Op 28 januari 2022 heeft het Europees Comité voor Gegevensbescherming ("EDPB") ontwerprichtsnoeren gepubliceerd over het recht van inzage, dat in de AVG wordt erkend als een van de grondrechten van de betrokkene. Voor sommige Big data-bedrijven kan het recht van inzage behoorlijk lastig zijn, aangezien zij vaak grote hoeveelheden gegevens verwerken (denk aan marketingbedrijven die gebruik maken van verbeterde profilingtechnologieën). Daarom verduidelijkt de EDPB een aantal aspecten van het recht van toegang.
In deze blogpost worden de belangrijkste punten uit de richtsnoeren samengevat en wordt de aandacht gevestigd op enkele resterende open vragen.
In het algemeen biedt het recht van inzage de betrokkene de mogelijkheid te weten te komen of gegevens betreffende hem of haar al dan niet worden verwerkt, inzage te krijgen tot deze persoonsgegevens en inzage te krijgen tot de informatie over de verwerking zelf (doeleinden, duur, rechten van de betrokkenen en passende maatregelen voor doorgiften naar derde landen).
Het doel van het recht van inzage is tweeledig:
Het recht van inzage heeft de doelstelling om betrokkene voldoende, transparante en gemakkelijk toegankelijke informatie te verstrekken over de verwerking van hun persoonsgegevens, zodat zij zich bewust kunnen zijn van en controle kunnen uitoefenen op de rechtmatigheid van de verwerking en de juistheid van de persoonsgegevens. Daarnaast zal het ook de uitoefening van andere rechten in de AVG (zoals het recht op gegevenswissing of het recht op rectificatie) vergemakkelijken.
1. Recht op een bevestiging of persoonsgegevens al dan niet worden verwerkt | Het is belangrijk op te merken dat de mogelijkheid bestaat dat de verwerkingsverantwoordelijke in feite geen informatie verwerkt over de betrokkene die om toegang verzoekt. In dat geval kan de voor de verwerking verantwoordelijke enkel bevestigen dat hij geen persoonsgegevens over de betrokkene verwerkt. |
2. Recht op inzage van de persoonsgegevens die worden verwerkt | Dit is de kern van het recht van inzage. De verwerkingsverantwoordelijke zal toegang moeten verlenen tot de eigenlijke persoonsgegevens; een algemene samenvatting van de gegevens of een loutere verwijzing naar de categorieën die worden verwerkt, volstaat niet, aldus de EDBP.
In beginsel heeft een betrokkene recht van inzage tot alle verwerkte gegevens die betrekking hebben om hem of haar, of tot een deel daarvan (indien hij of zij dat zelf heeft aangegeven, of indien een van de in artikel 15 AVG genoemde beperkingen daarop van toepassing is). |
3. Recht van inzage tot informatie over de verwerking en tot de rechten van de betrokkenen | De verwerkingsverantwoordelijke moet de informatie verstrekken die onder artikel 15, leden 1 en 2, van de AVG valt; deze informatie zal doorgaans worden opgenomen in de privacyverklaring of het register van verwerkingsactiviteiten van de verwerkingsverantwoordelijke. |
Met betrekking tot de wijze waarop inzage tot de informatie moet worden verleend, verduidelijkt de EDPB dat een verwerkingsverantwoordelijke een eerste gratis kopie moet verstrekken van de persoonsgegevens die worden verwerkt, zelfs wanneer de reproductiekosten hoog zijn. Een kopie moet volledig zijn (zij moet alle gevraagde informatie bevatten) en moet door de betrokkene kunnen worden bewaard (bv. op papier of in elektronische vorm). Voor eventuele extra kopieën van hetzelfde verzoek kan de verwerkingsverantwoordelijke op basis van de administratieve kosten een redelijke vergoeding vragen.
Alvorens te overwegen een dergelijke vergoeding te vragen, is het echter raadzaam het verzoek te bekijken en te beoordelen of het al dan niet om een "nieuw" verzoek gaat. Alleen wanneer het verzoek niet "nieuw" is, en de betrokkene opnieuw om dezelfde kopie vraagt, mag de verwerkingsverantwoordelijke een vergoeding vragen. Het verzoek moet in ieder geval als "nieuw" worden beschouwd wanneer de betrokkene informatie vraagt over gegevens die op een ander tijdstip zijn verwerkt of die betrekking hebben op een andere reeks gegevens dan de oorspronkelijk gevraagde gegevens. Indien de informatie betrekking heeft op dezelfde soort persoonsgegevens als het oorspronkelijke verzoek, kan het worden beschouwd als een verzoek om een extra kopie (en dan kan de verwerkingsverantwoordelijke een redelijke vergoeding vragen).
