Nadat het Hof van Justitie van de Europese Unie (HvJEU of het Hof) in mei het inzagerecht verruimde, heeft het in juni nog een arrest gewezen over het inzagerecht. Het eerste arrest oordeelde dat de context van gegevensverwerkingen ook relevant kan zijn voor een doeltreffende uitoefening van het inzagerecht. Het recentere arrest voegt toe dat het inzagerecht ook recht geeft op de vraag wanneer en waarom persoonsgegevens zijn geraadpleegd. Ook de vraag wie de persoonsgegevens heeft geraadpleegd kan onder het inzagerecht vallen. Dat hangt af van de situatie.
Inzageverzoek bij Finse bank
Een medewerker en tegelijkertijd klant van een Finse bank komt erachter dat medewerkers zijn klantgegevens gedurende twee maanden herhaaldelijk hebben geraadpleegd. Nadat hij was ontslagen heeft hij een inzageverzoek ingediend bij de bank. Het verzoek zag op de exacte datums van de raadplegingen, de doeleinden ervan en de identiteit van de raadplegers. De bank heeft enkel een algemene toelichting over de raadplegingen gegeven. De bank stelde dat zijn klantgegevens waren geraadpleegd door de interne auditdienst om een mogelijk belangenconflict te onderzoeken. De ex-medewerker nam hier geen genoegen mee. Uiteindelijk heeft de rechter prejudiciële vragen gesteld aan het HvJEU. De verwijzende rechter heeft aan het Hof gevraagd of de datums en de doeleinden van de raadplegingen onder het inzagerecht vallen, net als de identiteit van de raadplegers.
Het wanneer en waarom van persoonsgegevensraadplegingen valt onder het inzagerecht
Het HvJEU gaat, voordat het daadwerkelijk de voorliggende vragen beantwoordt, eerst de bewoordingen, de context en de doelstellingen van het inzagerecht langs. Waar het vorige arrest ging over het begrip kopie, gaat het nu over het begrip ontvanger. Het Hof brengt in herinnering dat de betrokkene het recht heeft om informatie over de concrete ontvangers van zijn persoonsgegevens te krijgen. Uiteraard spelen de begrippen persoonsgegevens en verwerkingen ook een grote rol. Het HvJEU verwijst naar het arrest uit mei om de ruime definitie van deze twee begrippen te benadrukken.
Het uitgangspunt van de AVG is dat de betrokkene het recht heeft om medegedeeld te krijgen voor welke doelen zijn persoonsgegevens worden verwerkt. Ook moet hij kunnen weten, als dat mogelijk is, hoelang de verwerkingen zijn en wie de ontvangers zijn. Het Hof voelt zich gesterkt in dit uitgangspunt door de beginselen van behoorlijke en transparante verwerking. De voor de betrokkene bestemde informatie moet beknopt, eenvoudig toegankelijk en begrijpelijk zijn. Ook moet het in duidelijke en eenvoudige taal worden gedeeld. De AVG heeft mede als doel om de rechten van betrokkenen te versterken. En om betrokkenen de mogelijkheid te bieden om na te gaan of hun persoonsgegevens juist zijn en rechtmatig worden verwerkt. Aan het moment van raadpleging kan de betrokkene zien dat daadwerkelijk persoonsgegevens van hem zijn verwerkt. De doeleinden van de verwerkingen worden expliciet benoemd in de AVG. Het inzagerecht biedt kortom de mogelijkheid om te achterhalen wanneer en waarom de persoonsgegevens zijn geraadpleegd.
Wie persoonsgegevens heeft geraadpleegd valt normaal gesproken buiten het inzagerecht
De identiteit van werknemers van de verwerkingsverantwoordelijke vallen in het algemeen niet onder het inzagerecht. Dit betreffen de werknemers die onder het gezag van de verwerkingsverantwoordelijke en gebaseerd op zijn instructies de raadplegingen hebben verricht. Is de identiteit noodzakelijk voor de betrokkene om de rechten die de AVG aan hem verleent uit te voeren? Dan moet de verwerkingsverantwoordelijke de identiteit mededelen. Daarbij moet wel rekening worden gehouden met de rechten en vrijheden van de werknemer.
Wat betekent dit voor organisaties?
Uit dit arrest volgt dat loggegevens persoonsgegevens kunnen zijn die ook onder het inzagerecht kunnen vallen. Voor organisaties die op grotere schaal persoonsgegevens verwerken, zoals bijvoorbeeld ziekenhuizen, brengt dit aanvullende taken met zich mee. Dergelijke organisaties hebben ontelbaar veel loggegevens die veel en snel veranderen. Het bijhouden van alle momenten waarop persoonsgegevens worden verwerkt vergt veel van organisaties. Zeker als het inclusief bijbehorende reden en raadplegende persoon is.
Is het noodzakelijk om de identiteit van medewerkers te verschaffen? Dan is het naar onze mening soms ook mogelijk om enkel de functie van de raadplegende medewerker te delen.
Met die informatie zal de betrokkene vaak al kunnen nagaan of die specifieke raadpleging rechtmatig was. De rechten van de medewerker worden dan in mindere mate aangetast. Een voorbeeld hiervan is een ziekenhuismedewerker die toegang heeft tot een dossier terwijl hij niet geautoriseerd is. De daadwerkelijke identiteit van de persoon is dan niet benodigd om de onrechtmatige verwerking vast te stellen.
De ontwikkelingen gaan snel
Met deze twee arresten kiest het Hof duidelijk voor een ruime uitleg van het inzagerecht. Het is interessant om te zien hoe de Nederlandse rechter bij een conflict tussen verschillende belangen of grondrechten deze rechtsregels gaat toepassen. Wil je meer informatie over deze ontwikkelingen? Of wil je het hebben over de gevolgen van deze arresten? Dan kun je contact met ons opnemen.
Deze blog is geschreven in samenwerking met Luuk Wassink.
Sharbel Goriya
Yaşar Bayram
Eva Lammers