Geschil tussen bank en voormalig medewerker
De kwestie gaat over een geschil tussen een voormalig medewerker van een bank en die bank. De man had ontdekt dat verschillende medewerkers van de bank in een periode van twee maanden herhaaldelijk in zijn dossier hadden gekeken. Enkele jaren later doet hij daarom een inzageverzoek, in een poging zo te achterhalen wie dat zijn geweest en waarom zijn gegevens zijn geraadpleegd.
De bank heeft in reactie op het inzageverzoek aangegeven dat het dossier was geraadpleegd om te kunnen toetsen of er geen sprake was van een belangenconflict tussen de voormalig werknemer en een andere klant van de bank.
De man nam hier geen genoegen mee en vocht de kwestie verder aan. Zo belandt de kwestie uiteindelijk bij het Hof van Justitie.
HvJEU: inzagerecht is procedurele regel, dus geldt ook voor verleden
Aangezien de kwestie rondom de inzage in het dossier van de man al speelt van voor de inwerkingtreding van de AVG is allereerst de vraag of de kwestie wel moet worden beoordeeld aan de hand van de AVG (of van de daarvoor geldende regels).
Het Hof maakt hierbij duidelijk onderscheid tussen materiele regels en procedurele regels. Hierbij geldt:
- materiele regels gelden vanaf datum inwerkingtreding in principe alleen voor kwesties die na die datum zijn ontstaan, voor kwesties van voor de datum inwerkingtreding blijven in principe de oude regels gelden (oude kwesties = oude regels);
- procedurele regels gelden in principe vanaf datum inwerkingtreding.
Het Hof merkt het inzagerecht aan als een procedurele regel.
Dat betekent dat inzageverzoeken die zijn ingediend na de datum van inwerkingtreding van de AVG moeten worden beoordeeld conform de AVG. Dat geldt ook, zo voegt het Hof toe, als het verzoek ziet op verwerkingen van persoonsgegevens van voor die datum.
HvJEU: ruime uitleg wetgeving
Bij de beantwoording van de vragen over de reikwijdte van het inzagerecht zet het Hof allereerst de rechtspraak op een rij die er recent is gewezen. Onder verwijzing naar de eerdere kwesties inzake Österreichische Post en CRIF wordt andermaal herhaald dat de begrippen uit de AVG een ruime strekking hebben, dat het doel van het inzagerecht is om de betrokkene in staat te stellen om te controleren of zijn persoonsgegevens rechtmatig worden verwerkt en dat het dus ook logisch is dat aan betrokkene ruimhartig gegevens moeten worden verstrekt.
HvJEU: onder inzagerecht valt ook informatie over het wanneer en waarom
Het Hof oordeelt dat informatie over het moment van raadpleging relevant kan zijn om de rechtmatigheid van een verwerking te beoordelen. Het Hof constateert verder dat er toch al recht bestaat op informatie over de doeleinden van de verwerking. Betrokkene heeft dus recht op informatie over het wanneer en het het waarom van toegang tot zijn gegevens.
Het Hof heeft eerder ook al in de CRIF kwestie geoordeeld dat betrokkene recht heeft op een kopie van zijn persoonsgegevens en dat het onder omstandigheden noodzakelijk kan zijn om aan betrokkene kenbaar te maken in welke context zijn gegevens worden verwerkt.
Het Hof wijst er nu op dat gegevens uit logboeken over de toegang tot persoonsgegevens ook zelf persoonsgegevens kunnen zijn. Als dat zo is, dan vallen deze gegevens dus ook onder het inzagerecht. Als de logboeken echter louter technische informatie bevatten, dan heeft betrokkene er geen recht op (maar kunnen toezichthouders die logboeken wel inzien).
Ook de informatie over wie persoonsgegevens heeft ingezien kan relevant zijn om de rechtmatigheid van de verwerking te beoordelen. Het Hof oordeelt echter dat het belang van de privacy van die werknemers in de basis zwaarder weegt. Dat betekent dat de namen van de personen die de gegevens hebben ingezien niet hoeven te worden verstrekt, tenzij dat onontbeerlijk is om de rechtmatigheid van de verwerking te beoordelen. Mocht er discussie bestaan of dat het geval is, dan kan een klacht bij de toezichthouder worden ingediend aldus het Hof.
Een wat meer juridisch-technisch punt dat in dit kader nog aan de orde komt is dat werknemers geen "ontvangers" van persoonsgegevens zijn, nu zij immers onder gezag van de verwerkingsverantwoordelijke of verwerker werken.
HvJEU: irrelevant dat gereglementeerde activiteit wordt uitgeoefend
Op het slot van het arrest komt de vraag nog aan de orde in hoeverre relevant is dat de bank in kwestie een gereglementeerd beroep uitoefent.
