In de AVG is het recht om geïnformeerd te worden over verwerking van persoonsgegevens (waaronder verslaglegging) geregeld in de art. 12 t/m 15. Artikel 15 lid 1 bepaalt dat de betrokkene recht heeft op De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie: de verwerkingsdoeleinden; de betrokken categorieën van persoonsgegevens; de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt; indien mogelijk, (…)dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt (…); wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
Artikel 15 lid 3 bepaalt dat de verwerkingsverantwoordelijke de betrokkene een kopie verstrekt van de persoonsgegevens die worden verwerkt. Dat recht mag geen afbreuk doen aan de rechten en vrijheden van anderen. Over de vraag wat persoonsgegevens zijn, zijn al vele uitspraken. Dat is een zeer breed begrip. Het gaat namelijk over elk soort informatie, zowel objectieve informatie als subjectieve informatie, in de vorm van meningen of beoordelingen, op voorwaarde dat deze informatie de betrokkene „betreft”. Informatie heeft betrekking op een geïdentificeerde of identificeerbare natuurlijke persoon wanneer zij wegens haar inhoud, doel of gevolg verband houdt met een identificeerbare persoon. Oftewel: als je iemand direct of indirect kunt herkennen aan de informatie, is de AVG van toepassing. Het begrip verwerking is eveneens heel breed: alles wat je met persoonsgegevens doet en hoe je deze ‘maakt’, valt hieronder.
De AVG gaat niet alleen over definitieve onderzoeksrapporten, maar ook over concepten, gespreksverslagen en interne notities (ECLI:EU:C:2017:994). Er is geen reden aan te nemen dat dit niet geldt voor werkgevers, externe onderzoekers, het Huis en andere autoriteiten.
In 2023 deed het EU Hof van Justitie in Luxemburg, de hoogste rechter op AVG-gebied, over de vraag: hoe ver gaat het recht van de betrokkene – degene over wie de informatie gaat - op een kopie van de persoonsgegevens die worden verwerkt? Want dat dit recht er is, en dat dit in elk geval betekende dat niet kon worden volstaan met ‘inzage’ of met een ‘overzicht van de persoonsgegevens’, was wel helder. Nu is duidelijk dat, zeker waar het gaat om dossiers, of andere grotere verwerkingen, die vrijwel altijd volledig moet worden verstrekt.
Het Hof oordeelt over lid 3 dat de verwerkingsverantwoordelijke de „persoonsgegevens die worden verwerkt” moet verstrekken in de vorm van een „kopie”. Echter, de term „kopie” verwijst niet naar een document als zodanig, maar naar de persoonsgegevens die het document (of de data) bevat en die volledig moeten zijn. De kopie moet dus alle persoonsgegevens bevatten die worden verwerkt (r.o. 30-32). Het doel van inzage en een kopie is om de betrokkene in staat te stellen te controleren of de hem betreffende persoonsgegevens juist zijn en rechtmatig worden verwerkt.
Rechtmatig betekent: in overeenstemming met de beginselen en regels van de AVG. Zo moet er bijvoorbeeld een grondslag zijn als bedoeld in artikel 6 van de AVG. Is die er niet, dan is verwerking per definitie al onrechtmatig. Ook moet de gegevensverwerking op grond van lid 5 juist en minimaal zijn. Het recht op een kopie is volgens het Hof vooral noodzakelijk om ervoor te zorgen dat de betrokkene zijn rechten ook kan gebruiken. Het Hof noemt: zijn recht op rectificatie, gegevenswissing, beperking, maar ook het recht om bezwaar te maken of een schadeclaim in te dienen (r.o. 34-35).
Het Hof concludeert dat in veel gevallen een ‘echte kopie’ van het document zelf noodzakelijk zal zijn om aan de AVG te voldoen. Het moet gaan om “een getrouwe en begrijpelijke reproductie van al deze gegevens moet worden gegeven. Dit recht omvat het recht om een kopie te verkrijgen van uittreksels uit documenten of zelfs van volledige documenten.” (r.o. 45) Bron: ECLI:EU:C:2023:369.
Artikel 23 van de AVG (en 41 Uavg) bepaalt dat er redenen kunnen zijn om het informatie, toegangs- en kopierecht in te perken. Dat kan alleen door middel van Unierechtelijke of lidstaatrechtelijke bepalingen, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat. En indien die in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van: de nationale veiligheid (…) de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten (…) andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid; een taak op het gebied van toezicht, inspectie of regelgeving (…); de bescherming van de betrokkene of van de rechten en vrijheden van anderen; de inning van civielrechtelijke vorderingen.
In de wettelijk gereguleerde gedragsregels van de beroepsgroep van particulier rechercheurs staat het correct: “De noodzaak om te weigeren kan aanwezig zijn indien sprake is van nog lopende onderzoeken, waarbij het risico aanwezig is dat de onderzochte persoon de mededeling zal aangrijpen om maatregelen te nemen om de waarheidsvinding te belemmeren. Voorts kan door inzage in het onderzoeksdossier de situatie ontstaan dat de rechten van anderen geschonden worden. Daarbij kan gedacht worden aan tipgevers of aan personen die ten nadele van de onderzochte persoon verklaringen hebben afgelegd. Indien belangen van anderen geschaad worden door inzage of afgifte van kopieën van bescheiden kunnen passages waar mogelijk geanonimiseerd of verwijderd worden, indien de bescherming van die belangen noodzakelijk is.”
Op grond van art. 5 lid 2 moet de verwerkingsverantwoordelijke kunnen uitleggen dat het echt noodzakelijk is dat een betrokkene geen informatie, toegang of kopie van de verwerking van zijn persoonsgegevens krijgt. De betrokkene hoeft niet het omgekeerde aan te tonen.
De AVG is een EU-verordening, en daarmee van hogere orde dan bijvoorbeeld de Wet bescherming klokkenluiders, en zeker dan allerlei interne regels of protocollen van externe onderzoekers. Artikel 17 van de EU-klokkenluidersrichtlijn bepaalt dat elke verwerking van persoonsgegevens in het kader van deze richtlijn, met inbegrip van de uitwisseling of doorgifte van persoonsgegevens door de bevoegde autoriteiten, wordt verricht overeenkomstig AVG. Persoonsgegevens die duidelijk niet relevant zijn voor de behandeling van een specifieke melding, worden niet verzameld, of worden, indien onbedoeld verzameld, onmiddellijk gewist.
De EU-klokkenluidersrichtlijn bevat in artikel 16 een geheimhoudingsplicht. De lidstaten zorgen ervoor dat de identiteit van de melder niet zonder zijn uitdrukkelijke toestemming bekend wordt gemaakt aan anderen dan de gemachtigde personeelsleden die bevoegd zijn voor de ontvangst of de opvolging van meldingen. Dit geldt tevens voor alle andere informatie aan de hand waarvan direct of indirect de identiteit van de melder kan worden achterhaald. In Nederland is dat gebeurd door opname van artikel 1a in de Wet bescherming klokkenluiders (Wbk).
Daarin staat dat ieder die betrokken is bij een melding of het onderzoek naar een vermoeden van een misstand en daarbij de beschikking krijgt over gegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs moet vermoeden, verplicht is tot geheimhouding van die gegevens, behoudens voor zover enig wettelijk voorschrift hem tot mededeling verplicht of uit zijn taak bij de uitvoering van deze wet de noodzaak tot mededeling voortvloeit. Deze bepaling gaat al wat verder dan die in de EU-klokkenluidersrichtlijn.
De Wbk heeft een bredere werking dan de EU-verordening: ook andere misstanden dan EU-inbreuken vallen eronder, zoals (deels) grensoverschrijdend gedrag en schending van Nederlandse wetten en integriteitsregels. Het is maar de vraag of de Wbk hier niet artikel 23 AVG doorkruist. Immers inperking van de AVG-rechten mag alleen indien noodzakelijk in verband met andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid. Ik zie ‘onderzoek naar Nederlandse misstanden die niet onder de richtlijn vallen’ er niet tussen staan!
En dan is de vraag of de geheimhouding zo ver kan gaan dat het AVG-inzagerecht onmogelijk wordt gemaakt. Dat kan in mijn beleving alleen voor zover de missstand een EU-inbreuk betreft. Uiteraard is er wel algemene geheimhoudingsplicht, bijvoorbeeld op grond van sectorwetgeving en artikel 272 en 273 Sr. Betrokkenen, of dat nu klokkenluiders zijn, melders van ‘kleine integriteitsschendingen’ of beklaagden hebben ondanks die geheimhouding op grond van de AVG in beginsel het recht op een kopie van die stukken die over hen gaan, en die stukken die nodig zijn om de rechtmatigheid (waaronder juistheid) van de stukken te beoordelen (de context). Uiteraard mogen daaruit indien noodzakelijk namen van derden en bedrijfsgeheimen worden weggelakt, maar verder dan dat mag het niet gaan.
Conclusie: op grond van de AVG moet de werkgever, extern onderzoeker of de betreffende autoriteit een heel goede reden hebben om geen informatie, toegang en kopie te verstrekken aan de betrokkene over wie persoonsgegevens worden verwerkt.
