Short Reads

Geen recht op kopieën van documenten bij inzageverzoek op grond van Wbp

Geen recht op kopieën van documenten bij inzageverzoek op grond van W

Geen recht op kopieën van documenten bij inzageverzoek op grond van Wbp

25.08.2014 NL law

Op grond van artikel 35 van de Wet bescherming persoonsgegevens (“Wbp“) heeft een ieder het recht om inzage te krijgen in persoonsgegevens die over hem door een ander worden verwerkt. Het inzagerecht vormt een uitwerking van het transparantiebeginsel: via het inzagerecht kan een betrokkene er achter komen of de partij die gegevens over hem verwerkt, dit in overeenstemming met de Wbp doet.

Een betrokkene hoeft niet aan te geven waarom hij inzage wil in zijn persoonsgegevens en hoeft ook geen bijzonder belang hiertoe aan te tonen. Een beroep op het inzagerecht heeft in de praktijk vaak weinig met privacybescherming van doen. Veelal wordt het inzagerecht gebruikt om in het licht van een geschil bepaalde documenten van de wederpartij te verkrijgen. Sinds de inwerkingtreding van de Wbp in 2001 zijn er dan ook al diverse procedures gevoerd omtrent het inzagerecht. De vragen in deze procedures kunnen grofweg in twee categorieën worden ingedeeld: (i) vragen die zien op de discussie welke stukken wel of niet binnen de reikwijdte van het inzagerecht vallen, met name ten aanzien van het al dan niet kwalificeren van bepaalde gegevens als “persoonsgegevens” (gegevens die direct of indirect herleidbaar zijn tot een natuurlijke persoon) en (ii) vragen over de daadwerkelijke uitoefening van het inzagerecht, waarbij vooral de vraag speelt of al dan niet kopieën van documenten die persoonsgegevens bevatten, moeten worden verstrekt.

Met betrekking tot deze laatste vraag verschilden de hoogste Nederlandse rechtscolleges sterk van mening. De hoogste civiele rechter, de Hoge Raad, was van mening dat het inzagerecht ruim moest worden uitgelegd: in beginsel moeten aan iemand die om inzage verzoekt, kopieën van de documentatie worden verstrekt. De hoogste bestuursrechtelijke rechter, de Afdeling bestuursrechtspraak van de Raad van State, hanteert echter als uitgangspunt dat het inzagerecht beperkt moet worden uitgelegd en dat niet altijd kopieën hoeven te worden verstrekt. Volstaan kan worden met het verstrekken van een overzicht van de persoonsgegevens die zijn verwerkt.

Om duidelijk te krijgen welke lijn nu gevolgd moet worden binnen de Nederlandse rechtspraktijk, heeft uiteindelijk zowel de Rechtbank Middelburg als de Afdeling besloten om in het kader van twee verschillende procedures prejudiciële vragen aan het Hof van Justitie van de EU in Luxemburg voor te leggen. Deze route is gevolgd omdat dat het inzagerecht in de Wbp een implementatie vormt van de Europese Privacyrichtlijn 95/46/EC.

In beide procedures werd door aanvragers van een verblijfsvergunning inzage gevraagd in de minuut, waarin onder meer de juridische analyse die ten grondslag lag aan de afwijzing van de verblijfsvergunning wordt weergegeven. De Minister voor Immigratie, Integratie en Asiel weigerde echter een kopie van de minuut te verschaffen, omdat een juridische analyse geen persoonsgegeven zou zijn. Wel ontvangt iemand die om inzage verzoekt een overzicht van de persoonsgegevens die in de minuut zijn opgenomen, met daarbij de informatie over de herkomst van de gegevens en de instanties waarmee de gegevens zijn gedeeld.

De belangrijkste vragen die aan het Hof worden voorgelegd luiden, kort samengevat, als volgt:

  1. Is de juridische analyse die in de minuut wordt opgenomen aan te merken als een persoonsgegeven?
  2. Moet een kopie van de minuut worden verstrekt om te voldoen aan het inzagerecht?

Het Hof heeft deze zaken gevoegd en op 17 juli jl. uitspraak gedaan.

