Privacy jurisprudentieblog | oktober 2025

    - / 30 October 2025

    In dit blog worden twee recent gepubliceerde uitspraken behandeld die te maken hebben met het privacyrecht. Zo vond de Afdeling bestuursrechtspraak van de Raad van State (“ABRvS”) dat organisaties niet standaard om een kopie van een identiteitsbewijs mogen vragen bij het behandelen van AVG-verzoeken, omdat dit in strijd is met de faciliteringsplicht uit artikel 12 AVG. Daarnaast oordeelde de rechtbank Midden-Nederland over het recht op inzage in een intern incidentrapport van een TBS-kliniek. De rechtbank benadrukte dat het inzagerecht kan worden beperkt wanneer zwaarwegende belangen, zoals de bescherming van de openbare veiligheid of de privacy van derden, zich daartegen verzetten.

    Faciliteringsplicht bij AVG-verzoeken

    In deze zaak boog de ABRvS zich in hoger beroep over de vraag of de Autoriteit Persoonsgegevens (“AP”) een boete aan de verweerder mocht opleggen voor het vragen van identiteitsbewijzen voordat AVG-verzoeken in behandeling worden genomen.

    Wat was er in deze zaak aan de hand? De AP heeft op 14 januari 2022 aan verweerder een bestuurlijke boete van €525.000 opgelegd wegens een overtreding van artikel 12 lid 2 AVG waarin regels zijn opgenomen omtrent het uitoefenen van de privacyrechten van betrokkenen. De verweerder publiceert tijdschriften waarvoor klanten abonnementen kunnen afsluiten. In dit kader verwerkt zij persoonsgegevens van abonnees en moet zij voldoen aan de AVG-verzoeken van betrokkenen. De AP constateerde dat verweerder, wanneer er AVG-verzoeken binnenkwamen van buiten de eigen online inlogomgeving, standaard en op voorhand in een contactformulier vroeg om een kopie van het identificatiebewijs van de verzoeker. De privacyverklaring van de verweerder bevatte een bepaling waarin stond dat een afgeschermd identificatiebewijs (met bijvoorbeeld onherkenbaar gemaakt BSN en pasfoto) voldoende was. Dit werd echter niet expliciet benoemd in het contactformulier, waardoor verzoekers niet bewust waren van het feit dat zij ook een afgeschermd identificatiebewijs mochten indienen.

    Beoordeling van de ABRvS.

    De ABRvS bevestigde dat de verweerder in strijd handelde met artikel 12 lid 2 AVG. Deze bepaling verplicht verwerkingsverantwoordelijken om betrokkenen te faciliteren bij de uitoefening van hun rechten. Door in alle gevallen eerst een kopie van het identiteitsbewijs te vragen heeft verweerder onnodige drempels opgeworpen voor betrokkenen die een verzoek indienden.

    De ABRvS is van mening dat het vragen van een kopie van het identificatiebewijs in beginsel niet verboden is. In bepaalde situaties kan dit een passend middel zijn om de identiteit van een verzoeker vast te stellen.

    Dit mag echter geen standaarduitgangspunt zijn voor alle buiten de online omgeving binnengekomen verzoeken. Volgens de ABRvS moet de verweerder bij ieder binnengekomen verzoek beoordelen of identificatie ook op een ander, minder privacygevoelige manier kan plaatsvinden. Identificatie van de verzoeker is bijvoorbeeld mogelijk door klantgegevens bij de verzoeker op te vragen of door verificatie via een bestaand account. Het standaard vragen van een identificatiebewijs is volgens de ABRvS disproportioneel.

    Hiermee volgt de ABRvS de oorspronkelijke lijn van de rechtbank. Het beleid van de verweerder is in strijd met de faciliteringsplicht van artikel 12 AVG. De AP mocht daarom een bestuurlijke boete opleggen aan de verweerder. De ABRvS vond de hoogte van de boete van €525.000 echter onvoldoende gemotiveerd door de AP. De AP staafde dit bedrag alleen op het feit dat verweerder volgens de AP nalatig had gehandeld. De ABRvS vond dat de hoogte van de boete gematigd moest worden en verlaagde de boete met 50 procent naar €262.500 vanwege verzachtende omstandigheden, waaronder het feit dat verweerder het beleid inmiddels had aangepast.

    Precedentwerking

    Deze uitspraak bevestigt dat het vragen van een identiteitsbewijs slechts is toegestaan wanneer dat noodzakelijk is en niet als standaardvoorwaarde mag worden gesteld. Organisaties dienen dus vooraf te beoordelen of een minder ingrijpende vorm van verificatie volstaat. Daarnaast onderstreept deze uitspraak het bredere belang van de faciliteringsplicht uit de AVG, het is aan de verwerkingsverantwoordelijke om rechten van betrokkenen zo eenvoudig en toegankelijk mogelijk te maken. Het structureel of automatisch vragen van extra persoonsgegevens kan in strijd zijn met dit uitgangspunt.

