Onder artikel 12 en 15 van de GDPR kan iedereen inzage vragen in de persoonsgegevens die een rechtspersoon over hem/haar verwerkt.
Bij overheden bestaat er nog een ander inzagerecht: het recht op inzage in bestuursdocumenten. Dit recht bestaat al langer dan de GDPR en is een grondwettelijk recht. Sinds 1993 staat in art. 32 van de Grondwet dat Ieder het recht heeft elk bestuursdocument te raadplegen en er een afschrift van te krijgen, behoudens in de gevallen en onder de voorwaarden bepaald door de wet, het decreet of de regel bedoeld in artikel 134. Voor de Vlaamse overheden (ook lokale) zijn de modaliteiten beschreven in het Bestuursdecreet van 7 december 2018, hoofdstuk 3: de toegang tot bestuursdocumenten.
Burgers hebben de laatste jaren hun rechten onder de GDPR steeds meer ontdekt. We zien vaker dat burgers die niet tevreden zijn met hetgeen ze kregen na een inzagevraag in bestuursdocumenten, hierna een inzagevraag indienen onder art. 12 en 15 van de GDPR, in de hoop om dan méér informatie te verkrijgen, … maar is dat wel zo? Kunnen ze meer krijgen door hun rechten uit de GDPR uit te oefenen? Is een overheid verplicht om op een inzagevraag op basis van de GDPR te antwoorden, als de burger zijn eerdere vraag op basis van openbaarheid van bestuur werd geweigerd?
Doeleinden van beide wetgevingen
Wat is openbaarheid van bestuur?
Burgers hebben recht op informatie over beslissingen genomen door overheidsinstanties: hun gemeente, de Vlaamse Overheid, een intercommunale. Openbaarheid van bestuur kan actief of passief zijn.
Actief betekent dat de overheidsinstantie zelf bestuursdocumenten publiek maakt op de website, een nieuwsbrief, het lokale krantje etc. Passieve openbaarheid van bestuur houdt in dat burgers het recht hebben om elk bestuursdocument in te zien en daarvoor een aanvraag kunnen indienen.
Waarom zou een burger een bestuursdocument willen inzien?
De gemeente heeft bijvoorbeeld beslist om een bos te kappen om op die plaats een zwembad te zetten. Een burger wil dan misschien weten of er voldoende andere mogelijkheden zijn overwogen. Dan kan hij of zij een inzagevraag indienen bij de gemeente.
Die gemeente is dan verplicht om toegang te verlenen tot de gevraagde bestuursdocumenten of er een afschrift van te geven.
Een ander voorbeeld is dat een burger de gegevens opvraagt over een bedrag dat besteed werd aan veiligere fietspaden en groendaken, versus het bedrag dat is ingeschreven in de begroting.
Deze documenten moeten bestaan: de burger kan niet vragen om gegevens te verzamelen uit dossiers en daaruit een nieuw document op te maken om zijn aanvraag te beantwoorden.
Door inzage in de bestuursdocumenten te vragen, krijgt de burger transparantie over de argumenten van de overheid om het zwembad nu net daar te plaatsen, of om na te gaan of de overheid haar geld gebruikt zoals het was begroot.
Wat is het doel van de GDPR?
In de titel van de GDPR staat dat het de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens regelt. Dat is een ander uitgangspunt dan de openbaarheid van bestuur. De GDPR geeft iedereen controle en rechten tegenover organisaties die hun persoonsgegevens verwerken. De GDPR geldt voor alle organisaties: overheid, bank, internetprovider, Facebook, het ziekenhuis, Natuurpunt, voetbalclub, … enzovoort.
Artikel 15 GDPR geeft betrokkenen het recht om te weten of zijn of haar persoonsgegevens worden verwerkt. En zo ja: welke gegevens, en waarvoor.
Heb je bijvoorbeeld het vermoeden dat je bank jouw persoonsgegevens doorgeeft aan commerciële partners zodat die jou met reclame kunnen spammen? Dan kan je inzage vragen in de persoonsgegevens die de bank van jou heeft en in de verwerkingsdoeleinden. Als ze inderdaad jouw gegevens doorgeven voor commerciële doeleinden kan je vragen dat deze verwerking wordt stopgezet. Maar de bank moet niet in elk geval akkoord gaan!
