.png)
_p.png){kind=small}
In de vorige gastblog heeft Cees Zwinkels geschreven over een groeiend stelsel van basisregistraties in Nederland en de Europese Unie en automatische besluitvorming over gestandaardiseerde burgers. Daarbij heeft hij eenieder geadviseerd zich af te vragen of er over zijn persoon besluiten worden genomen op basis van over hem/haar specifiek geregistreerde gegevens. Dat advies kan ik alleen maar beamen en daarom zal ik deze blog wijden aan het recht op inzage.
De wet
Ingevolge artikel 15 van de Algemene Verordening Gegevensbescherming (AVG) heeft elke burger het recht om uitsluitsel te krijgen over de vraag of persoonsgegevens van hem/haar worden verwerkt. Als dat het geval is, heeft de betrokkene - degene wiens persoonsgegevens worden verwerkt - het recht om inzage te verkrijgen in deze gegevens, alsmede op informatie over het gebruik daarvan. Zo moet na een verzoek bijvoorbeeld worden medegedeeld of sprake is van automatische besluitvorming, inclusief profilering, wat de onderliggende logica en het belang daarvan is en wat de verwachte gevolgen voor de betrokkene zijn van een dergelijke verwerking.
Het inzagerecht in de AVG komt overeen met de voorloper die was geregeld in de Privacyrichtlijn 1995 en de Wet bescherming persoonsgegevens en heeft tot doel de betrokkene in staat te stellen zich van de verwerking op de hoogte te stellen en de juistheid en de rechtmatigheid daarvan te controleren. Iedereen kan dus een organisatie vragen of zijn/haar gegevens worden verwerkt en inzage vragen in die gegevens. De organisatie dient dan kosteloos binnen één maand een kopie van de persoonsgegevens in begrijpelijke vorm te verstrekken.
De reikwijdte
Het inzagerecht is niet absoluut, maar mag door generieke wettelijke uitzonderingen worden beperkt. Een organisatie mag, na een belangenafweging, bijvoorbeeld de inzage weigeren wanneer dat noodzakelijk en evenredig is ter waarborging van de nationale of openbare veiligheid. Naast de wettelijke geformuleerde uitzonderingen mag het inzagerecht geen afbreuk doen aan de rechten en vrijheden van anderen, zoals de auteursrechten waarmee software wordt beschermd. Dit mag echter niet ertoe leiden dat de betrokkene alle informatie wordt onthouden. Een mooie illustratie daarvan betreft de uitspraak van het Gerechtshof Den Haag van 17 september 2019. In deze zaak had een kerklid een verzoek ingediend teneinde van de kerk inzage te krijgen in documenten die betrekking hadden op een geschil tussen haar en de kerk. De kerk voerde daartegen aan dat het verzoek mede ziet op interne kerkelijke stukken zoals correspondentie tussen kerkenraadsleden en diens persoonlijke visies en dat deze niet onder het inzagerecht vallen. Het Hof oordeelde, in tegenstelling tot de rechtbank, dat het recht op inzage niet zonder meer op voorhand mag worden geblokkeerd met een beroep op vertrouwelijkheid. Onder ‘persoonsgegevens’ moet worden verstaan iedere informatie die vanwege haar inhoud, doel of gevolg is gelieerd aan het kerklid en waarmee het kerklid redelijkerwijs identificeerbaar is voor de kerk of voor enig andere persoon, ongeacht of het om objectieve of subjectieve informatie gaat. In hoeverre de kerk vervolgens inzage moet geven, hangt af van een door de kerk te maken belangenafweging tussen het inzagerecht van het kerklid en de privacyrechten van de kerkenraadsleden. De kerk mag de documenten anonimiseren in die zin dat de uitlatingen over het kerklid niet herleidbaar zijn tot de persoon die de uitlating heeft gedaan.
Concluderend is het inzagerecht, vooral in het kader van de toenemende datahonger en -koppeling, een goed instrument om te weten wat met onze persoonsgegevens gebeurt. Bij elk verzoek tot inzage zal echter eerst moeten worden bezien welke gegevens onder het inzagerecht vallen, met dien verstande dat bij de verstrekking geen wettelijke uitzondering van toepassing is en geen afbreuk mag worden gedaan aan de rechten en vrijheid van anderen. Dat vergt telkens een belangenafweging.