JG 2017/40, RvS 07-06-2017, ECLI:NL:RVS:2017:1519, 201603877/1/A3 (met annotatie van mw. mr. dr. C. Raat)

Inhoudsindicatie

Inzage persoonsgegevens, Begrip persoonsgegevens

Samenvatting

Inzage persoonsgegevens behelst volledig overzicht van alle persoonsgegevens, waaronder passages die tot betrokkene herleidbaar zijn.

Uitspraak

In april 2016 gaf het college gevolg aan de eerste uitspraak, waarbij het college appellant overzichten verstrekte van hem betreffende persoonsgegevens die voorkwamen in digitale bestanden en zijn opgeslagen in de periode tot 18 november 2008. Hiertegen ging appellant zonder succes in beroep.

In de tweede uitspraak legt de Afdeling uit wat de bedoeling was van de eerste uitspraak: in plaats van een overzicht van soorten persoonsgegevens had het college de persoonsgegevens zelf moeten verstrekken. De Afdeling verwijst naar haar uitspraak ECLI:NL:RVS:2016:3364, waarin staat dat gegevens persoonsgegevens zijn als ze informatie bevatten over een persoon en die persoon identificeerbaar is. Bepalend is of de gegevens, op zichzelf bezien of in combinatie met andere gegevens, zo kenmerkend zijn voor een bepaalde persoon, dat deze daarmee kan worden geïdentificeerd. Het college hoefde daarom niet over te gaan tot verstrekking van alle digitale gegevens die op enigerlei wijze met appellant te maken hebben. Vanwege de strekking van het verzoek van appellant was het college gehouden om alleen de persoonsgegevens die betrekking hebben op zijn functioneren als mens, collega en ambtenaar van de gemeente te verstrekken.

De Afdeling verwijst naar de uitspraak ECLI:NL:RVS:2013:BY9910 voor haar overweging dat een bestuursorgaan op grond van artikel 35 van de Wbp niet verplicht is om inzage te geven in stukken, tenzij niet op andere wijze adequaat kan worden voorzien in kennisgeving van de persoonsgegevens. Van die situatie is volgens de Afdeling hier sprake.

Appellant betoogde dat het college ten onrechte over veel bestanden slechts ‘onschuldige’ persoonsgegevens – zoals naam en adres – had vermeld, terwijl in een deel van deze bestanden ook persoonsgegevens over zijn functioneren in het maatschappelijk verkeer als mens, collega en ambtenaar waren opgenomen. Op de bij het besluit behorende overzichten had het college in de meest rechtse kolom slechts citaten uit de digitale bestanden weergegeven die volgens het college persoonsgegevens over het functioneren van appellant als mens, collega en ambtenaar van de gemeente bevatten, zonder de context.

De Afdeling gaat niet mee in deze redenering omdat de bestanden weliswaar meer gegevens bevatten die op enigerlei wijze met appellant te maken hebben, maar die zijn niet zo kenmerkend dat hij daarmee kan worden geïdentificeerd. Ook zonder de context zijn op begrijpelijke wijze persoonsgegevens over zijn functioneren als mens, collega en ambtenaar van de gemeente weergeven. Conform de uitspraak ECLI:NL:RVS:2013:4631 hoeft in juridische analyses van persoonsgegevens alleen een overzicht van de persoonsgegevens te worden gegeven en niet de juridische analyse.

Het betoog van het college dat veel documenten niet meer in digitale vorm aanwezig zijn, is volgens de Afdeling aannemelijk. Dat geldt ook voor de vindbaarheid van fysiek gearchiveerde documenten. De digitale systemen bevatten alleen de metadata van fysiek gearchiveerde documenten. Bij besluitadviezen over appellant bevatten die metadata het nummer van het advies en de vindplaats ervan in het archief. Daarom bevat het digitale systeem volgens de Afdeling niet appellants persoonsgegevens met betrekking tot zijn functioneren als mens, collega en ambtenaar van de gemeente.

