16/10/2019 02:50

Interne notities vallen óók onder inzagerecht AVG!

Iedereen mag van organisaties inzage vragen in de persoonsgegevens die van hem of haar worden verwerkt. Dat was onder de oude Wet Bescherming Persoonsgegevens (Wbp) al zo en dat is sinds mei 2018 onder de Algemene Verordening Gegevensbescherming (AVG) niet anders. Het inzagerecht is echter niet absoluut. Een verzoek om inzage mag bijvoorbeeld niet tot gevolg hebben dat de rechten of vrijheden van andere personen geschonden worden. Het is bijvoorbeeld niet de bedoeling dat door een inzageverzoek van persoon A gevoelige gegevens van persoon B bij persoon A terecht komen.

Interne notities: hoe zat het?
Bovendien was het tot voor kort op basis van rechtspraak zo dat ‘interne werknotities’ niet onder het inzagerecht vielen [1]. Je kunt dan bijvoorbeeld denken aan berichtjes tussen twee leidinggevenden over een bepaalde werknemer, of over aantekeningen van persoonlijke gedachten van een arts. Die rechtspraak was eigenlijk altijd al discutabel: de wet maakt deze uitzondering immers niet. Het leek er een beetje op dat deze rechtspraak met name een praktisch doel diende: indien álles wat je als (bijvoorbeeld) leidinggevende of arts opschrijft onder het inzagerecht kan vallen, kun je dan je werk nog wel normaal doen?

En hoe zit het nu?
Onlangs, op 17 september 2019, is door het Gerechtshof in Den Haag een dikke streep gezet door de rechtspraak die ik hiervoor omschreef [2]. Het Haagse Hof heeft uitgemaakt dat ook vertrouwelijke informatie in principe gewoon onder het inzagerecht valt. Dat betekent dat de voornoemde ‘interne werknotities’ niet meer zomaar achtergehouden kunnen worden als iemand vraagt om inzage in zijn of haar persoonsgegevens. Dit is een uitspraak met potentieel verstrekkende gevolgen; vandaar de volgende tip.

  • Tip voor praktijk #1: iedereen die in zijn beroep wel eens iets noteert of mailt over wat hij of zij vindt van bijvoorbeeld de gezondheid, het functioneren, de persoonlijkheid (of wat dan ook) van een ander: ga daar zeer zorgvuldig mee om; houdt altijd in het achterhoofd dat wat je noteert wel eens bij die persoon terecht zou kunnen komen.

Wordt de soep echt zo heet gegeten?
Dat valt misschien toch mee. Hieronder volgen drie kanttekeningen; drie redenen waarom de uitspraak van het Haagse hof in de praktijk minder impact zou kunnen hebben dan je in eerste instantie denkt:

Ten eerste is en blijft het zo dat het inzagerecht niet onbeperkt is. Een inzageverzoek mag er bijvoorbeeld nog steeds niet toe leiden dat de rechten of vrijheden van een derde in het gedrang komen. Stel je voor dat een werknemer inzage vraagt in zijn complete personeelsdossier waarin ook een aantal vervelende dingen over hem staan opgetekend; het is dan voorstelbaar dat de werkgever wél laat zien wat er over de werknemer gezegd of geschreven is, maar niet wié dat gezegd of geschreven heeft.

Ten tweede is het inzagerecht niet bedoeld om bewijs te verzamelen, aldus de rechtbank Noord-Nederland in een uitspraak van 23 april 2019 [3]. Het inzagerecht is bedoeld om te kunnen beoordelen of jouw persoonsgegevens rechtmatig worden verwerkt en of ze accuraat zijn. Aan een inzageverzoek dat als doel heeft bewijs te verzamelen voor een eventuele claim tegen bijvoorbeeld een arts of een ex-werkgever hoeft daarom niet of maar beperkt gehoor gegeven te worden.

Ten derde geeft het inzagerecht op grond van de wet recht op ontvangst van kopieën van “persoonsgegevens”. Dat is wat anders dan een recht op ontvangst van de complete stukken/documenten waar die persoonsgegevens in staan. Je zult als organisatie regelmatig kunnen volstaan met het verstrekken van kopieën van delen van documenten (of bepaalde passages uit documenten) waarin persoonsgegevens van de inzagevrager staan.

  • Tip voor de praktijk #2: Je hebt als organisatie een maand de tijd om op een inzageverzoek te reageren. Onder omstandigheden kun je dit nog eens met twee maanden verlengen en/of de betrokkene vragen om zijn inzageverzoek te specificeren. Maak gebruik van die tijd en ga, met de hierboven genoemde drie kanttekeningen in het achterhoofd, rustig na welke persoonsgegevens je wel en niet moet en wilt verstrekken.

Tot slot het volgende. Naar mijn mening moet je als organisatie niet geheimzinnig doen over wat je zoal aan persoonsgegevens verwerkt en waarom je dat doet. Het idee van de AVG is dat een inzageverzoek gewoon zo open en eerlijk mogelijk wordt beantwoord en dat alleen in uitzonderingssituaties de spreekwoordelijke deur dicht blijft. Dan nog is het van belang om het proces van het ontvangen, beoordelen en verwerken van inzageverzoeken goed in te regelen. Dat geldt te meer voor organisaties met gevoelige persoonsgegevens of waarin wel eens ‘vervelende dingen’ over personen worden opgetekend. Er kunnen immers beslist goede redenen zijn om bepaalde informatie niet te verstrekken en de wet geeft die ruimte tot op zekere hoogte ook.

[1] ECLI:NL:HR:2016:508
[2] ECLI:NL:GHDHA:2019:2398
[3] ECLI:NL:RBNNE:2019:3761

mr. Edwin Aerts

mr. Edwin Aerts

Advocaat arbeidsrecht bij KZO|O13 advocaten
Edwin Aerts is advocaat bij KZO|013 Advocaten in Tilburg. De advocaten van KZO|013 zijn meesters, maar vooral ook mensen in de rechten. Dat komt terug in de manier waarop zij hun zaken doen: professioneel en daadkrachtig, maar ook betrokken. Hard op de inhoud, zacht op de sfeer. Hun ervaring is dat zo'n aanpak het beste werkt.

Geef als eerste een reactie

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd.




SLUIT
SLUIT