Recht op inzage onder GDPR
Op basis van artikel 15 GDPR of AVG heeft iedereen wiens gegevens verwerkt worden het recht om van de verwerkingsverantwoordelijke uitsluitsel te krijgen over de vraag of zijn of haar gegevens inderdaad verwerkt worden en om inzage te verkrijgen in en kopie van die persoonsgegevens, samen met informatie over de reden van verwerking, de personen met wie de gegevens eventueel gedeeld worden, de bewaartermijn, etc…
Dat recht op inzage is zeer vergaand. In principe moeten alle persoonsgegevens binnen je bedrijf overgemaakt worden aan de verzoeker, inclusief mails, interne verslagen evaluaties, kredietrapporten, etc… Het recht is echter niet absoluut. Artikel 23 GDPR voorziet enkele beperkingen, waarvan in deze context “de bescherming van de betrokkene of van de rechten en vrijheden van anderen” het meest relevant is. Inzage kan met andere woorden geweigerd worden als de inhoud van de betreffende documenten een gevaar vormt voor de betrokkene (we denken bijvoorbeeld aan psychologische/psychiatrische verslagen, waarbij het niet in het belang is van de betrokkene om alle details te lezen die in zo’n verslag vermeld staan) of als derden door de vrijgave in hun rechten geraakt worden (denkbaar is het geval waarin je de privacy van een derde moet schenden door vertrouwelijke brieven van of aan die persoon vrij te geven).
Recht op inzage versus vertrouwelijke informatie
Het recht op inzage roept in een aantal specifieke gevallen ernstige vragen op omdat het recht op inzage in conflict lijkt te komen met beroepsgeheimen, met vertrouwelijke knowhow of in het algemeen met de vaststelling dat het onwenselijk is om bepaalde informatie mee te delen aan de betrokkene, zoals mag blijken uit de voorbeelden hierboven.
Heel vaak gaat het om persoonlijke meningen, opvattingen, analyses over een persoon die men om verschillende redenen liever niet ter kennis brengt aan de persoon zelf. De betreffende informatie kan vertrouwelijk zijn, het kan commercieel ongewenst zijn om de beslissingsprocessen van het bedrijf in zekere mate bloot te moeten geven (dit opent zelfs de deur naar bedrijfsspionage door concurrenten), het kan ook gewoon als contraproductief aangevoeld worden om bvb een sociale of psychologische analyse ter kennis te moeten brengen van de betrokkene zelf.
Heel wat redenen dus voor verwerkingsverantwoordelijken om te zoeken naar mogelijkheden om deze buiten de scope van het inzagerecht onder artikel 15 GDPR te houden en het verbaast dan ook niet dat er geregeld conflicten ontstaan over de vraag welke documenten precies wel of niet vrijgegeven moeten worden.
De Nederlandse case
In het Nederlandse geval waarin nu uitspraak is gedaan, weigerde de verwerkingsverantwoordelijke inzage in een hele reeks e-mails op basis van de stelling dat dat interne notities zijn die persoonlijke gedachten van medewerkers bevatten en uitsluitend voor intern overleg en beraad zijn bedoeld. De privacy van die medewerkers zou in gevaar komen door die mails over te maken aan de verzoeker (cfr. de uitzondering van artikel 23).
De rechtbank stelt vast dat de betreffende e-mails wel degelijk persoonsgegevens van de verzoeker bevatten. De rechter is het er echter niet mee eens dat de verwerkingsverantwoordelijke in kwestie zich verschuilt achter de uitzondering van artikel 23 GDPR omdat de privacy van haar medewerkers in gevaar zou zijn.
De rechtbank stelt duidelijk dat de uitzondering enkel van toepassing kan zijn na een belangenafweging en als er “gewichtige belangen” zijn die een uitzondering op het basisrecht tot inzage van de betrokkene rechtvaardigen. Die gewichtige belangen moeten duidelijk gemotiveerd zijn en voldoende zwaar doorwegen en dat was hier niet het geval. De conclusie is dat de verwerkingsverantwoordelijke ten onrechte (of althans zonder voldoende motivering), inzage geweigerd heeft in een aantal e-mails waarin persoonsgegevens van de verzoeker opgenomen waren.
Wat betekent dit voor jou?
Bovenstaande is weliswaar een beslissing van een Nederlandse en niet van een Belgische rechtbank, maar toch heeft dit vonnis wel degelijk een belangrijke draagwijdte voor de ganse EU. GDPR is immers identiek in alle lidstaten en de interpretatie ervan moet ook gelijklopend zijn en blijven.
Een en ander betekent concreet dat verantwoordelijken voor de verwerking op elk ogenblik moeten beseffen dat alle persoonsgegevens die zij bijhouden over personeel, klanten, prospects, leveranciers, patiënten, cliënten, potentieel en zonder filter opgevraagd kunnen worden door de betrokkene. Dat betekent dat ook commentaren in de marge van een dossier van een maatschappelijk assistent, notities in het “open veld” van CRM systemen ivm het karakter van een klant, interne klantenscores, etc… potentieel in handen kunnen komen van de betrokkene (en als die betrokkene een concurrent zou zijn, dus ook in handen van een concurrent).
De cliënt van een psycholoog of een OCMW kan inzage vragen in zijn dossier, de cliënt van een advocaat kan inzage vragen in zijn eigen dossier, een klant van een bank kan inzage vragen in kredietscores en klantenprofielen, een personeelslid kan inzage vragen in zijn personeelsdossier, … en dat omvat telkens potentieel ook alle persoonsgegevens die in e-mails, interne chatberichten zoals Slack of Teams zijn opgenomen, papieren verslagen, papieren notities of eender welke drager.
Ons advies in het kader van GDPR compliance trajecten is dan ook steevast om intern goed te onderzoeken welke processen spelen bij het verzamelen en registreren van persoonsgegevens en om zeer goed te bekijken welke gegevens wel en niet genoteerd worden in de toekomst en vooral ook hoe bepaalde informatie opgeslagen wordt. Het “open veld” in CRM-systemen is daarvan een zeer goed voorbeeld in de context van commerciële bedrijven. In het licht van GDPR en van de wetenschap dat die “vervelende klant” misschien ooit inzage krijgt in de notities die over hem bijgehouden worden, is het verstandig om het personeel ertoe aan te zetten om niet meer expliciet te noteren “bezoek gebracht op datum X: vervelende klant”. Een en ander zou anders op termijn wel eens kunnen leiden tot “geen klant meer” in plaats van “vervelende klant”…
Een érg belangrijk aspect van een goed en GDPR compliant dataveiligheidsbeleid is daarbij een duidelijke policy of interne richtlijnen rond dataopslag en dataverzending: waar mag data opgeslagen worden, hoe lang mag ze bewaard worden, wat mag wel en niet afgedrukt worden, wat mag er wel of niet in interne communicatietools of per mail uitgewisseld worden, wat mag wel of niet extern gecommuniceerd worden, … Vragen die stuk voor stuk een antwoord vereisen om correct met data én met inzageverzoeken om te kunnen gaan.