In beginsel moet de verwerkingsverantwoordelijke de informatie over de verwerking volledig, correct en up-to-date verstrekken. Deze verplichting kan behoorlijk belastend zijn voor verwerkingsverantwoordelijke die grote hoeveelheden persoonsgegevens van betrokkenen verwerken (dit geldt des te meer als we rekening houden met de sterke stijging van het aantal verzoeken om inzage in de afgelopen jaren). De EDPB erkent deze potentiële last door te stellen dat "de voor de verwerking verantwoordelijke wordt dan geconfronteerd met de vraag hoe hij een volledig antwoord kan geven en tegelijkertijd kan voorkomen dat voor de betrokkene een overvloed aan informatie ontstaat waarin hij niet geïnteresseerd is en die hij niet doeltreffend kan verwerken" (vrije vertaling). De door de EDPB voorgestelde oplossing bestaat erin een "self-service tool" in online contexten aan te bieden.
Indien deze oplossing niet mogelijk is, bestaat een andere oplossing erin de betrokkene te vragen te specificeren op welke informatie of verwerking het verzoek betrekking heeft, alvorens alle informatie te verstrekken. Indien de betrokkene echter nog steeds in algemene bewoordingen om de informatie verzoekt, moet de verwerkingsverantwoordelijke volgens de EDPB alle informatie verstrekken die betrekking heeft op de verwerking van de persoonsgegevens van die betrokkene.
Dit is een vraag die in de AVG niet wordt beantwoord. De EDPB verduidelijkt dat "de verwerkingsverantwoordelijke in de regel niet meer persoonsgegevens kan opvragen dan nodig is om deze identificatie mogelijk te maken, en dat het gebruik van dergelijke informatie strikt beperkt moet blijven tot het voldoen aan het verzoek van de betrokkene" (vrije vertaling).
Artikel 12, lid 6, van de AVG biedt voor de verwerkingsverantwoordelijke specifiek de mogelijkheid om - bij gerede twijfel over de identiteit van de natuurlijke persoon die het verzoek indient - de betrokkene te vragen aanvullende informatie te verstrekken om zijn of haar identiteit te bevestigen.
De EDPB geeft enkele belangrijke richtsnoeren voor het vragen van een kopie van een identiteitskaart als onderdeel van het authenticatieproces. Volgens de EDPB kan dit een risico inhouden voor de beveiliging van persoonsgegevens en leiden tot ongeoorloofde of onwettige verwerking. Daarom kan dit alleen worden toegepast indien het strikt noodzakelijk, passend en in overeenstemming met de nationale wetgeving is. Wanneer een kopie van een identiteitskaart wordt gebruikt om de identiteit van de betrokkene te bevestigen, moet de betrokkene in elk geval de mogelijkheid hebben om bepaalde informatie die niet noodzakelijk is voor de identificatie, zwart te maken. De EDPB stelt dat in beginsel de datum van afgifte of de datum waarop de geldigheidsduur verstrijkt, de afgevende autoriteit en de volledige naam van de betrokkene voldoende moeten zijn. De EDPB impliceert zelfs dat "indien de betrokkene niet weet hoe of niet in staat is dergelijke informatie zwart te maken, het een goede praktijk is dat de verwerkingsverantwoordelijke deze informatie zwart maakt bij ontvangst van het document, indien dit mogelijk is voor de verwerkingsverantwoordelijke rekening houdend met de middelen waarover hij/zij in de gegeven omstandigheden beschikt." (vrije vertaling)
Nadat de verwerkingsverantwoordelijke de identiteit van de betrokkene heeft bevestigd door de kopie van de identiteitskaart te controleren, moet hij de kopie onmiddellijk wissen, omdat de opslag van de kopie een inbreuk kan vormen op de beginselen van doelbinding en opslagbeperking (art. 5, lid 1, onder b) en e), AVG). De EDPB beveelt bij wijze van goede praktijk aan dat de verwerkingsverantwoordelijk na controle van de identiteitskaart een aantekening maakt, bijvoorbeeld "ID-kaart werd gecontroleerd", om onnodig kopiëren of opslaan van kopieën van identiteitskaarten te voorkomen. In dit verband verwijzen wij ook naar artikel 11 van de AVG, op grond waarvan persoonsgegevens niet hoeven te worden bewaard uitsluitend om de naleving van de AVG aan te tonen.
