Uitspraak
202107611/1/A3.
Datum uitspraak: 6 december 2023
AFDELING
BESTUURSRECHTSPRAAK
Uitspraak op het hoger beroep van:
[appellant], wonend te [woonplaats],
tegen de uitspraak van de rechtbank Gelderland van 20 oktober 2021 in zaak nr. 20/5776 in het geding tussen:
[appellant]
en
de raad van bestuur van het Centrum Indicatiestelling Zorg (hierna: CIZ).
Procesverloop
Bij besluiten van 12 december 2019 en 31 december 2019 heeft het CIZ een verzoek van [appellant] om inzage in zijn persoonsgegevens afgewezen.
Bij besluit van 6 februari 2020 heeft het CIZ de besluiten van 12 december 2019 en 31 december 2019 gedeeltelijk ingetrokken en opnieuw beslist op het verzoek om inzage van [appellant].
Bij besluit van 21 september 2020 heeft het CIZ het door [appellant] daartegen gemaakte bezwaar gegrond verklaard.
Bij uitspraak van 20 oktober 2021, ECLI:NL:RBGEL:2021:5596, heeft de rechtbank het door [appellant] daartegen ingestelde beroep ongegrond verklaard. Deze uitspraak is aangehecht.
Tegen deze uitspraak heeft [appellant] hoger beroep ingesteld.
Het CIZ heeft een schriftelijke uiteenzetting gegeven.
[appellant] heeft een nader stuk ingediend.
De Afdeling heeft de zaak ter zitting behandeld op 27 oktober 2023, waar [appellant] en het CIZ, vertegenwoordigd door mr. J.I. Dane en mr. S.D. Hendriks, advocaten te Rotterdam, zijn verschenen.
Overwegingen
Juridisch kader
1. De relevante wet- en regelgeving is opgenomen in de bijlage die deel uitmaakt van deze uitspraak.
Inleiding
2. De moeder van [appellant] was een cliënte van het CIZ. [appellant] heeft het CIZ op grond van artikel 15 van de Algemene Verordening Gegevensbescherming (hierna: de AVG) verzocht om een volledig overzicht van de gegevens die het CIZ over hem verwerkt, op het moment van het verzoek (12 november 2019) en op 15 oktober 2014, met inbegrip van de logginggegevens. Uit de logginggegevens moet volgens [appellant] blijken wie zijn gegevens in 2014 als wettelijk contactpersoon van zijn moeder heeft gewijzigd, op welk moment dat is gebeurd en in opdracht van wie.
3. Het CIZ heeft het verzoek tot inzage bij besluiten van 12 december 2019 en 31 december 2019 afgewezen omdat het in de veronderstelling was dat [appellant] inzage wilde in het cliëntdossier van zijn moeder. Omdat de moeder van [appellant] een mentor had kon een dergelijk verzoek alleen door de mentor worden gedaan.
Bij besluit van 6 februari 2020 heeft het CIZ de besluiten van 12 december 2019 en 31 december 2019 met betrekking tot het inzageverzoek ingetrokken en een nieuw primair besluit genomen op het inzageverzoek van [appellant]. Het CIZ heeft aan [appellant] laten weten dat het de volgende gegevens van hem verwerkt: naam, contactgegevens, handtekening en verder eventuele persoonsgegevens zoals die voortvloeien uit de door hem gestuurde correspondentie over het dossier van zijn moeder, van aanvang van het dossier tot en met heden.
Bij besluit van 21 september 2020 heeft het CIZ het bezwaar van [appellant] gegrond verklaard en een volledig overzicht verstrekt van zijn verwerkte persoonsgegevens. Daarin staan onder meer een kopie van de persoonsgegevens die van [appellant] verwerkt worden, de doeleinden waarvoor de gegevens verwerkt worden, de bron en eventuele ontvangers van de gegevens, en de rechten die [appellant] heeft ten aanzien van de gegevens.
4. Volgens [appellant] is het verstrekte overzicht niet volledig omdat daarin geen logginggegevens zijn opgenomen.
De uitspraak van de rechtbank
5. De rechtbank volgt [appellant] niet in zijn standpunt dat hij bezwaar had moeten kunnen instellen tegen het overzicht dat bij het besluit van 21 september 2020 is verstrekt. Volgens de rechtbank is er geen reden om in dit geval het besluit van 21 september 2020 niet meer te beschouwen als het resultaat van de heroverweging in bezwaar. Dat besluit is dus niet genomen in strijd met artikel 7:11 van de Algemene wet bestuursrecht.
