Mag je inzage in je emailarchief weigeren onder de AVG?

Wat moet je doen als iemand inzage eist in emails die jij in je archief hebt? Met die vraag zag de rechter zich recent geconfronteerd in een zaak tussen zo te lezen een student (of medewerker) en een universiteit. De eerste wilde inzage in emails over hem, de organisatie weigerde dat voor een groot deel.

Bij elke AVG cursus is het weer een verrassing: het inzagerecht onder de AVG kun je ook uitoefenen op emails en andere informele documenten waarin je persoonsgegevens staan. Dat recht (op een kopie en uitleg van je persoonsgegevens) is niet beperkt tot formele dossiers of gestructureerde bestanden. En ja, dan heb je een probleem als je je emails niet netjes archiveert. Gelukkig voor organisaties staat daar tegenover dat als iemand zegt “ik wil alles dat u heeft” je niet elke backuptape op een eventuele nog in de prullenbak zittende mail hoeft na te lopen.

Een lastiger probleem is dat emails natuurlijk meer bevatten dan enkel je persoonsgegevens. Of dat de persoonsgegevens niet zuiver feitelijk zijn maar bijvoorbeeld een beoordeling – denk aan de mail van je manager aan HR over een recent incident waar je bij betrokken was, of de Slack-chatdiscussie over je sollicitatie vanochtend. Dat zijn dan wel persoonsgegevens van jou – ze zeggen iets over jou – maar dat is ook een stukje privé van die manager of collega’s.

De AVG kent daar een oplossing voor: op grond van artikel 23 (lid 1 sub i) hoef je geen persoonsgegevens te verstrekken voor zover dat noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Dat is geen vrijbrief om te weigeren: het komt neer op dat je moet witmaken (niet zoals het COA) of weglaten wat je echt niet kunt onthullen. En ja, dat is een afweging per geval, geen generieke “emails bevatten interne opvattingen en worden dus niet verstrekt”.

In deze zaak was een berg mails weggelaten:

De rechtbank verwijst onder meer naar de e-mails met de nummers 4, 9, 12, 15, 17, 24, 39, 42, 47, 48, 52, 54, 58, 63, 66-68, 73, en 91. De rechtbank noemt als voorbeeld de passages die beginnen met: ‘Een email van een [naam] , die (…)’ in document 9, ‘Officieel zou [eiser] moeten aanvragen maar, (…)’ en ‘Waarschijnlijk omdat [eiser] (…)’ in document 12, ‘De heer [eiser] is sinds begin dit jaar al (…)’ in document 15 en ‘De goedkeuring door [verweerder] heeft lang op zich laten wachten door moeizame communicatie (…)’ in document 24. Deze passages, en ook andere in de hiervoor genoemde e-mail nummers, bevatten naar het oordeel van de rechtbank feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen van eiser. Door deze passages in de e-mails niet in het verwerkingsoverzicht te vermelden dan wel van deze passages geen afschriften aan eiser te verstrekken, kan eiser niet controleren of verweerder zijn persoonsgegevens op juiste wijze heeft verwerkt.

Ook dergelijke mails moeten dus worden verstrekt, zij het dat je irrelevante passages (die dus niet over de persoon gaan) mag weglaten. Maar je moet dan wel een motivatie per passage hebben waaróm het irrelevant is. Enkel de algemene formule dat het “gaat om interne notities die persoonlijke gedachten van medewerkers van [verweerder] bevatten en uitsluitend voor intern overleg en beraad zijn bedoeld”, is daarbij niet genoeg. De universiteit mag dus terug naar de tekentafel en opnieuw per mailtje bedenken waarom ze niet mogen worden ingezien.

Arnoud

21 reacties

  1. Dit is toch een enorme belasting voor een organisatie. Krijg je al niet gauw de neiging om alle email ouder dan 6 maanden weg te flikkeren vraag ik me dan af. Wil je iets bewaren dan moet je het maar verplaatsen uit je mailbox (zodat het geen email meer is).

    1. Dit is echt een fantastisch advies waarvan ik zou hopen dat iedere organisatie het direct zou opvolgen.

      Gisteren las ik ergens nog zo’n inzicht. Niemand legt zijn post op de deurmat met gele briefjes erop “Henk morgen terugbellen” of “Bevat factuur, dinsdag betalen”. Die sorteer je en de informatie stop je in een systeem dat daarvoor bedoeld is. Maar als die post via Outlook binnenkomt, laten mensen het in hun inbox met 1200+ items staan en zetten ze vlaggetjes en tags om te beheren wat ze moeten doen.

      Email is een brievenbus. Alles moet er zo snel mogelijk uit en de informatie moet op de plek waar ie hoort.

      1. Zou het niet zo kunnen zijn dat voor een bedrijf hun email onderdeel is van hun administratie, wat dan weer 5+ jaar bewaard moet worden? Ik meen me te herinneren van een voorlichtingavond van de BD dat je alle relevante stukken van de administratie in het originele formaat moet bewaren; Dus bijv ook je PDA (ja, zo lang geleden!) als je afspraken alleen daar in staan.

        1. Mogelijk, hoewel mijn ervaring is dat mensen die hun administratie alleen in hun inbox doen, niet heel goed op de hoogte zijn van de eisen van de Belastingdienst. Ik denk dat het meer is dat je geen tijd of ruimte hebt om na te denken over bijvoorbeeld een CRM systeem. Ik vind dat wel heel zorgelijk, ik snap het wel en werkte zelf ook heel lang zo maar er ontstaan allerlei hele rare risico’s op die manier.

          1. Zeker, administratie in de belasting betekenis gaat primair over financiële administratie (in principe met bewijsstukken zoals facturen, werkorders etc.) Verslagen van willekeurige bijeenkomsten zijn minder relevant voor de belastingdienst (of KvK) en zijn geen onderdeel van de administratie binnen de bewaarplicht.

            1. Dat is sinds de jaren ’90 anders. Vanaf dat moment is de fiscale boekhoudplicht overgegaan in een administratieplicht. Wat onder de administratieplicht valt is afhankelijk van de feiten en omstandigheden van de onderneming. Dat wordt ook gerelateerd aan wat gebruikelijk is bij vergelijkbare ondernemingen (branchegenoten). Onder de fiscale administratieplicht valt dus alles wat de ondernemer zelf nodig heeft voor de bedrijfsvoering, incl aantekeningen van afspraken.

      2. Yep! Het maakt je leven zoveel makkelijker! Ik heb er vaak mee te maken als er klachtenprocedures zijn en er gevraagd wordt naar “de mails”. Daar hebben we een ECD voor en dat is de enige officiële manier waarmee men mag communiceren met clienten. Maar ja, e-mail en WhatsApp zijn handig he? En je weet nooit wanneer je nog een mailtje nodig hebt van 3 jaar geleden 🙂

      3. En als je die mails dan verplaatst naar ‘waar ze thuis horen’, lost dat eigenlijk iets op? Dat je dan op nog meer plaatsen moet gaan zoeken? Alle mails zoeken van/over een bepaalde correspondent in Outlook, lijkt me dan eigenlijk nog eenvoudiger. Het is niet omdat die mail in een CRM-pakket staat, dat je niet moet filteren, zoeken, verantwoorden, ….

  2. Als ik het goed begrijp is de AVG alleen van toepassing op geautomatiseerde verwerking van persoonsgegevens, en/of het opnemen van persoonsgegevens in een bestand (waarbij een ongestructureerde stapel post expliciet niet geldt als een bestand).

    Valt email hier uberhaupt onder? Email lijkt me bijna het schoolvoorbeeld van niet-geautomatiseerde verwerking van gegevens; het is handmatige communicatie van mens tot mens, zonder machinale besluitvoering, ondanks dat er computers bij de logistiek betrokken zijn. Emailcommunicatie kan natuurlijk worden gebruikt voor dossiervorming, zoals wanneer ik in een CRM-systeem een archief van alle communicatie per klant bijhoud; maar zolang ik dat niet doe, en ik alleen de ongesorteerde inbox van de afgelopen zeven jaar heb, is dat dan een bestand, en is het geautomatiseerd?

    1. Het feit dat het automatisch een kopie levert aan alle omtvangers genoemd in to,cc,bcc maakt het een geautomatiseerd systeem? Oja… er worden ook nog vanzelf spam en virussen verwijdert…

      Zou je een machine die dat met brieven doet niet geautomatiseerd noemen?

    2. Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

      Waarbij een ongestructureerde stapel post wel degelijk wordt afgedekt. Net als de Post-IT op je bureau.

    3. Nee, het gaat ofwel verwerken van persoonsgegevens binnen een georganiseerd systeem (kaartenbak), ofwel het verwerken met behulp van geautomatiseerde hulpmiddelen. Met andere woorden, zodra je een computer gebruikt val je onder de tweede, zodra je het systematisch en terugvindbaar doet val je onder het eerste. Het lijkt hier om een medewerker (met arbeidsgeschil) te gaan. Ook zou je voor studenten een wob verzoek verwachten (wellicht in aanvulling/alternatief), maar voor (ex) medewerkers .

    1. Dat is een juiste hoewel ietwat pedante manier van lezen van artikel 15 AVG. Je hebt recht op een kopie van je persoonsgegevens, maar niet op ieder document waarin ergens je persoonsgegevens staan. Cru gezegd, als er een rapport is waarin op pagina 15 staat “Olivier functioneert echter prima” dan heb jij recht op die zin van pagina 15 en misschien de context zodat je kunt duiden wat die zin betekent over jou. Maar pagina’s 16-99 bevatten geen persoonsgegevens dus die krijg je niet. Dit mag dan zwartgemaakt of weggelaten bij de verstrekking.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.