Het inzagerecht in persoonsgegevens versus gevoelige bedrijfsinformatie

Steeds meer (MKB)ondernemingen beschikken over grote hoeveelheden persoonsgegevens van hun vaste clientèle. Door het bijhouden van de voorkeuren en het koopgedrag van de consument, kunnen ondernemingen hun producten en diensten efficiënter aanbieden. De meeste ondernemers zullen zich ervan bewust zijn dat voor het verzamelen van persoonsgegevens en “direct marketing” een aantal regels geldt. De belangrijkste hiervan zijn neergelegd in de Wet bescherming persoonsgegevens (Wbp).

Wanneer de regels van de Wbp in acht worden genomen, mag er relatief veel worden gedaan met commercieel interessante persoonsgegevens, ook zonder toestemming van betrokken persoon (“de betrokkene”). De belangrijkste voorwaarde daarbij is dat het geen privacygevoelige gegevens betreft, zoals medische informatie of iemands seksuele geaardheid, geloofsovertuiging, politieke voorkeur etc. Ook mogen persoonsgegevens worden doorgegeven binnen een concern of verkocht aan andere ondernemingen wanneer dat niet in strijd is met het doel waarvoor de gegevens zijn verzameld.

Waar ondernemers soms wellicht minder van doordrongen zullen zijn is dat de Wbp de eis stelt van maximale transparantie voor de betrokkene. Dit houdt in dat de onderneming (de “verantwoordelijke”) die persoonsgegevens verzamelt de betrokkene zelfstandig en actief informeert over wat hij met de gegevens gaat doen. Dit geldt ook wanneer gegevens bijvoorbeeld niet rechtstreeks bij de betrokkene worden opgevraagd, maar worden verkregen via een ander.

Het vangnet in de Wbp dat een transparante en correcte verwerking van persoonsgegevens moet garanderen, is het zogenaamde “inzagerecht”. Op grond hiervan kan een betrokkene een verzoek doen aan iedere onderneming of instantie om opgaaf te doen van de gegevens die over hem worden bijgehouden in een bestand.
Tot voor kort was onduidelijk of dit inzagerecht betekent dat een betrokkene letterlijk inzage in documenten kan krijgen. Daar is nu duidelijkheid in gekomen.

In zijn arresten van 29 juni 2007 heeft de Hoge Raad namelijk beslist dat het inzagerecht weldegelijk een recht voor de betrokkene op kopieën (afschriften) inhoudt. Dit betekende voor de eiseressen in cassatie Dexia en de Holland Bank Unie dat zij aan hun voormalige effecentlease-cliënten afschriften moesten geven van zo ongeveer alle documenten die tot deze personen herleidbaar waren.
Daarbij hoorden niet alleen cliëntprofielen en gegevens over hun kredietwaardigheid, maar ook opnamen van telefoongesprekken en zelfs de aanvraagformulieren van de beleggingsproducten. In het algemeen moesten de banken afschriften verstrekken van alle documenten die door een naam of andere identificerende informatie (telefoonnummer, bankrekening, e-mailadres) herleidbaar is tot de persoon.

Niet alleen beslaat het inzagerecht op die manier vrijwel alle soorten documenten, maar ook blijkt het voor een onderneming zeer lastig om verstrekking van afschriften te weigeren. Het belang van de betrokkene bij zijn inzageverzoek (en dus ook bij afschriften) staat namelijk van rechtswege vast. Hij hoeft het dus niet te beargumenteren. Pas wanneer kan worden aangetoond dat de betrokkene met zijn verzoek een onrechtmatig doel nastreeft (puur en alleen de verantwoordelijke op extra administratieve kosten jagen) kan verstrekking worden geweigerd.

Dit alles heeft onder andere belangrijke consequenties met het oog op eventuele gerechtelijke procedures. De betrokkene kan zijn inzagerecht namelijk gebruiken om aan bewijsmiddelen te komen die hij nodig heeft voor een zaak die hij tegen een onderneming wil aanspannen. De onderneming kan het inzageverzoek dan niet weigeren met het argument dat de betrokkene een zogenaamde “fishing expedition” probeert uit te voeren. Dat argument werd namelijk ook door Dexia en de Hollandse Bank Unie aangevoerd en door de Hoge Raad terzijde geschoven.

Afgezien van het feit dat de burger natuurlijk inzicht moet kunnen krijgen in de manier waarop met zijn persoonsgegevens wordt omgegaan, laat de Hoge Raad hier een niet onaanzienlijk risico open voor ondernemingen. Zoals het inzagerecht nu wordt toegepast, kan de betrokkene namelijk niet alleen inzage krijgen in zijn eigen gegevens, maar ook in allerlei – mogelijk zeer gevoelige – bedrijfsinformatie, die eveneens in de opgevraagde documenten staat.

Het verdient aantekening dat dit probleem in de arresten van 29 juni 2007 weinig duidelijk is uitgewerkt. De Wbp lijkt wel degelijk meer mogelijkheden voor weigering van afschriften te bevatten dan aan de orde is gekomen. Dit geldt vooral wanneer het gaat om vertrouwelijke bedrijfsinformatie die met een inzageverzoek “mee zou komen”, terwijl min of meer bekend is dat de betrokkene van plan of bezig is de desbetreffende onderneming in rechte aan te spreken. Hoewel Dexia en de Hollandse Bank Unie dit in cassatie niet hebben aangevoerd, lijkt de Wbp wel ruimte te bevatten voor een meer gedetailleerde afweging van belangen.
Ondernemingen die met bovenomschreven situaties te maken krijgen, hoeven dus wellicht niet blindelings al hun kaarten op tafel te gooien. Wanneer de betrokkene bij de rechter inzage probeert af te dwingen, moet in feite de vraag gesteld worden in welke mate een afschrift méér noodzakelijke duidelijkheid kan scheppen over de verwerking van zijn persoonsgegevens. Dat belang moet vervolgens worden afgewogen tegen de schade die de onderneming zal lijden door het vrijkomen van bedrijfsgeheimen.

Koen van den Berg is niet meer werkzaam bij Wieringa Advocaten. Indien u een vraag heeft naar aanleiding van deze blog dan kunt u zich wenden tot onderstaande contactpersoon van het praktijkgebied privacy.

Vragen?