Noot

Deze twee bij elkaar horende uitspraken (ECLI:NL:RVS:2016:85 en ECLI:NL:RVS:2017:1519) zijn exemplarisch voor zaken over Wbp-verzoeken. Zij bieden tevens een goed overzicht van het geldende recht: wat moet een gemeente doen met een Wbp-verzoek? Omdat dit geldende recht binnenkort plaats zal maken voor de Algemene Verordening Gegevensbescherming (L 119-32), zal ik ingaan op de vraag wat er blijft en wat er zal veranderen waar het gaat om verzoeken om persoonsgegevens, en de vraag welke gevolgen dat zal hebben.

Informele aanpak

Wat als eerste in het oog springt is dat er in dit soort zaken alleen maar verliezers lijken te zijn. De gemeente, die veel tijd kwijt is met procederen en zoeken en de verzoeker, die niet krijgt waar hij op hoopt: afschriften van de stukken waar zijn gegevens in staan. Dat leidt vaak tot onnodige escalatie. Al enige tijd wordt ‘passend (voorheen prettig) contact’ door sommige gemeenten ingezet bij Wob-verzoeken (conform de Actieplannen Open Overheid 2013-2014 en 2016-2017), een wet die evenals de Wbp tegenzin oproept bij gemeentes. Er valt veel voor te zeggen om ook bij een Wbp-verzoek met de verzoeker te praten. Want hoewel de vraag ‘van wie zijn persoonsgegevens?’ juridisch een vaag gebied is, is de verzoeker wel degelijk ‘moreel eigenaar’ van informatie die over hem gaat. Er kan in een overleg besproken worden welke gegevens de betrokkene wil hebben en welke niet. Ruimhartigheid lijkt mij het beste, behoudens legitieme redenen om bepaalde gegevens niet te verstrekken. Veel geschillen kunnen worden voorkomen door, ook al is dat juridisch niet altijd verplicht, afschriften te geven.

Persoonsgegevens: een breed begrip

Wat verder opvalt in veel Wbp-zaken bij gemeenten, en dat is in deze zaak niet anders, is dat de verantwoordelijke (degene die de beslissingen neemt over de verwerking) oprecht denkt dat persoonsgegevens slechts de ‘personalia’ van een persoon zijn: NAW-gegevens, BSN, bankrekeningnummer, telefoonnummer, autokenteken, etc. Dat is niet het geval, en dat blijkt ook weer uit de eerste uitspraak. Dat een dergelijke ‘dooddoenerige’ verstrekking weerstand en argwaan oproept bij verzoekers, is begrijpelijk. De verzoeker weet immers al wat zijn eigen personalia zijn en wil daarmee niet worden afgescheept. Het zal – anders dan in de commerciële sector waar een verzoeker gevrijwaard wil blijven van reclame-uitingen en dergelijke – zelden voorkomen dat de verzoeker hier een probleem mee heeft of hierom vraagt.

Het gaat volgens de memorie van toelichting bij de Wet bescherming persoonsgegevens om alle gegevens die direct of indirect te herleiden zijn naar een natuurlijke persoon: “Allereerst is voor het begrip «persoonsgegeven» relevant of de gegevens informatie over een persoon bevatten. In veel gevallen, zoals bij feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen, zal dit uit de aard van de gegevens voortvloeien. In andere gevallen zal mede aandacht moeten worden besteed aan de context waarin het gegeven wordt vastgelegd en gebruikt. Als gegevens mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld, moeten die gegevens als persoonsgegevens worden aangemerkt. Het (maatschappelijk) gebruik dat van gegevens wordt gemaakt is dus mede-bepalend voor de beantwoording van de vraag of sprake is van een persoonsgegeven. De richtlijn biedt geen aanknopingspunt voor een beperking van het begrip «persoonsgegevens» tot rechtens relevante informatie, zoals soms wel is bepleit. In deze opvatting zou het bij persoonsgegevens slechts gaan om gegevens die juridische consequenties hebben voor de betrokkene. Daarmee wordt voorbijgegaan aan de mogelijke gevolgen van het gebruik van op individuele personen betrekking hebbende informatie voor de wijze waarop deze in het maatschappelijk verkeer worden bejegend. Gegevens die een neerslag vormen van een over een bepaalde persoon genomen beslissing, kunnen worden beschouwd als een deze persoon betreffend persoonsgegeven. Ook gegevens die niet direct betrekking hebben op een bepaalde persoon, maar bijvoorbeeld op een product of een proces, kunnen soms over een bepaalde persoon informatie verschaffen, bij voorbeeld wanneer daarmee de arbeidsproduktiviteit van een werknemer gemakkelijk in kaart kan worden gebracht.” (Kamerstukken II 1997–1998, 25 892, nr. 3, p. 45-47)

Het gaat dus om veel meer gegevens; bijna alle, zolang die maar terug te leiden zijn naar een identificeerbare persoon. Uit civielrechtelijke Wbp-jurisprudentie blijkt bijvoorbeeld dat medische rapporten (vrijwel) in hun geheel persoonsgegevens zijn (ECLI:NL:GHAMS:2014:1917). Dat geldt vaak ook voor personeelsdossiers, bijstandsdossiers, vergunningen, etc. Hoewel het correctierecht zich lijkt te beperken tot ‘feitelijke fouten’ die gemakkelijk door de verzoeker zijn vast te stellen, is de definitie van persoonsgegevens breder.

Dat blijkt ook in het geval Zevenaar: de verzoeker wil weten hoe er over hem als mens, ambtenaar en collega is geschreven en ‘geoordeeld’. Juist daarin schuilt ook vaak de fundamentele kern van persoonsgegevens en het recht op privacy. Niet voor niets beschermt het IVBPR in één bepaling, artikel 17, zowel het reguliere recht op privacy als het recht op eer en goede naam. Artikel 8 van het EVRM omvat volgens het EHRM ook deze twee aspecten. Deze beide voor de individuele autonomie cruciale waarden, persoonlijke levenssfeer en reputatie – bepalend voor hoe iemand zijn leven, waaronder zijn loopbaan, kan inrichten – zijn voor mensen onlosmakelijk met elkaar verbonden. En daarom hebben mensen een diepe behoefte om te weten wat er allemaal over hen aan ‘feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen, bepalend voor de wijze waarop deze in het maatschappelijk verkeer worden bejegend’ bij de overheid circuleren. Zij willen daarop – als dat nodig is – invloed hebben.

Verwerking: bijna alles

Ook het begrip ‘verwerken’ is uitermate breed: dat varieert van ontvangen, raadplegen, gebruiken, combineren, doorsturen, tot vernietigen. Gebeurt dat digitaal, dan is dat automatisch verwerking van persoonsgegevens. E-mailen (ook intern) valt daarom altijd binnen de reikwijdte van de wet (ECLI:NL:RVS:2014:2594). Gebeurt verwerking op papier, dan is de wet alleen van toepassing als er sprake is van een bestand: een doorzoekbaar geheel van persoonsgegevens. Om die reden is het merkwaardig dat de Afdeling meent dat digitale metagegevens over dergelijke papieren bestanden niet verzoekers persoonsgegevens bevatten. Er staan immers nummers van besluiten in die – in de context – te herleiden zijn tot de verzoeker.

Voldoen aan een Wbp-verzoek

De gemeente Zevenaar had in 2014 volstaan met een algemeen overzicht van ‘soorten’ persoonsgegevens’, ‘soorten verwerkingen’ en een vage aanduiding van de rechtmatigheid. In de trant van: wij verwerken uw NAW-gegevens en mailadres in besluitenlijsten, mails en die hebben wij ontvangen van uzelf en onze medewerkers, die hebben wij doorgegeven aan onze medewerkers en het doel ervan is het uitvoeren van onze bestuursrechtelijke taak. De Afdeling heeft al diverse malen uitgemaakt dat dat niet de bedoeling is (o.m. ECLI:NL:RVS:2015:319), en dat blijkt ook uit deze twee uitspraken. Dat het ‘veel werk’ is om een volledig overzicht van de verwerkingen van de persoonsgegevens met die persoonsgegevens zelf te produceren, is geen reden om dat niet te doen. Hoe aan een verzoek moet worden voldaan, hangt volgens de Afdeling af van het oogmerk van de verzoeker. Daarnaar moet dan ook zo nodig door de gemeente worden gevraagd.