Verder heeft de rechtbank overwogen dat het CIZ, waar het de persoonsgegevens van [appellant] betreft, geen logginggegevens heeft opgeslagen en die dus ook niet verstrekt kunnen worden. [appellant] heeft weliswaar betoogd dat het CIZ logginggegevens zou moeten opslaan op grond van de Wet inzake de geneeskundige behandelovereenkomst (hierna: WGBO) en NEN-normen 7510, 7512 en 7513, maar zijn inzageverzoek is niet gebaseerd op die regelingen. Daarnaast is niet gebleken dat zijn persoonsgegevens onder de reikwijdte van die regelingen vallen.
Verder heeft de rechtbank overwogen dat [appellant] niet om de persoonsgegevens van zijn moeder kan verzoeken. Niet in geschil is dat de kantonrechter ten behoeve van de moeder van [appellant] mentorschap heeft ingesteld en dat [appellant] niet de mentor van zijn moeder is. Alleen de mentor kan een verzoek als bedoeld in artikel 15 van de AVG doen als het over haar persoonsgegevens gaat.
Tot slot heeft de rechtbank geen aanleiding gezien voor het oordeel dat het CIZ heeft gehandeld in strijd met algemene beginselen van behoorlijk bestuur, of dat het besluit is genomen in strijd met het motiveringsbeginsel. De rechtbank heeft het beroep van [appellant] ongegrond verklaard.
Het hoger beroep
6. [appellant] voert aan dat de rechtbank heeft miskend dat het CIZ wel zou moeten beschikken over de logginggegevens. Uit de WGBO en NEN 7510, 7512 en 7513 volgt namelijk dat het CIZ logginggegevens moet opslaan. Ook is in hoofdstuk 12 van de Baseline Informatiebeveiliging Overheid (hierna: BIO) uitdrukkelijk bepaald dat logbestanden moeten worden gemaakt en bewaard. Logginggegevens zijn ook persoonsgegevens. Omdat de logginggegevens zien op de wijziging van zijn persoonsgegevens als contactpersoon van zijn moeder, heeft hij recht op inzage daarin, aldus [appellant].
Moest het CIZ de wijziging van contactpersonen in 2014 loggen?
6.1. Anders dan [appellant] betoogt, hoefde het CIZ de wijziging van contactpersonen in 2014 niet te loggen. Daartoe overweegt de Afdeling het volgende.
6.2. Het verzoek van [appellant] ziet onder meer op de verwerking van zijn persoonsgegevens op 15 oktober 2014. In 2014 is [appellant] gebleken dat zijn gegevens als contactpersoon van zijn moeder uit het dossier waren verwijderd. Wat [appellant] wil is kennisneming van de logginggegevens van die verwerking. Deze logginggegevens moeten er dan wel zijn. Het CIZ heeft op de zitting bij de Afdeling gezegd dat in 2014 nog geen verplichting bestond om de wijziging van contactpersonen te loggen. Het CIZ heeft de BIO namelijk pas in 2019 geïmplementeerd en vanaf dat moment is er ook een logging- en monitoringsbeleid op dossierniveau. Uit de WGBO en de NEN-normen waarnaar [appellant] heeft verwezen volgde in 2014 volgens het CIZ ook geen verplichting om logginggegevens te bewaren, omdat die wet- en regelgeving ziet op zorgaanbieders. Het CIZ is zelf geen zorgaanbieder. Omdat het verzoek van [appellant] ziet op gebeurtenissen in 2014 beschikt het CIZ niet over de logginggegevens waar [appellant] om vraagt.
6.3. Deze mededeling van het CIZ komt de Afdeling niet ongeloofwaardig voor. Het is dan aan [appellant] om aannemelijk te maken dat er wel logginggegevens zijn bewaard. [appellant] is daarin niet geslaagd.
Op grond van artikel 32 van de AVG moet de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau van persoonsgegevens te waarborgen. Voor de zorg is daaraan invulling gegeven met de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (hierna: Wabvpz). Op grond van het Besluit elektronische gegevensverwerking door zorgaanbieders zijn de door [appellant] genoemde NEN-normen sinds 2018 van toepassing op zorgaanbieders en elektronische uitwisselingssystemen voor zorgaanbieders in de zin van de Wabvpz. Het CIZ is echter geen zorgaanbieder in de zin van de Wabvpz. De Wabvpz en de genoemde NEN-normen zijn in dit geval dus niet van toepassing. Ook de WGBO is niet van toepassing, omdat het CIZ zelf geen zorg verleent. Op grond van die wet- en regelgeving was het CIZ dus niet verplicht de wijziging van contactpersonen in 2014 te loggen.
