Mag je inzage in je emailarchief weigeren onder de AVG?

| AE 12029 | Privacy | 21 reacties

Wat moet je doen als iemand inzage eist in emails die jij in je archief hebt? Met die vraag zag de rechter zich recent geconfronteerd in een zaak tussen zo te lezen een student (of medewerker) en een universiteit. De eerste wilde inzage in emails over hem, de organisatie weigerde dat voor een groot deel.

Bij elke AVG cursus is het weer een verrassing: het inzagerecht onder de AVG kun je ook uitoefenen op emails en andere informele documenten waarin je persoonsgegevens staan. Dat recht (op een kopie en uitleg van je persoonsgegevens) is niet beperkt tot formele dossiers of gestructureerde bestanden. En ja, dan heb je een probleem als je je emails niet netjes archiveert. Gelukkig voor organisaties staat daar tegenover dat als iemand zegt “ik wil alles dat u heeft” je niet elke backuptape op een eventuele nog in de prullenbak zittende mail hoeft na te lopen.

Een lastiger probleem is dat emails natuurlijk meer bevatten dan enkel je persoonsgegevens. Of dat de persoonsgegevens niet zuiver feitelijk zijn maar bijvoorbeeld een beoordeling – denk aan de mail van je manager aan HR over een recent incident waar je bij betrokken was, of de Slack-chatdiscussie over je sollicitatie vanochtend. Dat zijn dan wel persoonsgegevens van jou – ze zeggen iets over jou – maar dat is ook een stukje privé van die manager of collega’s.

De AVG kent daar een oplossing voor: op grond van artikel 23 (lid 1 sub i) hoef je geen persoonsgegevens te verstrekken voor zover dat noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Dat is geen vrijbrief om te weigeren: het komt neer op dat je moet witmaken (niet zoals het COA) of weglaten wat je echt niet kunt onthullen. En ja, dat is een afweging per geval, geen generieke “emails bevatten interne opvattingen en worden dus niet verstrekt”.

In deze zaak was een berg mails weggelaten:

De rechtbank verwijst onder meer naar de e-mails met de nummers 4, 9, 12, 15, 17, 24, 39, 42, 47, 48, 52, 54, 58, 63, 66-68, 73, en 91. De rechtbank noemt als voorbeeld de passages die beginnen met: ‘Een email van een [naam] , die (…)’ in document 9, ‘Officieel zou [eiser] moeten aanvragen maar, (…)’ en ‘Waarschijnlijk omdat [eiser] (…)’ in document 12, ‘De heer [eiser] is sinds begin dit jaar al (…)’ in document 15 en ‘De goedkeuring door [verweerder] heeft lang op zich laten wachten door moeizame communicatie (…)’ in document 24. Deze passages, en ook andere in de hiervoor genoemde e-mail nummers, bevatten naar het oordeel van de rechtbank feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen van eiser. Door deze passages in de e-mails niet in het verwerkingsoverzicht te vermelden dan wel van deze passages geen afschriften aan eiser te verstrekken, kan eiser niet controleren of verweerder zijn persoonsgegevens op juiste wijze heeft verwerkt.

Ook dergelijke mails moeten dus worden verstrekt, zij het dat je irrelevante passages (die dus niet over de persoon gaan) mag weglaten. Maar je moet dan wel een motivatie per passage hebben waaróm het irrelevant is. Enkel de algemene formule dat het “gaat om interne notities die persoonlijke gedachten van medewerkers van [verweerder] bevatten en uitsluitend voor intern overleg en beraad zijn bedoeld”, is daarbij niet genoeg. De universiteit mag dus terug naar de tekentafel en opnieuw per mailtje bedenken waarom ze niet mogen worden ingezien.

Arnoud

Deel dit artikel

  1. Als ik het goed begrijp is de AVG alleen van toepassing op geautomatiseerde verwerking van persoonsgegevens, en/of het opnemen van persoonsgegevens in een bestand (waarbij een ongestructureerde stapel post expliciet niet geldt als een bestand).

    Valt email hier uberhaupt onder? Email lijkt me bijna het schoolvoorbeeld van niet-geautomatiseerde verwerking van gegevens; het is handmatige communicatie van mens tot mens, zonder machinale besluitvoering, ondanks dat er computers bij de logistiek betrokken zijn. Emailcommunicatie kan natuurlijk worden gebruikt voor dossiervorming, zoals wanneer ik in een CRM-systeem een archief van alle communicatie per klant bijhoud; maar zolang ik dat niet doe, en ik alleen de ongesorteerde inbox van de afgelopen zeven jaar heb, is dat dan een bestand, en is het geautomatiseerd?

    • Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

      Waarbij een ongestructureerde stapel post wel degelijk wordt afgedekt. Net als de Post-IT op je bureau.

    • Nee, het gaat ofwel verwerken van persoonsgegevens binnen een georganiseerd systeem (kaartenbak), ofwel het verwerken met behulp van geautomatiseerde hulpmiddelen. Met andere woorden, zodra je een computer gebruikt val je onder de tweede, zodra je het systematisch en terugvindbaar doet val je onder het eerste. Het lijkt hier om een medewerker (met arbeidsgeschil) te gaan. Ook zou je voor studenten een wob verzoek verwachten (wellicht in aanvulling/alternatief), maar voor (ex) medewerkers .

    • Dat is een juiste hoewel ietwat pedante manier van lezen van artikel 15 AVG. Je hebt recht op een kopie van je persoonsgegevens, maar niet op ieder document waarin ergens je persoonsgegevens staan. Cru gezegd, als er een rapport is waarin op pagina 15 staat “Olivier functioneert echter prima” dan heb jij recht op die zin van pagina 15 en misschien de context zodat je kunt duiden wat die zin betekent over jou. Maar pagina’s 16-99 bevatten geen persoonsgegevens dus die krijg je niet. Dit mag dan zwartgemaakt of weggelaten bij de verstrekking.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS