Data & Privacy jurisprudentieblog | december 2025

    - - / 30 December 2025

    In dit blog worden twee recente uitspraken besproken die betrekking hebben op het inzagerecht. Het Gerechtshof Arnhem-Leeuwarden oordeelde dat het recht op inzage in ontvangers van persoonsgegevens kan worden beperkt wanneer dit zou leiden tot openbaarmaking van bedrijfsgeheimen en concurrentiegevoelige informatie. Daarnaast verduidelijkte de Afdeling Bestuursrechtspraak van de Raad van State dat het begrip persoonsgegeven in de Wet justitiële en strafvorderlijke gegevens ruim moet worden uitgelegd en dat het Openbaar Ministerie bij inzageverzoeken niet kan volstaan met het verstrekken van uitsluitend NAW-gegevens.

    Inzage stopt waar het klantenbestand begint

    In deze uitspraak boog het Gerechtshof Arnhem-Leeuwarden zich over de vraag of een bedrijfsinformatiespecialist een verzoeker een overzicht moest geven van de ontvangers van bedrijfsinformatie waarin persoonsgegevens waren opgenomen.

    Wat was er aan de hand?

    Verzoeker is een bedrijfsinformatiespecialist die onder andere in Nederland kredietinformatie over bedrijven verzamelt, samenstelt en beschikbaar stelt aan afnemers. Een groot deel van de informatie die verzoeker verwerkt, wordt gehaald uit het handelsregister van de Kamer van Koophandel (KvK).

    Verweerder is bestuurder en aandeelhouder van twee B.V.’s die in het handelsregister van de KvK staan ingeschreven. Verzoeker heeft, ten behoeve van haar dienstverlening, gegevens over de B.V.‘s in haar database opgenomen. In deze database zijn persoonsgegevens, zoals de naam en geboortedatum van verweerder, verwerkt. Verzoeker is verwerkingsverantwoordelijke voor deze gegevens.

    Nadat de gegevens van verweerder in de database zijn opgenomen, heeft verzoeker verweerder van deze verwerking op de hoogte gesteld, waarna verweerder een inzageverzoek op grond van artikel 15 Algemene verordening gegevensbescherming (“AVG”) heeft ingediend. De reactie van verzoeker op dit inzageverzoek voldeed grotendeels aan de meeste eisen van artikel 15, maar liet in het midden wie de ontvangers van de persoonsgegevens precies waren. Verzoeker besloot aan dit inzageverzoek te voldoen door o.a. een lijst van categorieën van ontvangers (zoals banken, verzekeraars, leasemaatschappijen en groothandels) aan verweerder te verstrekken. Verzoeker weigert concrete namen van ontvangers te verstrekken en verwijst daarbij naar de vertrouwelijkheid van de gegevens en het concurrentiebelang dat zij heeft bij het niet verstrekken van deze informatie. Hiermee is verweerder het niet eens. Verweerder stapte naar de rechter die in eerste aanleg oordeelde dat verzoeker alle ontvangers van persoonsgegevens aan verweerder dient mede te delen op grond van artikel 15 lid 1 sub c AVG. Verzoeker is het hier niet mee eens en stelt hoger beroep in bij het hof Arnhem-Leeuwarden.

    Belangenafweging van het hof

    Concreet beoordeelde het hof of verweerder recht had op een overzicht van alle ontvangers van zijn persoonsgegevens of dat verzoeker kon volstaan met een overzicht van categorieën van persoonsgegevens zoals verzoeker deze al eerder had aangeleverd. Het hof oordeelde dat de verwerkingsverantwoordelijke in beginsel een lijst van ontvangers van persoonsgegevens moet aanbieden. Deze informatie moet de betrokkene in staat kunnen stellen om de rechtmatigheid van de verwerking te toetsen. Het hof oordeelt, in lijn met de AVG, de Uitvoeringswet Algemene wet gegevensbescherming (“UAVG”) en Europese rechtspraak, dat het recht op inzage niet absoluut is en dat het inzagerecht geen afbreuk mag doen aan de rechten en vrijheden van anderen. Dit betekent dat er een afweging gemaakt dient te worden tussen de belangen van verweerder en de belangen van de verzoeker. Hierbij specificeert het hof dat bedrijfsgeheimen ook vallen onder belangen van anderen dan de betrokkenen.

    Verzoeker is van mening dat de lijst van ontvangers van persoonsgegevens een bedrijfsgeheim inhoudt in de zin van de Wet bescherming bedrijfsgeheimen. Daarnaast verwijst verzoeker naar de vertrouwelijkheidsafspraken die deze met haar klanten gemaakt heeft. Het prijsgeven van deze namen zou deze vertrouwelijkheid doorbreken en concurrenten inzicht geven in het klantenbestand van verzoeker en wie wanneer welke kredietinformatie afneemt. Verder haalt verzoeker de verwerkte persoonsgegevens uit het openbare handelsregister van de KvK en registreert de KvK niet wie het handelsregister inziet. Een bestuurder kan dus ook niet via de KvK achterhalen wie zijn persoonsgegevens heeft opgevraagd. Er bestaat dus geen verschil van informatievoorziening als verzoeker niet onthult wie van haar afnemers persoonsgegevens van verweerder heeft opgevraagd.

    Het hof vindt van belang dat verzoeker gereageerd heeft op alle overige, op artikel 15 AVG gebaseerde vragen. Zo heeft verzoeker afschriften verstrekt van de bedrijfsrapportages waar inzage is geweest zodat verweerder inzage krijgt in de manier waarop zijn persoonsgegevens zijn verwerkt en verstrekt aan derden. Verzoeker heeft daarnaast ook een overzicht van categorieën van persoonsgegevens verstrekt aan verweerder. Het hof vindt daarom dat er geenszins sprake is van een situatie dat verweerder alle informatie wordt onthouden.

    Kijkend naar de belangen van verzoeker vindt het hof dat verzoeker een voldoende zwaarwegend belang heeft om bedrijfsinformatie vertrouwelijk te houden. Openbaarmaking van het klantenbestand brengt een reëel risico op concurrentienadeel met zich mee. Het argument van verweerder dat verzoeker per afzonderlijke ontvanger moet beoordelen of de identiteit van deze ontvanger vertrouwelijk is, wordt door het hof verworpen. Het gaat volgens het hof juist over de bescherming van het klantenbestand in zijn geheel en niet om individuele derden die gebruik hebben gemaakt van de dienst.

    Op basis van bovenstaande belangenafweging concludeert het hof dat het niet verlenen van inzage op basis van de bescherming van bedrijfsgeheimen en concurrentiebelangen in deze zaak noodzakelijk en proportioneel is in de zin van artikel 23 AVG en artikel 41 lid 1 i UAVG. Het hof vernietigt de beschikking van de rechtbank voor zover deze bepaalt dat verzoeker een volledige lijst met ontvangers moet verstrekken en wijst verweerder op dit punt af.

    Betekenis voor de praktijk

    Waar het recht op inzage in ontvangers op basis van artikel 15 AVG ruim is uitgelegd in Europese rechtspraak, laat deze uitspraak zien dat in concrete gevallen het recht van artikel 15 kan worden beperkt op basis van bescherming van bedrijfsbelangen. Als een inzageverzoek neerkomt op het prijsgeven van een klantenbestand, kan het recht op inzage worden beperkt. De ontvanger van het inzageverzoek moet er wel voor zorgdragen dat alle overige vragen die beantwoord moeten worden op basis van artikel 15 op een juiste en transparante manier worden beantwoord. Ook moet de ontvanger kunnen onderbouwen dat deze schade lijdt als de namen van ontvangers openbaar gemaakt worden. De betrokkene moet altijd genoeg informatie ontvangen rondom de verwerking om zijn overige AVG-rechten effectief te kunnen uitoefenen.

    Meer openheid in strafdossiers: OM moet verder kijken dan NAW-gegevens

    In deze uitspraak van de Afdeling bestuursrechtspraak van de Raad van State (“ABRvS”) boog de Afdeling zich over het begrip 'persoonsgegeven', de uitleg daarvan in het geval van een inzageverzoek in strafvorderlijke gegevens, en de reikwijdte van de inzageplicht van het Openbaar Ministerie op grond van de Wet justitiële en strafvorderlijke gegevens (“Wjsg”).

    Wat was er in deze zaak aan de hand?

    Appellanten hebben het College van procureurs-generaal (hierna: “het College”), het bestuur van het OM, verzocht om inzage in strafvorderlijke gegevens die het OM over hen verwerkt. Appellanten wilden langs deze weg controleren of hun persoonsgegevens juist en rechtmatig door het OM werden verwerkt. Het College heeft uiteindelijk inzage verschaft in een inventarisatielijst met globale aanduidingen van documenttypes en documenten waarin persoonsgegevens van de betrokkenen voorkwamen. In de documenten waren veel gegevens zwartgelakt omdat deze grotendeels persoonsgegevens van derden bevatten. In eerste aanleg heeft de rechtbank Den Haag geoordeeld dat het College voldoende inzage had gegeven in de gegevens en dat de weggelakte gegevens geen persoonsgegevens van appellanten betroffen.

    De beoordeling van de ABRvS

    Om tot een juist juridisch kader te komen, stelt de ABRvS allereerst vast dat de rechtbank Den Haag onjuist zowel de Wjsg als de AVG heeft getoetst. De ABRvS stelt dat de AVG niet toepasselijk is omdat het hier gaat om de verwerking van persoonsgegevens met het oog op de strafrechtelijke opsporing en handhaving. Dit valt niet onder de reikwijdte van artikel 2 lid 2 sub d AVG, maar onder Richtlijn (EU) 2016/680, welke in Nederland geïmplementeerd is in de Wjsg. De Wjsg moet daarom in deze zaak als toetsingskader worden gehanteerd.

    De ABRvS buigt zich over de vraag hoe ruim het begrip persoonsgegeven uit de Wjsg moet worden uitgelegd. Appellanten voeren aan dat het College dit begrip veel te beperkt heeft uitgelegd door alleen NAW-gegevens te verstrekken. Zij zijn van mening dat hieronder ook contextuele informatie, tenlasteleggingen, beschrijvingen en een onderzoeksnaam onder moet vallen. De ABRvS is het hiermee eens en verwijst naar het Nowak-arrest van het Hof van Justitie van de Europese Unie. In deze zaak is bepaald dat het begrip persoonsgegeven zeer ruim moet worden uitgelegd. Deze definitie kan ook subjectieve en contextuele informatie omvatten zolang deze wegens inhoud, doel of gevolg aan een persoon is verbonden. De ABRvS oordeelt dat deze uitleg ook gold voor de Wjsg, met het oog op een uniforme uitleg van Unierechtelijke begrippen. Met deze uitleg in gedachte oordeelde de ABRvS dat een tenlastelegging tegen een betrokkene een persoonsgegeven is, dat een onderzoeksnaam die aan een betrokkene is gekoppeld ook een persoonsgegeven is en dat het enkel verstrekken van NAW-gegevens een betrokkene niet in staat stelt om zijn rechten effectief uit te oefenen. De ABRvS oordeelde daarom dat de rechtbank Den Haag het begrip persoonsgegeven te restrictief heeft uitgelegd.

    De ABRvS oordeelt daarnaast dat de inventarisatielijst die het College heeft verstrekt onvoldoende specifiek is. Een kale opsomming van documenttypen en documentnummers geeft de betrokkene onvoldoende informatie om te controleren welke persoonsgegevens worden verwerkt, met welk doel dit gebeurt en of deze verwerking rechtmatig is. Het beroep wordt daarom gegrond verklaard en het bestreden besluit wordt vernietigd. Dit betekent dat het College een nieuw besluit moet nemen, waarin alsnog inzage wordt verleend in alle persoonsgegevens van appellanten en dat de inventarisatielijst moet worden aangevuld.

    Betekenis voor de praktijk

    Deze uitspraak verduidelijkt het begrip persoonsgegeven uit de Wjsg. Het begrip persoonsgegeven moet net zo ruim worden uitgelegd als in de AVG. Dat betekent een verruiming van de gegevens waarin het OM desgevraagd inzage moet verlenen. Inzageverzoeken kunnen niet worden afgedaan met een minimale informatievoorziening. Transparantie is het uitgangspunt, tenzij zwaarwegende belangen dit aantoonbaar verhinderen.

    Meer jurisprudentie lezen? Bekijk ons privacy jurisprudentieblog van de vorige maand.

    Privacy jurisprudentieblog | november 2025
    Terug naar overzicht

    Paul Bex

    Legal Counsel
    Lees meer
    CTA - Data & privacy

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram