Volledig overzicht afdoende bij inzage van persoonsgegevens

Alle partijen en organisaties die over persoonsgegevens beschikken, kunnen te maken krijgen met een verzoek om ook inzage in deze persoonsgegevens te geven. Volgens de wet heeft een persoon over wie de gegevens gaan het recht om zijn gegevens in te zien. Een organisatie mag als gegevensverantwoordelijke echter weigeren om mee te gaan in aanvullende verzoeken.

Volgens artikel 35 van de Wet bescherming persoonsgegevens (Wbp) heeft de degene wiens persoonsgegevens verwerkt worden het recht om aan de verwerker van zijn persoonsgegevens het verzoek tot inzage van zijn persoonsgegevens te doen. Ook onder de Algemene verordening persoonsgegevens (AVG) die vanaf 25 mei 2018 in Nederland de Wbp vervangt, blijft dit recht bestaan (art. 15 AVG). Toch hangt het af van de omstandigheden of inzage moet worden verleend in (een afschrift van) het stuk waarin een persoonsgegeven is opgenomen. Dat bleek in een zaak van Gerechtshof ’s-Hertogenbosch.

Recht op inzage van persoonsgegevens

In deze zaak had een persoon een zakelijke relatie met een bank. De bank kwam erachter dat de persoon banden had in het criminele circuit en wekelijks contante geldstortingen deed via de bankrekening. De bank besloot daarom om de relatie te beëindigen. De persoon maakte gebruik van zijn recht op inzage en verzocht de bank een overzicht en afschrift te verschaffen van al zijn verwerkte persoonsgegevens. Ook vroeg de persoon om een overzicht van iedereen die zijn persoonsgegevens had ontvangen en de herkomst van deze gegevens.

Volledig overzicht verplicht, kopieën van stukken niet

De bank in kwestie verstrekte het wettelijk verplichte ‘volledige overzicht’. Volgens de Wbp (en de AVG) moet een gegevensverantwoordelijke minimaal ‘een volledig overzicht verstrekken’ waarmee een persoon kan controleren of zijn persoonsgegevens verwerkt zijn en of de verwerkte gegevens juist zijn. Het inzien van stukken waarin de persoonsgegevens zijn opgenomen, valt niet onder het recht van inzage en is dus niet verplicht voor een organisatie. De AVG stelt straks geen eisen aan de manier waarop een organisatie inzage moet gegeven. De verordening schrijft wel voor dat de verantwoordelijke organisatie de verzoeker een kopie verstrekt van de persoonsgegevens zélf die worden verwerkt. Een organisatie mag het overzicht ook elektronisch delen.

Organisatie mag verzoek tot verdere inzage weigeren

De persoon vond de aangeleverde informatie niet voldoende. Hij wilde dat de bank hem naast het overzicht ook kopieën zou verstrekken van alle stukken die persoonsgegevens van hem bevatten, inclusief e-mails. Bovendien wilde hij de gegevens ontvangen waaruit de link met het criminele milieu bleek. De bank weigerde het verzoek, zij was van mening dat zij alle gegevens had aangeleverd die zij volgens de wet moest aanleveren. Het hof gaf de bank gelijk.

Definitie, algemeen verzoek, misbruik bevoegdheid

Op basis van de Europese richtlijn 95 /46/EG uit 1995, vond de rechter dat niet elk digitaal gegeven of bestand waarin persoonsgegevens voorkomen gekwalificeerd kan worden als ‘persoonsgegeven’. Verder verweet de rechter de persoon dat hij een te algemeen verzoek (‘fishing expedition’) had gedaan. Ook vond de rechter dat de persoon misbruik van zijn bevoegdheid had gemaakt omdat zijn opmerkingen over de aangeleverde informatie  niet voldoende concreet waren. De persoon mocht niet verwachten dat zij alle documenten zou ophoesten, omdat dit te omvangrijk en te kostbaar zou worden.

(Bron: Rendement)