Daarnaast is de BIO in december 2018 vastgesteld door de ministerraad voor de rijksoverheid en zijn de overheidsinstanties per 1 januari 2019 gestart met de implementatie daarvan. De BIO bestond dus in 2014 nog niet en gaf dan ook geen verplichting aan het CIZ om op dat moment de wijziging van contactpersonen te loggen.
6.4. Nu het CIZ de wijziging van contactpersonen in 2014 niet hoefde te loggen en dat ook niet heeft gedaan, kunnen de logginggegevens van de wijziging van [appellant]s persoonsgegevens niet verstrekt worden. Bij het besluit van 21 september 2020 heeft het CIZ een overzicht verstrekt van de persoonsgegevens van [appellant] die het verwerkt. Het overzicht voldoet aan de eisen van artikel 15 van de AVG. De Afdeling ziet geen aanleiding voor het oordeel dat dit overzicht niet volledig zou zijn.
6.5. Het betoog slaagt niet.
Overige gronden in hoger beroep
7. [appellant] heeft verder aangevoerd dat de rechtbank ten onrechte heeft overwogen dat hij geen bezwaar tegen het besluit van 21 september 2020 kon maken. Bij dat besluit kreeg hij voor het eerst een overzicht met persoonsgegevens, waardoor hij daartegen in bezwaar had moeten kunnen gaan. Daarnaast voert hij aan dat de gegevensverwerking in strijd is met algemene beginselen van behoorlijk bestuur.
7.1. Deze gronden zijn zo goed als een herhaling van wat [appellant] in beroep heeft aangevoerd. De rechtbank is gemotiveerd op die gronden ingegaan. [appellant] heeft geen redenen aangevoerd waarom de gemotiveerde beoordeling van die gronden in de uitspraak van de rechtbank onjuist of onvolledig zou zijn. De Afdeling kan zich vinden in het oordeel van de rechtbank en in de onder 2.1 en 7.1 opgenomen overwegingen, waarop dat oordeel is gebaseerd.
7.2. Het betoog slaagt niet.
Verzoek om schadevergoeding
8. Tot slot verzoekt [appellant] om vergoeding van de schade die is ontstaan door de onrechtmatige besluiten van het CIZ en de daarmee samenhangende ongewenste rechtsgevolgen.
8.1. Ingevolge artikel 82, eerste lid, van de AVG heeft eenieder die schade heeft geleden ten gevolge van een inbreuk op de AVG recht op een schadevergoeding. Zoals hiervoor onder 6.4 is overwogen voldoet het door het CIZ verstrekte overzicht aan de eisen van artikel 15 van de AVG en is er in dit geval dus geen sprake van een inbreuk op de AVG. Alleen al daarom moet het verzoek om schadevergoeding van [appellant] worden afgewezen.
Slotsom
9. Het hoger beroep is ongegrond. De uitspraak van de rechtbank moet worden bevestigd. De Afdeling wijst het verzoek om schadevergoeding af.
10. Het CIZ hoeft geen proceskosten te vergoeden.
Beslissing
De Afdeling bestuursrechtspraak van de Raad van State:
I. bevestigt de aangevallen uitspraak;
II. wijst het verzoek om schadevergoeding af.
Aldus vastgesteld door mr. E.J. Daalder, voorzitter, en mr. B.P. Vermeulen en mr. H. Benek, leden, in tegenwoordigheid van mr. A.E. Kamperman, griffier.
w.g. Daalder
voorzitter
w.g. Kamperman
griffier
Uitgesproken in het openbaar op 6 december 2023
1000
BIJLAGE
Verordening (EU) 2016/679 (Algemene verordening gegevensbescherming)
Artikel 15
Recht van inzage van de betrokkene
1. De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet
verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die
persoonsgegevens en van de volgende informatie:
a) de verwerkingsdoeleinden;
b) de betrokken categorieën van persoonsgegevens;
c) de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
d) indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
e) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
f) dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
g) wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
3. De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Indien de betrokkene om bijkomende kopieën verzoekt, kan de verwerkingsverantwoordelijke op basis van de administratieve kosten een redelijke vergoeding aanrekenen. Wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling verzoekt, wordt de informatie in een gangbare elektronische vorm verstrekt.
Artikel 32
Beveiliging van de verwerking
1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
a) de pseudonimisering en versleuteling van persoonsgegevens;
b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en toegang tot de persoonsgegevens tijdig te herstellen;
d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
Artikel 82
Recht op schadevergoeding en aansprakelijkheid
1. Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.