Waarvan kan je een kopie krijgen?
Onder ‘openbaarheid van bestuur’.
Art. II.31. van het Bestuursdecreet bepaalt dat:
“De overheidsinstanties, vermeld in artikel II.28, § 1, zijn verplicht aan iedereen die erom verzoekt, de gewenste bestuursdocumenten openbaar te maken door er inzage in te verlenen of er een afschrift van te overhandigen, of er uitleg over te verschaffen.”
De burger kan met andere woorden een volledige kopie krijgen van alle bestuursdocumenten waar hij/zij naar vraagt.
De vraag die zich hier dan stelt is: wat is een bestuursdocument? Zijn dat enkel documenten ondertekend door de hoogst leidinggevende van de administratie? Kunnen dat vergaderverslagen zijn, of misschien zelfs e-mails?
Art. I.4.3° van het Bestuursdecreet definieert de term “bestuursdocument” als volgt:
alle informatie, ongeacht de drager ervan, die in het bezit is van een overheidsinstantie.
Bestuursdocumenten zijn m.a.w. officiële documenten en niet-officiële documenten zoals e-mails in het bezit van de overheidsinstantie.
Kan een burger zomaar elk bestuursdocument opvragen? Nee, er bestaan een aantal uitzonderingen, die bespreken we verder onder punt 3: uitzonderingsgronden.
Het recht op inzage in bestuursdocumenten is breed te interpreteren. De burger kan officiële beslissingen, voorbereidende documenten, mails, vergaderverslagen etc. opvragen over een bepaald onderwerp, zonder dat zijn persoonsgegevens erin voorkomen.
Op basis van art. 15 GDPR?
Artikel 15.1 van de GDPR bepaalt dat betrokkenen het recht hebben om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens. De verwerkingsverantwoordelijke is er ook toe gehouden om o.a. de verwerkingsdoeleinden mee te geven, aan wie de persoonsgegevens worden doorgegeven en hoe lang ze de persoonsgegevens bijhouden.
Art. 15.1 houdt m.a.w. in dat iedereen inzage kan krijgen in zijn/haar eigen persoonsgegevens, niet die van een ander.
Artikel 15.3 bepaalt verder dat de verwerkingsverantwoordelijke de betrokkene een kopie verstrekt van de persoonsgegevens die worden verwerkt. Betekent deze bepaling dat een betrokkene een kopie kan krijgen van de documenten waarin zijn/haar persoonsgegevens staan? Kan iedereen onder art. 15 van de GDPR een kopie krijgen van mails waarin zijn/haar persoonsgegevens voorkomen?
Het Europese Hof van Justitie (H.v.J.) heeft voor ons dit vraagstuk al uitgeklaard. In haar arrest C-487/21 van 4 mei 2023 (CRIF) heeft het H.v.J. zich uitgesproken over het begrip kopie in art. 15.3 van de GDPR. Het H.v.J. oordeelde in haar arrest dat de verwerkingsverantwoordelijke een reproductie moet geven van de verwerkte persoonsgegevens, de verwerkingsverantwoordelijke is er niet aan gehouden om een kopie te verstrekken van de documenten waarin deze persoonsgegevens voorkomen.
Het recht onder art. 15 van de GDPR om inzage en een kopie van je persoonsgegevens te verkrijgen, is eng te interpreteren. Het gaat enkel om jouw persoonsgegevens en een reproductie van deze gegevens, niet een kopie van de documenten waarin deze persoonsgegevens voorkomen.
Kan je een inzageverzoek weigeren?
Onder ‘openbaarheid van bestuur’
Er zijn een aantal uitzonderingsgronden op de openbaarheid van bestuur. Deze staan beschreven in artikel II.33. tot II.39 van het bestuursdecreet. Zo mag een overheidsinstantie de inzage weigeren als er té veel documenten worden opgevraagd; als bestuursdocumenten worden opgevraagd die niet af zijn; of als het gaat om interne communicatie. De burger kan in beroep gaan tegen de beslissing tot weigering bij de Beroepsinstantie inzake de Openbaarheid van Bestuur.
Interne mails zijn bestuursdocumenten, inzage mag echter geweigerd worden.
Andere uitzonderingen zijn bijvoorbeeld wanneer het gaat om vertrouwelijke commerciële en industriële informatie, als de openbare orde en veiligheid in het gedrang komen en als de bescherming van de persoonlijke levenssfeer aangetast wordt.
Om te bepalen of de bescherming van de persoonlijke levenssfeer wordt aangetast roepen overheidsinstanties vaak de hulp van hun DPO in. Het is belangrijk als DPO om te weten dat het hier niet gaat over de toepassing van de GDPR principes. Het recht waarvan hier sprake, is een grondwettelijk recht en gaat erover dat iedereen recht heeft op ‘zijn privacy’: het recht op eerbiediging van zijn privé-leven en gezinsleven.
Als in een bestuursdocument persoonsgegevens staan, zal de overheidsinstantie, geval per geval, nagaan of vrijgave van deze persoonsgegevens de persoonlijke levenssfeer aantast. Wanneer is er geen sprake van aantasting van de persoonlijke levenssfeer? Bijvoorbeeld als mensen worden vernoemd binnen de professionele context, dan is er meestal geen grond om inzage te weigeren.
Zoals vaak bestaat er hier nog een uitzondering op de uitzondering. Art. II.36 §1 1° van het bestuursdecreet bepaalt dat, als de vraag tot inzage betrekking heeft op milieu-informatie, er toch inzage kan worden verleend, als de betrokken persoon met de openbaarmaking instemt.
Het Bestuursdecreet houdt hier rekening met de bepalingen van het Verdrag van Aarhus. Dat verdrag wil aan burgers het recht geven om inspraak te krijgen bij besluitvorming inzake milieuaangelegenheden alsook toegang tot milieuinformatie. Overheidsinstanties moeten bijvoorbeeld inzake omgevingsvergunningen procedures hebben ingebouwd om de toestemming van de betrokkene te kunnen vragen.
Onder de GDPR art. 15
De GDPR zelf legt op dit moment weinig uitzonderingsgronden op.
De praktijk leert ons dat er betrokkenen zijn die hun recht onder art. 15 misbruiken. Enzo Marquet schreef naar aanleiding van de H.v.J. C-526/24 een blog over de vraag of je een inzageverzoek onder art. 15 van de GDPR kan weigeren.
Conclusie is dat een verwerkingsverantwoordelijke een buitensporig verzoek kan weigeren. De lat blijft echter hoog. Je moet namelijk concrete bewijzen van een verborgen motief kunnen voorleggen, en deze zorgvuldig documenteren voordat je als verwerkingsverantwoordelijke een verzoek kan en mag weigeren.
De Digital Omnibus zoals die nu voorligt wil verwerkingsverantwoordelijken de mogelijkheid geven om “buitensporige” inzageverzoeken te weigeren. De komende maanden zullen uitwijzen of deze bepaling er zal blijven instaan.
Conclusie
Onder openbaarheid van bestuur kan de burger méér informatie verkrijgen, dan bij een inzagevraag op basis van art. 15 van de GDPR. De burger krijgt de kopie van volledige documenten en niet enkel een reproductie van zijn/haar persoonsgegevens.
De weigeringsgronden onder openbaarheid van bestuur zijn echter strikter gedefinieerd dan in de GDPR. De definitie van een kennelijk onredelijk verzoek is al meer uitgekristalliseerd door uitspraken van de beroepsinstantie.
De ervaring leert dat als inzage i.h.k.v. openbaarheid worden geweigerd, burgers een aanvraag indienen onder artikel 12 en 15 van de GDPR. Zij komen dan wel eens bedrogen uit, omdat ze geen kopie krijgen van de volledige documenten, maar enkel van hun persoonsgegevens.
Belangrijk als overheid is om te beseffen dat als je een inzagevraag onder openbaarheid van bestuur hebt geweigerd, dat er dan een inzagevraag op basis van de GDPR kan komen. Deze inzagevraag weigeren is veel moeilijker. Om te voorkomen dat hardnekkige burgers je aan aantal jaren bezig houden, is het belangrijk om met je DPO samen te werken die de toezichthouder er vanaf het begin bij kan betrekken. Als de burger beslist om een klacht in te dienen, is het de toezichthouder die het laatste woord heeft.
