Inzage in documenten: kopie van document of lijst van persoonsgegevens?

04-06-2019

ECLI:NL:RBNHO:2019:4283

Bij een verzoek om inzage in de verwerking van persoonsgegevens wordt vaak gevraagd om een kopie van documenten waarin zich persoonsgegevens bevinden, zoals kopieën van gespreksverslagen, adviezen en correspondentie. De vraag die hierbij speelt is of het inzagerecht ook het recht op een afschrift (kopie) van deze documenten omvat? Onder de Privacyrichtlijn 1995 is deze vraag zowel door het Hof van Justitie als de Hoge Raad in zijn algemeenheid ontkennend beantwoord. Een punt van discussie is vervolgens of de Algemene Verordening Gegevensbescherming (AVG) daar verandering in heeft gebracht. Dat komt doordat het oorspronkelijke AVG-voorstel van de Europese Commissie weliswaar nog steeds de terminologie van de Privacyrichtlijn 1995 hanteert, maar in de definitieve tekst van de AVG de term 'kopie' is geïntroduceerd.

Geschiedenis art. 15 AVG

Tijdens de onderhandelingen tussen het Europese Parlement, de Europese Ministerraad en de Europese Commissie verdween art. 15 lid 1(g) AVG, werd art. 15 lid 2 AVG aangepast en werd de term “kopie” geïntroduceerd. De term “kopie” is vervolgens in de verdere Brusselse discussie overeind gebleven en geëindigd in art. 15 lid 3 AVG.

Oorspronkelijk Commissievoorstel van 25 januari 2012
15 lid 1 Wanneer persoonsgegevens met betrekking tot de betrokkene worden verzameld, verstrekt de voor de verwerking verantwoordelijke de betrokkene ten minste de volgende informatie: (…)
(g) de persoonsgegevens waarvan verwerkingen plaatsvinden en alle beschikbare informatie over de bron van die gegevens;
15 lid 2 De betrokkene heeft er recht op dat de voor de verwerking verantwoordelijke hem meedeelt van welke persoonsgegevens verwerking plaatsvindt. (…).

Definitieve tekst AVG

AVG 15 lid 3: De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt.

Uitleg art. 15 AVG

In de literatuur wordt aangenomen dat de door het Europees Hof van Justitie en de Hoge Raad gevolgde uitleg onder de Privacyrichtlijn 1995 omtrent de betekenis van een “kopie” van persoonsgegevens ongewijzigd is gebleven: er wordt niet bedoeld dat een kopie van het betreffende document moet worden verstrekt.

Deze aanname wordt bevestigd door de Rechtbank Noord-Holland in overwegingen 4.3 en 4.6 van haar uitspraak van 23 mei 2019. De Rechtbank oordeelde dat er “vooralsnog er geen aanwijzingen [zijn] dat onder de AVG de doelstelling en omvang van dit inzagerecht ten opzichte van de Privacyrichtlijn is gewijzigd, zodat rechtspraak over het inzagerecht die is gewezen ten tijde van de Privacyrichtlijn ook nog gelding heeft nu de AVG van kracht is”. Ook benoemde de rechter dat artikel 15 lid 3 AVG recht geeft “op verstrekking van een kopie van de persoonsgegevens die worden verwerkt. Stukken als zodanig zijn geen persoonsgegevens en nergens in de AVG wordt gesproken over het verstrekken van een kopie van de bescheiden waarin de persoonsgegevens zijn verwerkt. […] Voor zover daaraan kan worden voldaan met een andere vorm van verstrekking kan de betrokkene aan de AVG niet het recht ontlenen om een afschrift te verkrijgen van het originele document of bestand waarin de gegevens staan (HvJ EU 17 juli 2014, ECLI:EU:C:2014:2081, inz. IND).”

Ten slotte kan worden verwezen naar de recente opstelling van de Autoriteit Persoonsgegevens. Die kondigde op 24 mei 2019 de start aan van de campagne “Wat betekent de privacywet voor jou(w bedrijf)?”. Als onderdeel van de campagne wordt een model gepresenteerd voor het voldoen aan het inzagerecht. Het model bestaat uit een Excel-sheet waarin inzage in de persoonsgegevens zelf wordt gegeven in de vorm van een lijst van verwerkte gegevens.

Een mooi overzicht van de rechtspraak-ontwikkeling is te vinden in ECLI:NL:PHR:2018:1273. Zie ook M. Jansen, ‘Hoe de minst expliciete uitspraak over het inzagerecht wellicht het meest inzicht geeft’, P&I 2019/1 p. 9-15.

Aan de beantwoording van de vraag “kopie of lijst” wordt in de rechtspraktijk overigens niet altijd toegekomen. Bij het honoreren van een inzageverzoek wordt er dan als vanzelfsprekend van uitgegaan dat een kopie van het onderliggende document wordt verstrekt. Dat is praktisch maar dus niet altijd noodzakelijk.


Dit artikel is ook te vinden in het dossier AVG

Meer artikelen van BANNING

Van onze partners

Magazine: Eén jaar AVG

→ Lees meer

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
paula vrolijk

Paula Vrolijk-de Vries (programmamanager Privacyweb)
tel. 020 - 237 47 01
paula@berghauserpont.nl

Checklist Privacy AVG

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer