproductie of transcriptie van een origineel, zodat een zuiver algemene beschrijving van de gegevens die worden verwerkt of een verwijzing naar categorieën persoonsgegevens niet aan die definitie voldoet.
Tegelijkertijd stelt het Hof ook vast dat het recht op een kopie van de persoonsgegevens naar de letter van de AVG ziet op precies dat: een kopie van de persoonsgegevens. Uit artikel 15 lid 3 AVG kan niet direct al worden afgeleid dat er recht bestaat op een kopie van documenten waarin persoonsgegevens staan.
Hof van Justitie: ruimer uitleggen gelet op context bepaling
Het Hof wijst er vervolgens op dat er allerlei aanwijzingen zijn die maken dat het inzagerecht in veel omstandigheden ruim moet worden uitgelegd:
- met de AVG is beoogd om de rechten van betrokkenen te versterken;
- de privacyrichtlijn gaf alleen het recht op een verstrekking van verwerkte gegevens, terwijl de AVG uitdrukkelijk spreekt over een kopie van die gegevens;
- het recht van inzage is o.a. bedoeld om vast te kunnen stellen of persoonsgegevens rechtmatig worden verwerkt en om eventueel rechten uit te oefenen;
- de verwerkingsverantwoordelijke is gelet op overweging 60 AVG toch al verplicht alle informatie te verstrekken die noodzakelijk is om een behoorlijke verwerking te waarborgen;
- op grond van artikel 12 AVG moet alle voor de betrokkene bestemde informatie eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal worden gebruikt.
Hof van Justitie: volledig en in context inzage geven
Het Hof leidt hieruit af dat de beantwoording van een inzageverzoek "alle noodzakelijke kenmerken moet vertonen om de betrokkene in staat te stellen de rechten die hij aan deze verordening ontleent daadwerkelijk uit te oefenen".
Dat veronderstelt niet alleen dat de verstrekte volledig en getrouw is, maar ook dat de informatie in de juiste context wordt geplaatst. Alleen dan is de informatie immers begrijpelijk. Dat kan met zich brengen dat het noodzakelijk is dat "uittreksels uit documenten of zelfs volledige documenten of databankuittreksels die onder meer de persoonsgegevens bevatten die worden verwerkt, worden gereproduceerd".
Zeker wanneer er sprake is van persoonsgegevens die uit andere gegevens worden afgeleid of gebaseerd zijn op vrije tekstvelden, is het volgens het Hof onontbeerlijk dat contextuele informatie wordt verschaft:
Wanneer met name persoonsgegevens worden gegenereerd op basis van andere gegevens of wanneer dergelijke gegevens voortvloeien uit open tekstvelden, dit wil zeggen wanneer geen data over de betrokkene worden verstrekt en uit deze lacune informatie over de betrokkene valt af te leiden, is de context waarin deze gegevens worden verwerkt een onontbeerlijk element om de betrokkene in staat te stellen op transparante wijze inzage te krijgen in die gegevens en er een begrijpelijk beeld van te krijgen.
Hof van Justitie: belangenafweging bij botsende belangen
Mocht het inzagerecht botsen met andere belangen, zoals bedrijfsgeheimen of rechten van intellectuele eigendom, dan moet een belangenafweging plaatsvinden. Die afweging mag er echter niet tot leiden dat er helemaal niets meer aan betrokkene wordt verstrekt.
Conclusie: vaker contextuele informatie of documenten verstrekken
Uit het arrest volgt dat in reactie op een inzageverzoek het antwoord volledig en begrijpelijk moet zijn. Dat kan met zich meebrengen dat ook uittreksels van documenten of zelfs volledige documenten waarin persoonsgegevens zijn verwerkt moeten worden verstrekt, voor zover dat noodzakelijk is om de betrokkene in staat te stellen zijn rechten uit te oefenen.
Slotopmerkingen
Er waren tot aan dit arrest twee arresten van het Hof van Justitie inzake het inzagerecht: de asielzoekerskwestie en de examenresultatenkwestie. Het leek erop (*) alsof in de eerste kwestie het inzagerecht eng werd uitgelegd in de tweede kwestie ruim. De vraag was daarmee wat nu de koers van het Hof zou worden. Zeker ook omdat de beide arresten niet goed met elkaar verenigbaar leken te zijn.
In Nederland werd vooral de uitleg in de asielzoekerskwestie omarmd. Een overzicht van de gegevens in begrijpelijke vorm zou volstaan; kopieën van documenten hoefden niet te worden verstrekt. Het leidde zelfs tot gekke paradoxale oordelen waarbij inzageverzoeken werden afgewezen omdat ze werden ingediend met het ‘verkeerde’ doel.
Ondertussen is duidelijk dat de asielzoekerskwestie eerder de uitzondering was en de examenresultatenkwestie de regel. Het begrip persoonsgegevens moet ruim worden uitgelegd en het inzagerecht ook. En aan het inzagerecht kan alleen worden voldaan door de betrokkene te voorzien van alle informatie die noodzakelijk is om te kunnen toetsen of sprake is van een rechtmatige verwerking.
Het is goed om even te markeren dat dit niet alleen geldt voor de interpretatie van het inzagerecht, maar ook voor de interpretatie van het begrip persoonsgegeven. Het Hof omarmt nu opnieuw de interpretatie van de WP29 dat het bij persoonsgegevens gaat om informatie die wegens haar inhoud, doel of gevolg verband houdt met een natuurlijk persoon. Hier lijkt het Hof dus de (enge) interpretatie van het asielzoekersarrest te hebben verlaten.
Het oordeel van het Hof is wetstechnisch gezien wat mij betreft volstrekt logisch. Tegelijkertijd brengt het voor organisaties die te maken krijgen met inzageverzoeken wel (erg) veel werk met zich mee. Zij moeten nu immers bij een inzageverzoek:
- op zoek naar alle (ruim geïnterpreteerde) persoonsgegevens;
- in alle digitale systemen;
- in alle enigszins gestructureerde analoge vormen;
- per gegeven afwegen of het voor de begrijpelijkheid voor betrokkene noodzakelijk is dat contextuele informatie – zoals het brondocument – wordt meegestuurd;
- per gegeven afwegen of belangen van anderen of van de organisatie zelf eventueel zwaarder wegen;
- het eindresultaat van al die afwegingen zo opmaken dat het voor de gemiddelde betrokkene nog begrijpelijk is.
Het is de vraag of het is toegestaan op voorhand aan betrokkene te vragen het verzoek te specificeren, om zo de zoekinspanning te beperken. Naar huidig Nederlands recht is dit mogelijk. Het zou mij echter niets verbazen dat indien de vraag aan het HvJEU zou worden gesteld, dat het Hof die vraag dan (gelet op doel en strekking van het inzagerecht) negatief zou beantwoorden.
Organisaties ontkomen er zodoende eigenlijk welhaast niet aan een echt volledig overzicht te hebben van de persoonsgegevens die ze in huis hebben (vgl. het artikel 30-register). Alleen dan zijn inzageverzoeken immers binnen de termijn te beantwoorden.
Bij een ruime uitleg van het begrip persoonsgegeven is het hebben van een echt volledig overzicht echter welhaast ondenkbaar. Als het begrip persoonsgegeven ruim wordt geïnterpreteerd, dan ontstaan er immers – zeker in kennisintensieve organisaties – voortdurend nieuwe persoonsgegevens (in documenten die worden opgeslagen, analyses die worden gedaan, securitylogs die op de achtergrond worden opgebouwd, telefoonaantekeningen die ergens worden neergelegd, etc.). Zelfs de beste software kan dat niet allemaal live bijhouden (nog daargelaten of het wenselijk is gelet op de privacy van werknemers om dergelijke integrale software te hebben).
Het is in die zin wellicht wachten op een vraag aan het HvJEU hoe het inzagerecht zich verhoudt tot andere (bedrijfseconomisch) belangen en of overweging 4 van de AVG – dat privacy niet absoluut is en moet worden bezien in het licht van de functie ervan in de maatschappij – in deze nog iets betekent.
We gaan dus zien hoe deze materie zich verder ontwikkelt. Mocht u vragen hebben over hoe om te gaan met inzageverzoeken, neem dan gerust contact met mij of een van de collega's uit het privacyteam op.
(*) Overigens is de vraag of de asielzoekerskwestie nu werkelijk zo streng en strikt was inzake de strekking van het inzagerecht. In een artikel uit 2014 wees ik er al op dat bij tweede lezing ook in dat arrest al een ruime uitleg van het inzagerecht te lezen was. Wel signaleerde ik in een ander artikel een paar jaar later dat de beide arresten niet lekker op elkaar aansloten.