De reikwijdte van het inzagerecht in persoonsgegevens: in hoeverre een “Sesam open u”?
Volgens artikel 35 van de Wet bescherming persoonsgegevens (“Wbp”) heeft de degene wiens persoonsgegevens verwerkt worden (“datasubject”) het recht om aan de verwerker van zijn persoonsgegevens (“verantwoordelijke”) het verzoek tot inzage van zijn persoonsgegevens te doen (“inzagerecht”). Maar wat houdt dat recht in en betekent het dat alle gegevens zonder meer verstrekt moeten worden aan de datasubject? Met andere woorden, wanneer het datasubject zijn inzagerecht uitoefent hoe ver reikt het inzagerecht en wat zijn daarbij de aandachtspunten?
De voorgaande vraag stond centraal in de zaak van Gerechtshof ’s-Hertogenbosch van 1 februari 2018. De feiten in die zaak waren als volgt. Natuurlijk persoon X (“datasubject”) had een zakelijke relatie met de Bank (de verantwoordelijke). Nadat de Bank erachter kwam dat X banden had in het criminele circuit en wekelijks contante geldstortingen faciliteerde via de bankrekening, werd de bankrelatie opgezegd. Daarop besloot X om zijn inzagerecht uit artikel 35 Wbp uit te oefenen. De Bank werd verzocht om een overzicht en afschrift te verschaffen van al zijn verwerkte persoonsgegevens “hoe ook genaamd en in welke vorm dan ook”. Ook werd de Bank verzocht om een overzicht te geven van alle ontvangers van de persoonsgegevens van X als ook de herkomst van deze gegevens.
De Bank reageerde daarop door een overzicht aan te leveren van de volgende gegevens:
-
Naam, adres, geboortedatum, geboorteplaats, geslacht, nationaliteit, identiteitskaartnummer; beroep; e-mailadres en telefoonnummer van X;
-
Vermelding van de categorie waaronder de persoonsgegevens vallen (NAW-gegevens);
-
Welke producten en diensten X afneemt (de twee rekeningnummers);
-
De informatiedragers waarin de persoonsgegevens zijn verwerkt (elektronische bestanden);
-
Met wie de gegevens zijn gedeeld (Belastingdienst); en
-
Voor welke doeleinden de persoonsgegevens zijn verwerkt (identificatie, beoordeling en acceptatie van klanten, sluiten en uitvoeren van overeenkomsten en waarborgen van de veiligheid en integriteit van de financiële sector)
X vond de aangeleverde informatie niet voldoende en stelde dat de Bank aan hem kopieën moest verstrekken van alle stukken die persoonsgegevens van hem bevatten. Ook zou de Bank volgens X afdrukken van alle elektronisch vastgelegde documenten en gegevens (e-mails daaronder begrepen) die betrekking hebben op hem moeten aanleveren. Tot slot wilde X de gegevens ontvangen waaruit de link met het criminele milieu zou blijken.
De Bank weigerde het verzoek en stelde dat X niet onderbouwd heeft waarom het door de Bank verstrekte overzicht niet tegemoet komt aan het doel van het inzagerecht. Zij was daarnaast van mening dat zij alle gegevens had aangeleverd die zij op grond van artikel 35 Wbp had moeten aanleveren.
Het hof was het niet eens met X en bepaalde dat niet elk digitaal gegeven of bestand waarin persoonsgegevens voorkomen als zodanig en in totaliteit ook kwalificeert als persoonsgegeven. Daarbij werd verwezen naar het IND arrest van het Hof van Justititie van de Europese Unie, waarin een beperkte uitleg was gegeven aan “persoonsgegevens” waarvan inzage moet worden geboden.
Vervolgens heeft het hof bepaald dat wanneer het datasubject in staat wordt gesteld om kennis te nemen van zijn persoonsgegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met de richtlijn/wet, de verantwoordelijke aan het recht op inzage heeft voldaan. Belangrijke overwegingen daarbij waren als volgt:
-
ook voor artikel 35 Wbp geldt dat dat artikel niet zonder meer recht geeft op inzage in een (afschrift van een) stuk, waarin een persoonsgegeven is opgenomen. Uitgangspunt blijft het Dexia-arrest, waarin is bepaald dat het afhangt van de omstandigheden of inzage dient te worden verleend in (een afschrift van) het stuk waarin een persoonsgegeven is opgenomen;
-
X werd ontoelaatbare “fishing expedition” verweten. Er was sprake van een algemeen verzoek waarbij X niet duidelijk had gemaakt waarom het aan hem verstrekte overzicht onvoldoende was;
-
er was sprake van misbruik van bevoegdheid, omdat X een algemeen verzoek had gedaan zonder te verduidelijken waar hij meer duidelijkheid over wenste. Hierdoor werd de zoektocht naar de aanwezige documenten te omvangrijk en kostbaar voor de Bank, wat niet in redelijkheid van haar gevergd kon worden.
Conclusie
Alle partijen die over persoonsgegevens beschikken, kunnen met dit soort verzoeken worden geconfronteerd op het moment dat een persoon om wiens gegevens het gaat een beroep doet op het inzagerecht bij de verwerker van zijn gegevens. Omdat zulke situaties zich niet alleen voordoen in bank/klant-context maar ook in werkgever/werknemer-relatie, is het zaak om te weten welke persoonsgegevens gedeeld moeten worden. De aangesproken partij kan daarbij de volgende checklist nagaan om vast te stellen welke gegevens (en eventueel afschriften) verstrekt moeten worden:
-
is het verzoek voldoende concreet of is er sprake van een te algemeen verzoek (fishing expedition)?
-
welke gegevens zijn te kwalificeren als persoonsgegevens?
-
wordt het datasubject in staat gesteld om:
-
kennis te nemen van de verwerkte persoonsgegevens;
-
te kunnen controleren of deze gegevens verwerkt zijn in overeenstemming met de wet (en/of richtlijn/verordening); en
-
eventueel correctie- en verzetrechten uit te oefenen?
-
Blauw Tekstra Uding Advocaten kan u behulpzaam zijn bij kwesties betreffende de juiste omgang met persoonsgegevens in het kader van privacy en de uitoefening van het inzagerecht.