Het begrip “persoonsgegevens” wordt ruim uitgelegd
Eiseres in deze zaak, die heeft gediend bij de rechtbank Midden-Nederland, is het er niet mee eens dat de Gemeenschappelijke Regeling Regio Gooi en Vechtstreek persoonsgegevens van haar en haar zoon verwerkt. Ze verzoekt deze gegevens te wissen. Dit verzoek wordt afgewezen en het latere beroep wordt alleen gegrond verklaard waar het gaat om haar eigen gegevens. De eiseres gaat tegen dit besluit in beroep. Met een verwijzing naar een uitspraak van het Hof van Justitie van de Europese Unie kiest de rechtbank voor een ruime uitleg van het begrip “persoonsgegevens”.
Geschatte leestijd: 5 minuten
Is de gemeenschappelijke regeling de verwerkingsverantwoordelijke?
De eerste vraag die door de rechtbank Midden-Nederland wordt beantwoord is of de gemeenschappelijke regio, de RMC-regio Gooi en Vechtstreek, de verwerkingsverantwoordelijke is.
Het college van de betreffende gemeente heeft bepaalde taken aan de Gemeenschappelijke Regeling Regio Gooi en Vechtstreek gedelegeerd. Zo is onder andere de uitvoering van de regelgeving met betrekking tot de melding en bestrijding van voortijdig schoolverlaten overgedragen aan de Geenschappelijke Regeling. Dat betekent dat de gegevensverwerking in dit verband ook plaats vindt bij de Gemeenschappelijke Regeling.
Het is vervolgens de vraag of de Gemeenschappelijke Regeling daarmee de verwerkingsverantwoordelijke is geworden. Naar het oordeel van de rechtbank is dit het geval. De uitvoering van de regelgeving met betrekking tot de melding en bestrijding van voortijdig schoolverlaten is door het college overgedragen. Verder stelt de rechtbank dat er is niet gebleken dat het college hiermee nog bemoeienis heeft. Daar komt bij dat de Gemeenschappelijke Regio het verwerkingsregister bijhoudt en het doel van gegevensverwerkingen en de middelen bepaalt binnen het kader van de wet- en regelgeving.
Twee momenten van gegevensverwerking
Hierna komt de rechtbank toe aan de vraag of de gegevens van de zoon van de eiseres moeten worden gewist.
De rechtbank onderscheidt twee momenten van gegevensverwerking. Als eerste de verwerking in het kader van de registratie en de verwerking en als tweede de verwerking in het kader van het volgen en monitoren van de betreffende jongeren.
Gegevensverwerking in het kader van registratie
Zoals gezegd kijkt de rechtbank eerst naar de verwerking in het kader van de registratie. De rechtbank is van mening dat deze gegevensverwerking nodig is voor het nakomen van een wettelijke verplichting.
Voor de uitvoering van de regelgeving met betrekking tot de melding en bestrijding van voortijdig schoolverlaten, is het nodig om de doelgroep in beeld te hebben, zo motiveert de rechtbank. Hiervoor moeten bepaalde persoonsgegevens van deze jongeren worden geregistreerd. Dat volgt uit art. 162b lid 1 van de Wet op de expertisecentra, art. 21 lid 1 van de Wet register onderwijsdeelnemers en art 31 lid 1van het Besluit register onderwijsdeelnemers. Door de gegevens te verwerken in een register, geeft de Gemeenschappelijke Regeling uitvoering aan een wettelijke verplichting. De rechtbank komt tot de conclusie dat er sprake is van de uitzonderingsgrond zoals die is genoemd in art. 17 lid 3 onder b AVG.
Gegevensverwerking in het kader van monitoring
Hierna gaat de rechtbank in op de vraag of de gegevensverwerking in het kader van het volgen en monitoren van de jongeren ook nodig is om te voldoen aan een wettelijke verplichting.
De rechtbank is van mening dat deze gegevensverwerking in beginsel nodig is, omdat de Gemeenschappelijke Regeling op basis van de hiervoor genoemde wettelijke bepalingen verplicht is om de jongeren in de doelgroep te volgen en monitoren. De Gemeenschappelijke Regeling mocht dus ook een beroep doen op de uitzonderingsgrond van art. 17 lid 3 onder b AVG.
Recht op inzage? Het begrip Persoonsgegevens wordt ruim uitgelegd!
De eiseres wil inzage in alle gegevens die in het dossier van haar zoon zijn vastgelegd, ook die door de Gemeenschappelijke Regeling zijn weggelakt. Het gaat hierbij om de naam die is ingevuld bij “vader”. De rechtbank stelt dat eiseres als bewindvoerder recht heeft op inzage in de persoonsgegevens. De vraag is of de weggelakte naam die bij “vader” is ingevuld een persoonsgegeven van haar zoon is?
De rechtbank vindt dat dit zo is en motiveert dit als volgt:
“Onder “persoonsgegevens” wordt – kort gezegd – alle informatie verstaan over een betrokkene, waarbij die betrokkene direct of indirect kan worden geïdentificeerd. Het kan daarbij bijvoorbeeld gaan om elementen die kenmerkend zijn voor de genetische, culturele of sociale identiteit van de betrokkene. Volgens het Hof van Justitie van de Europese Unie (het Hof van Justitie) moet er een ruime uitleg worden gegeven aan het begrip ‘persoonsgegevens’. Volgens het Hof van Justitie strekt het begrip persoonsgegevens zich potentieel uit tot elke soort informatie, zowel objectieve als subjectieve informatie die de betrokkene betreft. Van dat laatste is sprake als de informatie wegens haar inhoud, doel of gevolg gelieerd is aan een natuurlijk persoon”.
De rechtbank beslist dat de eiseres inzage dient te krijgen. Het beroep van eiseres is op dit punt dus gegrond.
Meer weten?
Heb je nog vragen over dit onderwerp of over privacyvragen in het algemeen, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.