Op basis van artikel 15 van de GDPR heeft de betrokkene van wie persoonsgegevens worden verwerkt een recht op inzage. Het gaat niet alleen om het recht om inzage te verkrijgen van die persoonsgegevens, maar het heeft ook betrekking tot andere zaken zoals de verwerkingsdoeleinden. Daarnaast heeft de betrokkene het recht om de verwerkingsverantwoordelijke te verzoeken om die gegevens te rectificeren. De Europese GDPR is er nog maar sinds 25 mei 2018, maar met mondjesmaat begint de rechtspraak zich te evolueren. In een uitspraak van de Rechtbank Midden-Nederland werd verfijnd hoe ver het recht op inzage zich uitstrekt.
Verwerkingsverantwoordelijken willen niet altijd inzage verschaffen
In principe gaat het recht op inzage heel ver want het heeft betrekking op alle persoonsgegevens over de betrokkene, inclusief bijvoorbeeld kredietrapporten of interne verslagen. Daarop zijn er wel een aantal uitzonderingen voorzien die dan weer in artikel 23 GDPR staan. Die uitzonderingen hebben vooral betrekking op de bescherming van rechten en vrijheden van de betrokkene of van de andere. Zo kan het bijvoorbeeld geweigerd worden dat een psychiatrisch verslag over de betrokkene wordt vrijgegeven als er door het lezen van die informatie een toegenomen risico op zelfdoding ontstaat.
Door de vrijgave van persoonsgegevens dreigen er ook conflicten te ontstaan omtrent bijvoorbeeld pogingen om vertrouwelijke knowhow geheim te houden of omtrent het beroepsgeheim. Het kan bijvoorbeeld voor een onderneming commercieel oninteressant zijn om interne notities over de betrokkene, die niet altijd rooskleurig zijn, vrij te moeten geven. Het is dan ook niet onlogisch dat verwerkingsverantwoordelijken vaak de boot afhouden. Dat is ook wat gebeurde in de zaak die voor de Rechtbank Midden-Nederland verscheen.
Interne mails met persoonsgegevens zijn eveneens vrij te geven
In deze zaak ging het twistpunt over interne mails die tussen medewerkers verzonden waren. De verwerkingsverantwoordelijke weigerde de interne mails vrij te geven omdat die geen persoonsgegevens zouden bevatten maar enkel persoonlijke gedachten voor intern overleg. Daarnaast haalde de verwerkingsverantwoordelijke de uitzondering van artikel 23 GDPR aan, namelijk door aan te geven dat de vrijgave de privacyrechten van de medewerkers zou schenden.
De Nederlandse rechter oordeelde dat er wel degelijk sprake was van persoonsgegevens. Wat de uitzondering van artikel 23 GDPR betreft, benadrukte de rechter dat er een belangenafweging moet worden gemaakt. De rechter oordeelde uiteindelijk dat de belangen van de betrokken werknemers onvoldoende duidelijk waren gemotiveerd en onvoldoende zwaar doorwegen. Daarom was de verwerkingsverantwoordelijke wel degelijk verplicht om ook de interne mails met persoonsgegevens vrij te geven.
Hoewel het hier gaat om een uitspraak van een Nederlandse rechter, is de GDPR-regelgeving overal in Europa identiek. De Nederlandse rechtspraak geeft met andere woorden een goed idee van hoe de GDPR moet worden geïnterpreteerd. Ook Belgische ondernemingen moeten er zich van vergewissen dat alle mails met persoonsgegevens op aanvraag van de betrokkene moeten worden vrijgegeven.