1.Introductie
Juridische analyses door de overheid, op basis waarvan zij een beslissing neemt over de rechtspositie van een burger, vallen niet onder de definitie van ‘persoonsgegevens’ uit de Europese Privacyrichtlijn. Een overheid hoeft daarom de burger ook geen toegang te geven tot dergelijke interne analyses. Tot deze conclusie kwam het Europese Hof van Justitie onlangs in een Nederlandse vreemdelingenzaak. De uitspraak is interessant voor decentrale overheden, omdat het recht van burgers op toegang tot hun gegevens steeds relevanter wordt door de nieuwe EU Verordening gegevensbescherming en de decentralisatie van taken als jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen.
2. Zaak
Prejudiciële vragen gesteld door Rechtbank van Middelburg en Raad van State inzake Y.S. tegen Minister voor Immigratie, Integratie en Asiel en Minister voor Immigratie, Integratie en Asiel tegen M. en S., Hof van Justitie EU, Conclusie van Advocaat-generaal E. Sharpston, 12 december 2013, Gevoegde zaken C 141/12 en C 372/12
3. Beleidsdossier(s) en thematiek
Beleidsdossier Digitale Overheid
4. Korte samenvatting feiten en rechtsvraag in heldere taal
Kern
De kern van de zaak is een verzoek om inzage in een juridische analyse, op basis waarvan de overheid een besluit heeft genomen over een verzoek om een verblijfsvergunning van een vreemdeling. De vraag is of een juridische analyse volgens de Europese privacyrichtlijn en het Handvest grondrechten van de Europese Unie als een persoonsgegeven beschouwd moet worden.
Zo ja, op welke wijze moet de overheid een burger inzage geven tot zo’n document? Betekent het ‘recht op inzage’ in de Europese regelgeving dat de verzoeker toegang tot het gehele document (of een kopie daarvan) moet krijgen? Of is een afschrift met een weergave van de persoonsgegevens in kwestie voldoende?
Verloop van de zaak en feiten
Y.S., M. en S. zijn vreemdelingen die een vergunning tot verblijf in Nederland hebben aangevraagd. De aanvraag van Y.S. werd afgewezen, terwijl die van M. en van S. voor bepaalde tijd werden toegewezen. Alle drie hebben ze in 2010 de minister van Immigratie, Integratie en Asiel verzocht om inzage in de documenten waarin staat waarom zij al dan niet een verblijfsvergunning hebben gekregen: de ‘minuut’ en de bijbehorende juridische analyse. Een ‘minuut’ is een document met gegevens over en verklaringen en stukken van de aanvrager, informatie over de proceshistorie, naam en contactgegevens van de behandelaar etc., en de beoordeling van de relevante informatie in het licht van het toepasselijke recht (de ‘juridische analyse’).
De minister heeft hen wel de persoonsgegevens verschaft die in deze documenten zijn opgenomen, maar geen inzage gegeven in de minuut en dus de juridische analyse zelf. Als reden heeft hij aangevoerd dat de minuut naast persoonsgegevens, ook een juridische analyse bevat. Sinds juli 2009 hanteert de minister de gedragslijn dat verzoeken om inzage in deze documenten worden afgewezen.
De verzoekers hebben vervolgens een zaak aangespannen bij de rechtbank van Middelburg (uitspraak 16 juni 2011) en Amsterdam (uitspraak 4 augustus 2011). Zij stellen dat een juridische analyse ook gezien moet worden als een persoonsgegeven en dat ze daarom recht hebben op inzage. Ze baseerden zich op de Wet bescherming persoonsgegevens (Wbp), het Handvest van de grondrechten van de Europese Unie en de Europese privacyrichtlijn 1995/46. Beide rechtbanken verklaarden het beroep gegrond.
De minister ging hiertegen in beroep bij de Raad van State. De Raad concludeerde dat binnen de Nederlandse rechtspraak onduidelijkheid bestond over de interpretatie van artikel 12 over het recht van toegang tot persoonsgegevens in de Europese privacyrichtlijn en de toepassing van het EU Handvest op voorliggende kwestie. Daarom heeft de Raad van State een aantal prejudiciële vragen gesteld aan het Hof van Justitie in Luxemburg.
Rechtsvragen
Samenvattend heeft de Raad van State het Hof gevraagd of een juridische analyse, zoals neergelegd in een ‘minuut’, kan worden aangemerkt als een persoonsgegeven in de zin van artikel 2, onder a, van de Europese privacyrichtlijn 1995/46?