    Inzage in incidentrapport bevattende persoonsgegevens

    In deze uitspraak beoordeelde de rechtbank Midden-Nederland de vraag of verzoeker, een voormalige cliënt bij verweerder, recht had op inzage in een intern SIRE-rapport (Systematische Incident Reconstructie en Evaluatie) dat was opgesteld naar aanleiding van een incident in 2016 tijdens onbegeleid verlof van de cliënt. Het SIRE-rapport bevatte persoonsgegevens van de cliënt, maar was vooral bedoeld voor interne analyse van de organisatie en kwaliteitsverbetering.

    Wat was er aan de hand?

    Tussen 2007 en 2017 verbleef de verzoeker in een TBS-kliniek bij verweerder waar verzoeker in 2016 met onbegeleid verlof mocht gaan. Tijdens dit verlof vond een ernstig incident plaats waar verzoeker strafrechtelijk voor veroordeeld werd. Naar aanleiding van dit incident startte de TBS-kliniek een intern onderzoek volgens de SIRE-methode. Verzoeker wil graag inzage in dit stuk en verzocht de directeur van de TBS-kliniek om inzage in het SIRE-rapport en de bijbehorende gespreksverslagen. Dit verzoek werd door de TBS-kliniek afgewezen waarna de verzoeker zich tot de AP wendde. De AP vond dat de weigering van inzage door de TBS-kliniek terecht was op basis van zwaarwegende belangen die de TBS-kliniek had. Na deze beslissing wendde de verzoeker zich tot de rechtbank om alsnog inzage te verkrijgen in het SIRE-onderzoek op basis van het recht van inzage van artikel 15 AVG.

    Beoordeling van de rechtbank

    De rechtbank begon met de vraag of het SIRE-rapport persoonsgegevens van verzoeker bevatte. Hierbij werd de uitspraak van het Hof van Justitie van de Europese Unie van 20 december 2017 aangehaald waarin het hof overwoog dat het begrip ‘persoonsgegevens’ zich in beginsel potentieel kan uitstrekken tot elke vorm van informatie. Het rapport bevatte in beginsel gegevens die aan verzoeker konden worden toegerekend. Volgens de rechtbank betekent dit dat verzoeker formeel een inzagerecht heeft op grond van artikel 15 AVG.

    Mocht de TBS-kliniek dit verzoek dan afwijzen? De rechter oordeelde instemmend en verwees naar de Uitvoeringswet AVG (“UAVG”) waar verdere regels in zijn opgenomen met betrekking tot de verwerking van persoonsgegevens, waaronder aanvullingen op de AVG die specifiek van toepassing zijn op Nederland. Meer specifiek verwees de rechter naar artikel 41 UAVG lid 1 sub c en i dat mogelijkheden biedt tot beperking van het inzagerecht in geval van bescherming van de openbare veiligheid en het beschermen van de rechten en vrijheden van anderen. De rechter was van mening dat het SIRE-rapport primair gericht was op procesanalyse en kwaliteitsverbetering en dat openbaarmaking van het rapport risico’s met zich meebrengt. Zo kan de openbare veiligheid worden beïnvloed doordat inhoudelijke kennis van interne processen misbruikt kan worden door verzoeker of andere TBS-patiënten. Deze informatie kan gebruikt worden om makkelijker onbegeleid verlof te verkrijgen doordat mensen bekend worden met de toetsingscriteria waarop een mogelijkheid tot onbegeleid verlof wordt getoetst. Daarnaast kan openbaarmaking van het rapport medewerkers ontmoedigen te spreken over incidenten, waardoor volgende interne onderzoeken worden bemoeilijkt. Ook overwoog de rechter dat de weigering tot inzage in het belang was van het slachtoffer van verzoeker. Het rapport bevatte informatie over het incident waardoor bekendheid met het rapport zou kunnen leiden tot schending van de privacy van het slachtoffer. Met dit in ogenschouw oordeelde de rechter dat het belang van de TBS-kliniek tot weigering van inzage zwaarder weegt dan het belang van de verzoeker tot inzage.

    Precedentwerking

    Deze uitspraak benadrukt dat interne evaluatierapporten, zelfs wanneer ze persoonsgegevens bevatten, niet automatisch onder het inzagerecht vallen. Als zwaarwegende belangen zoals bescherming van openbare veiligheid, bescherming van derden of interne veiligheid van medewerkers zich verzetten tegen inzage, mogen organisaties inzage in stukken weigeren. Voor zorginstellingen betekent dit dat interne proces- en kwaliteitsrapporten kunnen worden beschermd tegen openbaarmaking. Dit waarborgt de veiligheid van de organisatie, haar medewerkers en andere betrokkenen, waardoor medewerkers gestimuleerd blijven om openlijk incidenten te melden. Kortom, het belang van interne veiligheid en procesverbetering kan zwaarder wegen dan het individuele inzagerecht, mits de belangen zorgvuldig en proportioneel zijn afgewogen.

    Meer jurisprudentie lezen? Bekijk ons privacy-jurisprudentieblog van de vorige maand.

    Privacy jurisprudentieblog | september 2025
    Terug naar overzicht

    Paul Bex

    Legal Counsel
    Lees meer
    CTA privacy

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram