Op 18 juli 2018 deed de rechtbank Overijssel uitspraak in een zaak waarin een betrokkene om inzage van zijn persoonsgegevens had verzocht bij de gemeente Deventer. In de uitspraak staat de rechtbank stil bij de vraag of het college van burgemeester en wethouders de persoonsgegevens van betrokkene mocht doorsturen aan andere bestuursorganen.

(ECLI:NL:RBOVE:2018:2496)

De casus

Betrokkene heeft op 27 juli 2017 op grond van artikel 35 Wbp aan het college verzocht om inzage in de persoonsgegevens die het college van hem verwerkt. Hoewel het college bij besluit van 24 augustus 2017 aan dit verzoek voldoet, maakt betrokkene bezwaar tegen de beslissing van het college. Volgens betrokkene is het college niet volledig tegemoet gekomen aan zijn inzageverzoek. Betrokkene heeft namelijk kennis genomen van het feit dat andere bestuursorganen middels een door een ambtenaar op 20 augustus 2013 verzonden email kennis hebben genomen van zijn persoonsgegevens. Uit de uitspraak blijkt helaas niet naar welke andere bestuursorganen de persoonsgegevens zijn verstuurd en om welke persoonsgegevens het gaat.

 

Het college verklaart het bezwaar ongegrond. In beroep voert betrokkene onder meer aan dat het college nader onderzoek had moeten doen naar aanleiding van de e-mail van 20 augustus 2013.

Proportionaliteit en subsidiariteit

De rechtbank neemt in de uitspraak een opmerkelijke zijstap. De rechtbank vormt zich namelijk een oordeel over de vraag of het doorzenden van de persoonsgegevens van betrokkene aan andere bestuursorganen in overeenstemming is met de eisen van proportionaliteit en subsidiariteit.

 

Uit de Memorie van Toelichting bij de Wbp volgt volgens de rechtbank dat op grond van 8 Wbp bij elke verwerking van persoonsgegevens moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit.

“Het proportionaliteitsbeginsel houdt in dat de inbreuk op de belangen van betrokkene bij de verwerking van persoonsgegevens niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel. Ingevolge het subsidiariteitsbeginsel mag het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokkene minder nadelige wijze kunnen worden verwerkelijkt.”

Vervolgens gaat de rechtbank na of er een verwerkingsgrondslag bestaat voor het doorzenden van de persoonsgegevens van betrokkene. De rechtbank stelt daarbij allereerst vast dat betrokkene voor de doorzending van zijn persoonsgegevens aan andere bestuursorganen dan de gemeente Deventer geen toestemming heeft verleend. Ook de stelling van het college dat de verwerking noodzakelijk was voor de goede vervulling van een publiekrechtelijke taak wordt door de rechtbank niet gevolgd, omdat het college deze stelling niet heeft onderbouwd. Het doorzenden van persoonsgegevens is daarom niet in overeenstemming met het proportionaliteitsbeginsel.

 

Ook aan het subsidiariteitsbeginsel wordt niet voldaan: de rechtbank deelt het standpunt van betrokkene dat het college de andere bestuursorganen ook had kunnen informeren zonder het vermelden van de persoonsgegevens (naam en woonplaats) van betrokkene. Gelet hierop concludeert de rechtbank dat het college met de doorzending van de persoonsgegevens van eiser, de beginselen van proportionaliteit en subsidiariteit heeft geschonden en dat niet uitgesloten kan worden geacht dat verweerder vaker persoonsgegevens van eiser heeft verwerkt.

Nader onderzoek nodig

Gelet op het voorgaande is de rechtbank is van oordeel dat verweerder nader onderzoek had moeten doen of persoonsgegevens van eiser vaker zijn verwerkt in de e-mailboxen binnen de gemeente Deventer. Niet gebleken is dat een dergelijk onderzoek een volstrekt onevenredige inspanning van verweerder vergt. Het college dient met inachtneming van de uitspraak opnieuw op het bezwaar te beslissen. Bij deze heroverweging dient tevens de vraag aan de orde te komen in hoeverre er aanleiding bestaat eiser een schadevergoeding toe te kennen.

Tot besluit

Deze uitspraak onderstreept nogmaals het belang dat samenwerkende bestuursorganen dienen te beoordelen of zij het onderling verstrekken van persoonsgegevens goed geregeld hebben. Zo zullen zij onder meer moeten bekijken of het doeleinde waarvoor de gegevens aanvankelijk werden verwerkt zich leent voor verstrekking aan andere bestuursorganen. Andere vragen zijn of het delen van gegevens noodzakelijk is voor de vervulling van een publiekrechtelijke taak of een andere grondslag, of het doel ook zonder de verwerking van persoonsgegevens kan worden verwezenlijkt en of het delen van de gegevens op juiste wijze in bijvoorbeeld een dataleveringsovereenkomst is vastgelegd.

 

Deze beoordeling kan relatief eenvoudig worden gemaakt aan de hand van een compleet en actueel register van verwerkingsactiviteiten zoals bedoeld in artikel 30 AVG. Op die manier kunnen bestuursorganen in een oogopslag zien of zij bijvoorbeeld de onderlinge samenwerking met andere bestuursorganen goed geregeld hebben of dat nadere afspraken moeten worden vastgelegd.

Meer weten over privacy?

Wilt u meer weten over privacy, kom dan naar ons AVG-event op 11 oktober 2018 of neem contact op met het team Overheid & Privacy, met Carola van Andel, E: carola.vanandel@nysingh.nl | T: 088 752 02 19 | M: 06 13 00 45 93 of Maarten van Nijendaal, E: maarten.vannijendaal@nysingh.nl | T: 088 752 02 19 | M: 06 22 17 66 54.