In dit geval moest de gemeente Zevenaar niet alleen een volledig overzicht geven van de verwerkingen, met daarbij herkomst, bestemming, wettelijk doel en gegevens over de beveiliging, maar ook passages opnemen met voor de verzoeker dusdanig kenmerkende informatie over zijn functioneren als mens, collega en ambtenaar van de gemeente, dat die – ook zonder de naam te noemen – tot hem herleidbaar waren. Dat daarover flink van mening kan worden verschild, mag duidelijk zijn. Het hoeft bovendien niet alleen te gaan om herleidbaarheid voor de verantwoordelijke volgens de wet, maar ook voor een derde die met een redelijke mate van moeite tot deze herleiding kan komen. Bijvoorbeeld door twee of meer verschillende verwerkingen te koppelen of naast elkaar te leggen.

Kortom: op basis van de Wbp zal een bestuursorgaan zelden kunnen volstaan met een half A4’tje. Er moet serieus worden gezocht (ECLI:NL:RVS:2014:308). Anders dan bij de Wob gaat artikel 35 van de Wbp er naar mijn mening van uit dat de verzoeker ‘alles of niets’ krijgt. Daarmee bedoel ik alle persoonsgegevens die bij de verantwoordelijke aanwezig zijn, en niet een selectie (bijvoorbeeld door het verzoek in te perken tot een bepaalde aangelegenheid). De Afdeling lijkt inperking hier echter wel te accepteren. Alle persoonsgegevens moeten bovendien worden vermeld in een compleet overzicht. De Wbp kent verder andere weigeringsgronden dan de Wob. Zo wordt het belang van ongestoorde gedachtewisseling binnen het bestuursorgaan (‘persoonlijke beleidsopvattingen in stukken voor intern beraad’) niet door artikel 43 aanhef en onder e Wbp beschermd (ECLI:NL:RVS:2015:319).

De Afdeling lijkt in de tweede uitspraak terug te komen op haar eigen in de eerste uitspraak neergelegde hoofdregel dat er alleen met een andere wijze van verstrekking (een overzicht) dan een kopie van de verwerking (kopie van het document zelf dus) kan worden volstaan als daarmee aan de nagestreefde doelstelling volledig tegemoet kan worden gekomen, door te verwijzen naar de ook al op de gemeente Zevenaar betrekking hebbende en veel bekritiseerde uitspraak ECLI:NL:RVS:2013:BY9910. Hierover valt op te merken dat het verstrekken van een kopie niet hetzelfde is als inzage (in de originele stukken), en mij is niet duidelijk of de Afdeling het alleen heeft over het laatste of ook over het eerste. ‘Inzage’ is een begrip dat in de richtlijn wordt genoemd, en ook in de AVG.

De AVG

De AVG kent een bepaling die door de datalek-hype onterecht nog niet veel aandacht heeft gehad, te weten artikel 15: het recht op inzage. Dit is een verwarrend begrip, want het derde lid van dit artikel bepaalt dat er een kopie van de verwerking moet worden verstrekt. Dat is dus aanzienlijk méér dan volgens de Afdeling onder het regime van de Richtlijn en de Wbp het geval is. Hier doet zich de bijzondere situatie voor dat de AVG al op 25 mei 2016 in werking is getreden, maar pas op 25 mei 2018 van toepassing is. Normaliter zit er tussen inwerkingtreden (enkele weken na de datum van officiële bekendmaking) en toepassing geen of slechts een zeer korte tijd. Om de lidstaten de gelegenheid te bieden zich voor te bereiden op de verordening, is daarom gekozen voor een langdurige ‘overgangsperiode’.

Zeker nu de AVG in werking is getreden, lijkt het mij verstandig dat gemeenten het huidige artikel 35 van de Wbp ‘verordeningsconform’ zullen uitleggen. Dat betekent dat zij, tenzij er goede redenen zijn om dat niet te doen, een kopie zullen verstrekken en daaruit eventueel, net als in Wob-verstrekkingen, passages zullen weglakken. In deze zaak heeft de verzoeker daarom niet gevraagd en niet verwezen naar de AVG en de Afdeling heeft hieraan niet ambtshalve een overweging gewijd. De definities van persoonsgegevens en verwerking ervan zullen met de AVG ten opzichte van de Wbp nog ruimer worden. De regels voor verwerking en bescherming worden strenger en de rechten van de betrokkene worden uitgebreid. Met ‘lijstjes van personalia’ komen gemeenten nu al niet weg, maar binnenkort zeker niet meer.

mw. mr. dr. C. Raat, Recht en Raat onderzoek, opleiding en advies

Verder lezen
Terug naar overzicht