Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de afgelopen maand op een rij.
Het Europese Hof van Justitie (Hof) heeft zich in een zaak gebogen over de vraag of bepaalde gegevens van vertegenwoordigers van bedrijven onder de bescherming van de Algemene verordening gegevensbescherming (AVG) vallen. Daarnaast speelde de vraag of bestuursorganen verplicht kunnen worden om betrokkenen vooraf te informeren en te raadplegen wanneer hun gegevens in de opgevraagde documenten voorkomen.
De verzoeker wilde weten welke personen namens bedrijven certificaten voor COVID-19-testen hadden ondertekend en vroeg het Tsjechische ministerie van Volksgezondheid om inzage. Dit is in Nederland vergelijkbaar met een verzoek om informatie op basis van de Wet open overheid, waarmee burgers informatie bij de overheid kunnen opvragen.
Het ministerie heeft de certificaten verstrekt, maar heeft hierbij de persoonsgegevens zoals naam, handtekening, functie en contactgegevens van de vertegenwoordigers onleesbaar gemaakt om te voldoen aan de AVG. De verzoeker is vervolgens naar de rechter gestapt, die het ministerie vervolgens op de vingers heeft getikt. Het ministerie had de betrokkenen, in dit geval de vertegenwoordigers van de bedrijven, vooraf moeten informeren en om hun standpunt moeten vragen. Daarnaast had het ministerie beter moeten motiveren waarom de AVG in de weg zou staan aan het delen van deze informatie. De hoogste Tsjechische bestuursrechter heeft hierover vervolgens prejudiciële vragen gesteld aan het Hof.
Het Hof benadrukt dat het begrip ‘persoonsgegevens’ ruim moet worden uitgelegd. Dit omvat alle informatie die direct of indirect iets zegt over een identificeerbaar persoon. De voor- en achternaam en handtekening van vertegenwoordigers zijn in elk geval persoonsgegevens. Voor andere contactgegevens moet per geval worden beoordeeld of ze tot een natuurlijk persoon te herleiden zijn. Is dat het geval, dan vallen deze gegevens ook onder de bescherming van de AVG. Gegevens van vertegenwoordigers blijven dus persoonsgegevens, ook wanneer ze worden gedeeld om aan te geven wie namens het bedrijf mag handelen. Het maakt daarbij niet uit met welk doel de gegevens worden verwerkt. Ook wanneer dit gebeurt ter identificatie, blijft er sprake van verwerking in de zin van de AVG.
Daarnaast stelt het Hof dat de AVG niet in strijd is met nationale regels rechtspraak die bestuursorganen verplicht om betrokkenen vooraf te informeren en te raadplegen wanneer hun gegevens worden verstrekt in het kader van een verzoek tot openbaarmaking van overheidsstukken. Dit is toegestaan, zolang dit binnen de grenzen van de AVG blijft en niet onnodig het recht op toegang tot informatie belemmert. De AVG biedt hiervoor ruimte wanneer inzage wordt verschaft aan het publiek tot officiële overheidsdocumenten. De bescherming van persoonsgegevens is daarbij geen absoluut recht. Er moet steeds een afweging worden gemaakt tussen dit recht en andere belangen, zoals transparantie. Een verplichting tot raadpleging mag er dus niet toe leiden dat gegevens standaard worden geweigerd, zeker niet als dit in de praktijk onhaalbaar is. In dat geval moet er altijd een belangenafweging plaatsvinden.
Overheden moeten zorgvuldig omgaan met de persoonsgegevens van vertegenwoordigers, zeker wanneer deze in documenten staan die worden gedeeld of opgevraagd. Dergelijke gegevens mogen niet zomaar worden verstrekt. Het blijft een verwerking waarop de AVG van toepassing is. Tegelijkertijd mogen lidstaten extra waarborgen instellen, zoals een verplichting om betrokkenen vooraf te informeren en te raadplegen. Dat mag er echter niet toe leiden dat het recht op toegang tot informatie op onevenredige wijze wordt beperkt. Deze uitspraak bevestigt het belang van een zorgvuldige balans tussen privacy en transparantie.
In een zaak van de rechtbank Noord-Holland heeft een inwoner van de gemeente Castricum inzage gevorderd in de persoonsgegevens die de gemeente van haar verwerkt. De gemeente heeft haar daarop een overzicht van de gegevens gestuurd. Volgens verzoeker was dit overzicht echter onvolledig. Ze heeft daarop bezwaar gemaakt en uiteindelijk is de zaak voor de rechter gekomen. De kernvraag in het geding was of de gemeente ook inzage moest geven in interne e-mails, notities en WhatsApp-berichten waarin haar persoonsgegevens voorkomen. De gemeente betoogde van niet en stelde dat deze documenten buiten het bereik van het inzagerecht vallen. De rechtbank zag dat anders en floot de gemeente terug.
Volgens de rechtbank kunnen ook interne e-mails, notities en WhatsApp-berichten onder het inzagerecht vallen als daarin persoonsgegevens voorkomen. De rechtbank heeft geoordeeld dat de gemeente ten onrechte bepaalde persoonsgegevens niet heeft verstrekt bij dit inzageverzoek. Met deze uitspraak bevestigt de rechtbank dat de rechten van betrokkenen hoog in het vaandel staan en een brede bescherming verdienen. Eerdere rechtspraak heeft al bevestigd dat ook interne documenten en e-mails persoonsgegevens kunnen bevatten. In deze zaak heeft de rechtbank bovendien benadrukt dat het enkele interne karakter van communicatie geen grond vormt om inzage te weigeren. Alleen als een wettelijke uitzonderingsgrond uit de AVG van toepassing is, mag inzage worden beperkt en dit moet zorgvuldig worden gemotiveerd. Verwerkingsverantwoordelijken, zoals in dit geval de gemeente, kunnen dus niet volstaan met een algemene verwijzing naar het interne karakter van communicatie. Zij zullen per geval moeten onderbouwen of en waarom een wettelijke uitzonderingsgrond van toepassing is en waarom een beperking op het recht van inzage in dat specifieke geval noodzakelijk en evenredig is.
Wanneer een verwerkingsverantwoordelijke een inzageverzoek ontvangt, moet de organisatie zorgvuldig beoordelen welke informatie onder het verzoek valt. Daarbij mag interne communicatie niet op voorhand worden uitgesloten. Ook e-mails, notities en WhatsApp-berichten die binnen de organisatie zijn gedeeld kunnen persoonsgegevens bevatten en vallen in beginsel onder het inzagerecht. Alleen als een geldige uitzonderingsgrond van toepassing is, mag van inzage worden afgezien. In dat geval moet duidelijk en per geval worden gemotiveerd waarom de uitzondering geldt en waarom dat noodzakelijk en evenredig is. De drempel om bepaalde persoonsgegevens niet te verstrekken in het kader van een inzageverzoek ligt dus hoog. Burgers mogen verwachten dat hun recht op inzage zorgvuldig wordt gewaarborgd, ook als dit betekent dat er dieper moet worden gegraven in de mailboxen of interne systemen.
Voldoen aan de AVG is niet altijd eenvoudig. Organisaties zien soms door de bomen het bos niet meer. Om organisaties op weg te helpen om AVG-compliant te worden, hebben wij een simpele checklist van 5 stappen samengesteld.
Heb je hier geen tijd of capaciteit voor? Geen probleem! Wij voeren graag een privacy-inventarisatie uit voor jouw organisatie.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.