Uitspraak
RECHTBANK NOORD HOLLAND
Zittingsplaats Haarlem
Bestuursrecht
zaaknummer: 20/2191
uitspraak van de enkelvoudige kamer van 15 april 2021 in de zaak tussen
[eiseres] , te [plaats] , eiseres
(gemachtigde: mr. J. Sprakel),
en
het college van burgemeester en wethouders van de gemeente Haarlem, verweerder (gemachtigden: E. de Jong en T. van Veen).
Procesverloop
In het besluit van 14 oktober 2019 (primair besluit) heeft verweerder het verzoek van eiseres om inzage in haar persoonsgegevens gehonoreerd door het verstrekken van overzichtslijsten van de verwerkte gegevens en het verstrekken van enkele documenten in kopie.
In het besluit van 26 februari 2020 (bestreden besluit) heeft verweerder het bezwaar van eiseres tegen het primaire besluit ongegrond verklaard.
Eiseres heeft tegen het bestreden besluit beroep ingesteld.
Verweerder heeft een verweerschrift ingediend.
Het onderzoek ter zitting heeft plaatsgevonden op 28 januari 2021, gelijktijdig met het beroep van [naam] , door de rechtbank geregistreerd met zaaknummer 20/2192. Eiseres heeft zich laten vertegenwoordigen door haar gemachtigde. Verweerder heeft zich laten vertegenwoordigen door zijn gemachtigde.
De rechtbank heeft de termijn voor het doen van uitspraak verlengd.
Overwegingen
1. Eiseres heeft bij brief van 25 juli 2019 verzocht om aan te geven welke persoonsgegevens van haar zijn verwerkt, wat de herkomst van die gegevens is, wat het doel daarvan is, aan wie die gegevens eventueel zijn verstrekt en welke passende waarborgen er zijn getroffen bij doorgifte van die gegevens aan een ander land. Daarbij heeft eiseres verzocht om een kopie te overleggen van de verwerkte persoonsgegevens.
2. Verweerder heeft op het verzoek beslist en overzichten verstrekt van de verwerkte persoonsgegevens, met daarbij aangegeven aan wie de gegevens zijn verstrekt en de juridische grondslag en het doel daarvan. Daarnaast heeft verweerder enkele documenten waarin persoonsgegevens zijn verwerkt kopieën verstrekt.
3. In bezwaar heeft eiseres zich - kort samengevat - op het standpunt gesteld dat de door verweerder verstrekte overzichten onvoldoende zijn. Eiseres kan aan de hand van die gegevens niet nagaan of de verwerking rechtmatig is en het doel van de verwerking dienen. Ook heeft eiseres gesteld dat er (veel) meer persoonsgegevens zijn verwerkt dan in de verstrekte overzichten is opgenomen.
4. Verweerder heeft het bestreden besluit gebaseerd op het advies van de Adviescommissie voor bezwaarschriften van 29 januari 2020. Dit advies komt er - kort samengevat - op neer dat alle beschikbare informatie is verstrekt en dat de wijze waarop de informatieverstrekking heeft plaatsgevonden voldoende is en voldoet aan het bepaalde in de AVG.
5.1
In beroep heeft eiseres gesteld dat verweerder niet heeft mogen volstaan met het verstrekken van een overzicht van de verwerkte persoonsgegevens. Verweerder had de documenten waarin de persoonsgegevens van eiseres zijn verwerkt in kopie moeten overleggen. Eiseres wijst in dit verband op overweging 4.13 van de uitspraak van de gerechtshof Den Haag van 17 september 2019 (ECLI:NL:GHDH:2019:2398) waaruit volgt dat het verstrekken van een enkel overzicht onvoldoende is.
5.2
De rechtbank volgt eiseres hierin niet. Het doel van verstrekking van de persoonsgegevens is dat de betrokkene zich op de hoogte kan stellen van de verwerking van zijn persoonsgegevens en de rechtmatigheid daarvan kan controleren. Een bestuursorgaan mag dat doen door op verzoek kopieën te verstrekken van de documenten waarin deze persoonsgegevens zijn opgenomen, maar mag ook voor een andere vorm kiezen waarin de kopie van de persoonsgegevens wordt verstrekt, mits met de gekozen wijze van verstrekking maar aan het doel van artikel 15, derde lid, van de AVG wordt voldaan. De in artikel 15, derde lid, van de AVG opgenomen verplichting tot het verstrekken van een ‘kopie van persoonsgegevens’ betekent dus niet dat een bestuursorgaan verplicht is een kopie te verstrekken van de documenten waarin persoonsgegevens voorkomen. [1] Door het verstrekken van een overzicht van de verwerkte persoonsgegevens met een toelichting daarop, heeft verweerder naar het oordeel van de rechtbank in voldoende mate voldaan aan de verplichting als bedoeld in artikel 15, derde lid, van de AVG.
6.1
Eiseres heeft in beroep voorts gesteld dat het inzagerecht bij de vakafdeling van PW-dossiers en documenten niet volstaat als middel om de gang van zaken bij de uitvoering van de PW te controleren. Het inzagerecht in het kader van de AVG dient daarom niet te worden beperkt.
