Inzicht krijgen in je eigen ‘digitaal verwerkte’ persoonsgegevens beperkt

De Wet bescherming persoonsgegevens (Wbp) geeft eenieder het recht op een volledig overzicht van de op zichzelf betrekking hebbende verwerkte persoonsgegevens (art. 35 Wbp). Dit overzicht kan aan iedere verwerker van deze persoonsgegevens worden verzocht. Wel moet de Wbp van toepassing zijn op deze persoonsgegevens om met succes een beroep te kunnen doen op dit recht. Met betrekking tot digitaal verwerkte persoonsgegevens heeft de rechtbank Rotterdam op 29 augustus 2013 https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:RBROT:2013:6686) geoordeeld dat de persoonsgegevens die digitaal zijn verwerkt in onderzoeksdossiers niet onder het toepassingsbereik van de Wbp vallen, omdat deze gegevens geen onderdeel uitmaken van een bestand.

Of de Wbp van toepassing is wordt bepaald in artikel 2 lid 1 Wbp, die luidt:

"Deze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen."

Taalkundig gezien bepaalt dit artikel dat de Wbp met betrekking tot de geautomatiseerde verwerking van persoonsgegevens altijd van toepassing is en dat het bestandvereiste slechts geldt voor de niet geautomatiseerde verwerking van persoonsgegevens. De rechtbank Rotterdam oordeelt echter anders.

Eiser had op grond van art. 35 Wbp een verzoek gericht aan De Nederlandse Bank (DNB) om inzage te verkrijgen in de eigen persoonsgegevens die door DNB zijn verwerkt. Dit verzoek is afgewezen met betrekking tot de persoonsgegevens die in onderzoeksdossiers van DNB zijn opgenomen. Tegen deze afwijzing komt eiser in beroep bij de rechtbank Rotterdam. De betreffende onderzoeksdossiers zijn opgenomen in een ‘intern record management’ systeem van DNB. In dit systeem kan met een zoekterm, zoals een naam, gezocht worden. Het zoekresultaat bevat vervolgens mappen met titels van de onderzoeksdossiers waarin de gezochte naam voorkomt. Voor de beoordeling van de vraag of de Wbp van toepassing is baseert de rechtbank Rotterdam zich op een uitspraak van de Raad van State van 30 januari 2013 https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:RVS:2013:BY9910). In die uitspraak heeft de Raad van State geoordeeld dat ook voor geautomatiseerde gegevensverwerkingen het vereiste geldt dat deze in een bestand moeten zijn opgenomen. Volgens de Raad van State dient een bestand in de zin van de Wbp een ‘gestructureerd geheel’ te zijn, waarbij een systematische toegankelijkheid van de persoonsgegevens is vereist. De rechtbank Rotterdam oordeelt aan de hand van dit bestandscriterium dat de onderzoeksdossiers, waarin persoonsgegevens van eiser zijn verwerkt, geen onderdeel uitmaken van een bestand, waardoor de Wbp niet van toepassing is.

Het toepassingsbereik van de Wbp – en daarmee de bescherming die deze wet biedt – wordt in deze rechtspraak aanzienlijk beperkt. Deze beperkte uitleg is volgens mij niet juist. Zowel de Raad van State als de rechtbank Rotterdam gaan voorbij aan de tekst van de wet, die voor geautomatiseerde verwerking van persoonsgegevens juist niet de eis stelt dat er sprake moet zijn van een bestand. Bovendien heeft het Europese Hof van Justitie in het Lindqvist arrest (http://curia.europa.eu/juris/document/document.jsf?text=&docid=48382&pageIndex=0&doclang=NL&mode=lst&dir=&occ=first&part=1&cid=6001745) een ruime uitleg gegeven aan het begrip ‘geautomatiseerde verwerking’ en daarbij met geen woord gerept over de vraag of de betreffende persoonsgegevens waren opgenomen in een bestand.

Dat in Nederland de hoogste bestuursrechter het toepassingsbereik van de Wbp beperkt door het bestandsvereiste toe te passen op de geautomatiseerde gegevensverwerking, kan tot ongewenste gevolgen leiden. Dit betekent namelijk niet alleen een beperking van het recht op inzicht in je eigen digitaal verwerkte persoonsgegevens, maar ook dat de organisaties die je persoonsgegevens digitaal verwerken niet altijd gebonden zijn aan de regels van de Wbp. Een verwerker van persoonsgegevens zou zo de toepassing van de Wbp buiten spel kunnen zetten door de persoonsgegevens niet in een bestand op te nemen. Dit is niet te rijmen met onze privacyregels.