Volgens het Hof kan een juridische analyse in een minuut persoonsgegevens bevatten, maar vormt de analyse op zich geen persoonsgegeven. De analyse is niet als informatie over de aanvrager van de verblijfsvergunning aan te merken, nu de analyse ziet op de uitlegging en de toepassing van het recht op de situatie van de aanvrager. Volgens het Hof is dit in lijn met de achtergrond van het inzagerecht, dat gelegen is in de notie dat een persoon wiens persoonsgegevens worden verwerkt, moet kunnen controleren of dit op een juiste en rechtmatige wijze gebeurt. Bij een juridische analyse kan de betrokkene niet zelf controleren of deze juist is en kan deze evenmin door de betrokkene met een beroep op het correctierecht worden gecorrigeerd. Het doel van de Privacyrichtlijn is het waarborgen van de persoonlijke levenssfeer van de betrokkene, niet het verschaffen van een recht op toegang tot bestuurlijke documenten. Opmerkelijk is dat de Hoge Raad en de Afdeling tot nu toe van mening waren dat indien een betrokkene een beroep deed op het inzagerecht, het doel waarvoor hij dat deed, niet ter zake deed. Het Hof nuanceert dit standpunt enigszins: voor de reikwijdte van het inzagerecht moet wel worden gekeken naar het doel van de Europese wetgever bij het opstellen van de Privacyrichtlijn: het doel van de betrokkene moet daar mee overeenkomen.

Ten aanzien van de wijze waarop aan een inzageverzoek moet worden voldaan, geldt dat het aan de lidstaten is om te bepalen op welke wijze inzage moet worden verstrekt, zolang de gegevens in een voor de betrokkene begrijpelijke vorm worden verstrekt. Dat betekent dat de betrokkene van de gegevens kennis moet kunnen nemen en moet kunnen controleren of zij conform de Privacyrichtlijn zijn verwerkt. Op die wijze kan hij indien nodig zijn rechten, zoals het recht om onjuiste gegevens te corrigeren, uitoefenen. Het verstrekken van kopieën van documenten is dus niet verplicht. De beperkte uitleg van het inzagerecht, zoals door de Afdeling bepleit, lijkt derhalve de te volgen route te zijn. Als toch een kopie wordt verstrekt, dan kunnen alle gegevens die niet als persoonsgegeven zijn aan te merken, waaronder de juridische analyse, onleesbaar worden gemaakt.

In de praktijk zal het nog een behoorlijke uitdaging zijn om te bepalen welke gegevens in een document nu wel, en welke niet als persoonsgegevens moeten worden gekwalificeerd. Zo kan de conclusie die naar aanleiding van de juridische analyse in de minuut kan worden getrokken immers wel weer als informatie die direct betrekking heeft op de betrokkene, en dus als een persoonsgegeven, worden aangemerkt. De uitspraak van het Hof vormt naar mijn mening dan ook zeker niet het eindstation in de discussie over de uitleg van de reikwijdte van het inzagerecht. De conclusie is dan ook: wordt vervolgd.

Related news

08.08.2018 BE law
Modification du contenu de la notice d'évaluation et de l’étude d’incidences en Région wallonne

Articles - Un décret du 24 mai 2018 modifie sur plusieurs points le régime de l'évaluation des incidences des projets sur l'environnement en droit wallon. Ce décret allège, d’une part, le contenu de la notice d'évaluation des incidences sur l'environnement et renforce, d’autre part, le contenu de l'étude d'incidences. Il est applicable aux demandes de permis introduites depuis le 16 juin 2018.

Read more

07.08.2018 NL law
Legislative proposal to protect trade secrets: update

Short Reads - On 5 July 2016, the EU Trade Secrets Directive came into effect (Directive 2016/943/EU). The directive intends to harmonise rules regarding the protection of undisclosed know-how and business information (trade secrets) across all EU member states. As the directive is not directly applicable in the member states, each member state must enact national implementing legislation.

Read more

08.08.2018 NL law
Het beginsel van gelijke kansen geldt ook bij de verdeling van schaarse subsidiemiddelen

Short Reads - Bij de verdeling van schaarse subsidiemiddelen door het bestuur moet op enigerlei wijze aan (potentiële) gegadigden ruimte moet worden geboden om naar de beschikbare middelen mee te dingen. Deze toepassing van het gelijkheidsbeginsel gaat zo ver dat onder omstandigheden het rechtszekerheidsbeginsel ervoor moet wijken. Dit blijkt uit een uitspraak van de Afdeling bestuursrechtspraak van de Raad van State van 11 juli 2018 (ECLI:NL:RVS:2018:2310).

Read more

07.08.2018 NL law
General Data Protection Regulation comes into effect

Short Reads - On 25 May 2018, the European Union's General Data Protection Regulation (GDPR) came into effect. The GDPR replaces the EU's prior directive governing the processing and transfer of personal data, which was in place since 1995. As a regulation, the GDPR is directly applicable in all 28 EU member states and thus removes the need for national implementing legislation. However, the GDPR allows member states discretion in certain areas, as a result of which national legislation may still be implemented. In the Netherlands, the GDPR Implementation Act came into effect on 25 May 2018.

Read more

Our website uses cookies: third party analytics cookies to best adapt our website to your needs & cookies to enable social media functionalities. For more information on the use of cookies, please check our Privacy and Cookie Policy. Please note that you can change your cookie opt-ins at any time via your browser settings.

Privacy – en cookieverklaring