6.2
Ook hierin volgt de rechtbank eiseres niet. De AVG heeft slechts als doel het controleren van de verwerking van persoonsgegevens en niet het controleren van de (juiste) uitvoering van de PW.
7.1
Eiseres heeft tevens gesteld dat onduidelijk is gebleven op grond van welke informatie ze in beeld is gekomen bij de sociale recherche. De achterliggende stukken ontbreken en de vermelding van die documenten en de daarin opgenomen persoonsgegevens ontbreken ook in het verstrekte overzicht. Gevolg hiervan is dat de gegevensverwerking die in dat kader moet hebben plaatsgevonden ook niet traceerbaar is. De rechtbank overweegt in dit verband als volgt.
7.2
Wanneer een verwerkingsverantwoordelijk bestuursorgaan stelt dat na onderzoek is gebleken dat een bepaald document niet of niet meer onder hem berust en een dergelijke mededeling niet ongeloofwaardig voorkomt, is het in beginsel aan de verzoeker om aannemelijk te maken dat, in tegenstelling tot de uitkomsten van het onderzoek door het bestuursorgaan, een bepaald document toch onder dat bestuursorgaan berust. [2] Verweerder heeft in het verweerschrift en ter zitting uitgelegd dat de fraudemelding die aanleiding is geweest voor nader onderzoek naar eiseres direct is binnengekomen bij de Afdeling veiligheid en handhaving, en niet bij de Stichting Inlichtingenbureau, dat er daarom geen sprake is van door de Stichting Inlichtingenbureau verwerkte persoonsgegevens en dat de in het kader van het onderzoek aan de orde gekomen persoonsgegevens zijn verwerkt in de rapportage van de sociale recherche. Dit komt de rechtbank niet ongeloofwaardig voor. De rechtbank ziet daarom geen grond om aan te nemen dat naar aanleiding van de fraudemelding meer of andere persoonsgegevens door verweerder zijn verwerkt dan opgenomen in het rapport dat is opgemaakt naar aanleiding van de fraudemelding, dat eiseres heeft kunnen inzien. Van onvolledige inzage op dit punt is dus vooralsnog geen sprake.
8. Ook in hetgeen eiseres overigens heeft aangevoerd ziet de rechtbank geen grond om aan te nemen dat verweerder meer persoonsgegevens heeft verwerkt dan opgenomen in het aan eiseres verstrekte overzicht. De rechtbank is daarom van oordeel dat verweerder met zijn besluitvorming in voldoende mate heeft voldaan aan de verplichtingen die voortvloeien uit artikel 15 van de AVG. Dat pas in beroep een lijst is overgelegd van bezwaar- en beroepsprocedures, en dat die lijst ook al in bezwaar had kunnen worden overgelegd, maakt dit niet anders. Eiseres heeft immers, zoals verweerder ter zitting onweersproken heeft gesteld, al inzage gehad in de van genoemde procedures aangelegde dossiers en/of kopieën ontvangen van de op die zaken betrekking hebbende stukken.
9. Het beroep is ongegrond.
10. Voor een proceskostenveroordeling bestaat geen aanleiding.
Beslissing
De rechtbank verklaart het beroep ongegrond.
Deze uitspraak is gedaan door mr. J.J. Maarleveld, rechter, in aanwezigheid van
mr. E. Degen, griffier. De uitspraak is uitgesproken in het openbaar op 15 april 2021.
griffier rechter
Een afschrift van deze uitspraak is verzonden aan partijen op:
Bent u het niet eens met deze uitspraak?
Als u het niet eens bent met deze uitspraak, kunt u een brief sturen naar de Afdeling bestuursrechtspraak van de Raad van State waarin u uitlegt waarom u het er niet mee eens bent. Dit heet een beroepschrift. U moet dit beroepschrift indienen binnen zes weken na de dag waarop deze uitspraak is verzonden. U ziet deze datum hierboven.
Bijlage:
Wettelijk kader
Artikel 4 van de AVG luidt voor zover van belang als volgt:
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
1) „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
3) ….
4) „profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;
5)…
6) „bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
8) „verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
9) „ontvanger”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn;
10) „derde”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;
11....
12) „inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
13 tot en met 26) …
Artikel 12 van de AVG luidt, voor zover van belang, als volgt:
Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene
1. De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.
2. De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22. In de in artikel 11, lid 2, bedoelde gevallen mag de verwerkingsverantwoordelijke niet weigeren gevolg te geven aan het verzoek van de betrokkene om diens rechten uit hoofde van de artikelen 15 tot en met 22 uit te oefenen, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.
3. De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
4. Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen een maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
5. Het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 22 en artikel 34 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel:
a. a) een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel
b) weigeren gevolg te geven aan het verzoek.
Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
6. t/m 8….
Artikel 15 van de AVG luidt, voor zover van belang, als volgt:
Recht van inzage van de betrokkene
1. De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:
a. a) de verwerkingsdoeleinden;
b) de betrokken categorieën van persoonsgegevens;
c) de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
d) indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
e) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
f) dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
g) wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
2…..
3. De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Indien de betrokkene om bijkomende kopieën verzoekt, kan de verwerkingsverantwoordelijke op basis van de administratieve kosten een redelijke vergoeding aanrekenen. Wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling verzoekt, wordt de informatie in een gangbare elektronische vorm verstrekt.
4. Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.