Artikel 2, onder a, luidt als volgt:
’persoonsgegevens’, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna ’betrokkene’ te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit’
Als dat het geval is, wil de Raad van State ook weten of er volgens artikel 12 (aanheft en onder a, tweede streepje) van de privacyrichtlijn een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt? Of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt? De Raad van State stelt dezelfde vraag over artikel 8, tweede lid, over het recht van toegang tot persoonsgegevens van het EU Handvest.
Artikel 12, aanhef en onder a, van de privacyrichtlijn luidt als volgt:
‘De Lidstaten waarborgen elke betrokkene het recht van de voor de verwerking verantwoordelijke te verkrijgen:
a) vrijelijk en zonder beperking, met redelijke tussenpozen en zonder bovenmatige vertraging of kosten:
– uitsluitsel omtrent het al dan niet bestaan van verwerkingen van hem betreffende gegevens, alsmede ten minste informatie over de doeleinden van deze verwerkingen, de categorieën gegevens waarop deze verwerkingen betrekking hebben en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt;
– verstrekking, in begrijpelijke vorm, van de gegevens die zijn verwerkt, alsmede de beschikbare informatie over de oorsprong van de gegevens;
– mededeling van de logica die ten grondslag ligt aan de automatische verwerking van hem betreffende gegevens, in elk geval als het gaat om de geautomatiseerde besluiten als bedoeld in artikel 15, lid 1;
(…)’
5. Samenvatting uitspraak
Volgens de Advocaat-generaal van het Hof van Justitie in Luxemburg kan een juridische analyse door de overheid, op basis waarvan een beslissing wordt genomen over de rechtspositie van een asielzoeker, niet worden beschouwd als een persoonsgegeven zoals gedefinieerd in artikel 2 van de Europese privacyrichtlijn, ook al bevat de minuut waar de analyse onderdeel van is persoonsgegevens.
Een beoordeling van feiten over een persoon, of gebeurtenissen waarbij deze persoon betrokken is, door de overheid valt niet onder de definitie van persoonsgegevens. De richtlijn vestigt geen recht op toegang tot een specifiek document of dossier waarin persoonsgegevens worden vermeld of gebruikt, en waar een juridische analyse onderdeel van uit maakt. De zin ‘iedere informatie betreffende een geïdentificeerde of identificeerbare persoon’ uit de Privacyrichtlijn moet volgens de Advocaat-generaal niet zo ruim worden opgevat.
Indien het wel om een persoonsgegeven zou gaan, schrijft de Privacyrichtlijn niet voor op wat voor manier de overheid toegang moet verlenen tot de informatie. Er bestaat een ruime mate van beoordelingsvrijheid. De overheid is dus niet verplicht om toegang tot het originele document of een kopie daarvan te geven.
Verder concludeert de Advocaat-generaal dat het EU Handvest over grondrechten in deze zaak niet van toepassing is. Burgers kunnen zich namelijk alleen beroepen op dit Handvest als het gaat om instellingen, organen en instanties van de Europese Unie.
6. Uitlichting decentrale relevantie uitspraak
Toegang tot gegevens op decentraal niveau
Decentrale overheden krijgen verzoeken van burgers om toegang tot hun persoonsgegevens, op basis van de Wbp, waarin de huidige privacyrichtlijn is geïmplementeerd. Mensen willen bijvoorbeeld adresgegevens in de Gemeentelijke Basisregistratie controleren, werk- of uitkeringsgegevens nagaan of de persoonsgegevens van hun kinderen inzien. De vraag om toegang tot persoonsgegevens wordt des te relevanter met de decentralisatie van jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen naar de gemeenten. Daardoor krijgen gemeenten toegang tot veel medische en gevoelige persoonsgegevens.
Actuele ontwikkelingen
Deze zaak is ook interessant in het licht van de nieuwe Europese Verordening gegevensbescherming, die naar verwachting in 2015 in werking treedt. Daarin wil de Europese Commissie de rechten van burgers op toegang tot persoonsgegevens en recht op informatie nog sterker verankeren.
7. Meer informatie
Digitale Overheid, Kenniscentrum Europa Decentraal
Handvest van de grondrechten van de Europese Unie
Richtlijn gegevensbescherming (1995/46)
Concept Verordening gegevensbescherming (versie wijzigingen door Europees Parlement, herfst 2013)
Wet bescherming persoonsgegevens (Wbp)