De EDPB bespreekt een aantal gevallen waarin het recht van toegang kan worden beperkt, maar geeft daar een vrij beperkt toepassingsgebied aan. Er zij op gewezen dat de EDPB duidelijk stelt dat "het recht van toegang niet kan worden beperkt of begrensd als onderdeel van een overeenkomst die met de betrokkene is gesloten".
Een eerste geval waarin het recht van toegang kan worden beperkt, is wanneer het verstrekken van een kopie afbreuk zou doen aan "de rechten en vrijheden van anderen". Overweging 63 van de AVG geeft enkele voorbeelden van "rechten en vrijheden van anderen", zoals:
De EDPB verduidelijkt dat "deze als voorbeelden moeten worden beschouwd, aangezien in beginsel elk recht of elke vrijheid die op het recht van de Unie of de lidstaten is gebaseerd, kan worden geacht de beperking van artikel 15, lid 4, van de AVG in te roepen" (vrije vertaling). Andere voorbeelden die in de richtsnoeren worden genoemd, zijn:
In dat geval moet door de verwerkingsverantwoordelijke een proportionaliteitsbeoordeling worden uitgevoerd. Indien de verwerkingsverantwoordelijke tot de conclusie komt dat het verzoek nadelige gevolgen heeft voor de rechten en vrijheden van een andere deelnemer, moeten de belangen van de deelnemers worden afgewogen, rekening houdend met de specifieke omstandigheden van het geval en in het bijzonder de waarschijnlijkheid en de ernst van de risico's die aan de verstrekking van de gegevens verbonden zijn.
Ten tweede kan een verwerkingsverantwoordelijke een verzoek om inzage dat hij als kennelijk ongegrond of buitensporig beschouwt, terzijde schuiven. "Buitensporig" houdt verband met de hoeveelheid verzoeken van de betrokkene om het recht van inzage. De EDPB verdedigt het standpunt dat indien een verzoek "enorm veel tijd en moeite" vergt om te voldoen, dit op zich nog niet betekent dat het buitensporig is. De EDPB geeft wel enkele voorbeelden van wat buitensporig kan zijn. Bijvoorbeeld:
De EDPB-richtsnoeren nemen een krachtig standpunt in en stellen dat er naast de genoemde specifieke beperkingen geen proportionaliteitsbeperking is bij het zoeken naar persoonsgegevens om aan de verzoeken om inzage te voldoen. De verwerkingsverantwoordelijke zal dus in alle IT-systemen en fysieke archiveringssystemen moeten zoeken naar informatie over de verwerking van persoonsgegevens van de betrokkene die het verzoek indient. Dit standpunt kan als controversieel worden beschouwd, aangezien het proportionaliteitsbeginsel een vast beginsel van EU-wetgeving is (zie artikel 5, lid 4, VWEU).
De richtsnoeren van de EDPB zijn zeer welkom, maar er resteren nog enkele open vragen. Een vraag die bijvoorbeeld onbeantwoord blijft, is wat te doen wanneer een werknemer een kopie wil krijgen van alle e-mails waarin zijn of haar naam wordt genoemd? Een Duitse federale arbeidsrechtbank heeft eerder geoordeeld dat dit soort verzoeken niet nauwkeurig genoeg zijn.
Het zal interessant zijn om te zien of het Hof van Justitie de richtsnoeren van de EDPB zal volgen in enkele prejudiciële procedures die momenteel aanhangig zijn. Deze omvatten:
De raadplegingsperiode liep af op 11 maart 2022. Het valt nog te bezien of er in de definitieve versie van de richtsnoeren nog wijzigingen zullen worden aangebracht. Wil je op de hoogte blijven over dit onderwerp? Volg ons ook op LinkedIn!
Heb je nog vragen en wens je een kennismakingsgesprek? Boek een gratis 15-minuten call met Bernd op bernd.lawyer.brussels (voorbehouden voor organisaties).