Het Hof is hier vrij snel klaar mee: de AVG maakt nergens onderscheid in de aard van de activiteiten. Er is ruimte in artikel 23 AVG om onder omstandigheden in Europese of nationale wetgeving uitzonderingen of beperkingen op de AVG op te nemen, maar dat blijkt in casu niet te zijn gebeurd. Het inzagerecht wordt zodoende dus niet anders geinterpreteerd in de financiele sector dan in andere sectoren.
Slotopmerkingen
Het oordeel dat het inzagerecht een procedurele regel is zal voor diverse organisaties wellicht schrikken zijn. Het inzagerecht onder de AVG wordt immers wat ruimer uitgelegd dan het voorheen onder de privacyrichtlijn werd uitgelegd. Het roept daarmee ook allerlei vervolgvragen op over wat organisaties nu moeten verstrekken wanneer de betreffende gegevens in het verleden helemaal niet werden bijgehouden. Iets wat je niet hebt kun je ook niet verstrekken immers.
Dat een betrokkene recht heeft op informatie over het moment van raadpleging en ook de doeleinden zal ook voor veel organisaties wennen zijn. Zeker ook nu het Hof in algemene zin overweegt dat die informatie relevant kan zijn om de rechtmatigheid van een verwerking te kunnen beoordelen (overweging 62). Als dat immers relevante informatie is om de rechtmatigheid van een verwerking te beoordelen, dan veronderstelt dit - ook gelet op de verantwoordingsplicht (artikel 5 lid 2 AVG) - welhaast dat alles dat met persoonsgegevens gebeurt voortdurend wordt gelogd. Ga er maar aanstaan: logboeken bijhouden van alles dat met persoonsgegevens gebeurt. Ieder mailtje dat wordt geopend, ieder document dat wordt bewerkt, iedere mutatie in een databaserecord, iedere klik op een website, etc. Dat is al snel ondoenlijk. Het is ook van heel andere orde dan het loggen van gedrag in bepaalde afgebakende systemen (zoals logging in de zorgsector van het EPD). Ik breng in dat kader het alweer wat oudere Rijkeboer-arrest in herinnering waarin juist wordt benadrukt dat geen disproportionele lasten mogen rusten op verwerkingsverantwoordelijken om aan de wet te voldoen. Over de precieze aard en omvang van dit recht op logboekinformatie (en daarmee de plicht tot loggen?) is dan ook ongetwijfeld het laatste woord nog niet gezegd.
Een bijkomende vraag die de kwestie oproept is wat de informatie over de doeleinden van de verwerking nu precies omvat. Het Hof spreekt uitdrukkelijk over de "doeleinden van deze raadplegingen" (onderstreping toegevoegd), wat doet vermoeden dat iedere afzonderlijke raadpleging op zichzelf moet worden verantwoord. Algemene informatie over de doeleinden van verwerking lijkt (dus) niet te volstaan. Een simpele verwijzing naar het privacystatement (waarin die meer abstracte informatie staat) gaat dus vermoedelijk niet op. Ook hier geldt echter: ga er maar aan staan. Vanuit de optiek van grondrechten en het belang van betrokkene snap ik dat het Hof de ruime uitleg aan het inzagerecht geeft. Aan de andere kant: verwacht het Hof nu werkelijk dat software zo wordt geprogrammeerd dat bij iedere klik eerst een pop-up volgt met de vraag om te verantwoorden waarom er geklikt wordt? Wie wordt daar - onderaan de streep - nu beter van in de maatschappij? Ook dit levert dus nog wel de nodige doordenkers op.
Het is verder opvallend dat het Hof de vraag over de samenhang met gereglementeerde activiteiten zo kortaf beantwoordt. Elders in het arrest wordt nog benadrukt dat het recht op privacy niet absoluut is en moet worden afgewogen tegen andere grondrechten. Bovendien heeft het Hof eerder al geoordeeld dat de aard van de verplichtingen kan afhangen van de aard van de activiteiten van een partij (zie bijvoorbeeld de Google kwesties over verwijderverzoeken, daar wordt de aard van een zoekmachine meegewogen bij de interpretatie van het recht). Gelijk zo zou je kunnen verwachten dat in een sector die sterk gereguleerd is en waar (dientengevolge) sprake is van veel verplichte verwerkingen van persoonsgegevens, de strekking van het inzagerecht wellicht ook wat sectorspecifieker zou worden geïnterpreteerd. Feit is echter dat het Hof het niet doet. In die zin legt het Hof hier de bal terug bij de wetgever: indien gereglementeerde sectoren bepaalde privacyrechtelijke ruimte willen hebben, dan moet die terugkomen in diezelfde regelgeving.
Het Hof is de weg van de ruime uitleg van het privacyrecht duidelijk ingeslagen. Het wordt wachten op casusposities waarbij die ruime uitleg maatschappelijk onwenselijk uitpakt, om te zien hoe het Hof dan met die kwesties omspringt. Tot die tijd hebben organisaties wel met deze ruime uitleg te dealen en te worstelen.
Heeft u hier vragen over? Worstelt u ook met de materie? Neem gerust contact op.
