Het AVG-inzagerecht en pseudonieme gegevens
Op 13 juli 2022 heeft de Raad van State (RvS) uitspraak gedaan in een zaak over het inzagerecht van betrokkenen op grond van de Algemene verordening gegevensbescherming (AVG). De zaak kwam bij de RvS omdat het inzageverzoek was gedaan bij een gemeente (Den Haag) en de reactie daarop van de gemeente dus geldt als een Awb-besluit en daarmee dus onder de bestuursrechtspraak valt. Bijzonder in deze zaak was de discussie over herleidbaarheid van pseudonieme gegevens en welke gegevens de gemeente wel of niet moet verstrekken bij een inzageverzoek. In de uitspraak van de RvS lijkt een tegenstrijdigheid te zitten. Daarom dus een blog met duiding.
Inzet van de zaak
De betrokkene heeft met een beroep op artikel 15(1) AVG de gemeente Den Haag verzocht hem te informeren welke gegevens de gemeente over hem verwerkt. De betrokkene heeft bij dat verzoek zelf onder meer gegevens over en verbonden aan het door hem gebruikte IP-adres en de gegevens die zijn verwerkt in verband met een door de gemeente verwijderde fiets meegestuurd. Verder heeft hij verzocht om inzage in de e-mailcommunicatie die tussen hem en de gemeente heeft plaatsgehad. In 2019 heeft de gemeente Den Haag gereageerd op het inzageverzoek in de vorm van twee besluiten (een eerste besluit en een aanvullend besluit). De betrokkene was van mening dat de gemeente niet alle gegevens heeft verstrekt en heeft daarom bezwaar gemaakt tegen het besluit van de gemeente. De gemeente heeft dit bezwaar ongegrond verklaard, waarna de betrokkene naar de rechtbank is gestapt om dit aan te vechten. Na de beslissing van de rechtbank is hoger beroep aangetekend bij de RvS.
De betrokkene stelde dat informatie over het ophalen van de fiets bij een fietsdepot moest worden verstrekt. De gemeente verwerkt gegevens daaromtrent alleen geanonimiseerd in de applicatie PerfectView. Om toch de informatie te kunnen herleiden heeft de betrokkene informatie over de pintransactie (datum, transactienummer, bankrekeningnummer) aangeleverd. Op die manier kon de gemeente de gegevens opzoeken.
Over de e-mailcommunicatie bestond geen geschil meer, omdat de gemeente en de betrokkene het erover eens waren dat de betrokkene zelf ook rechtstreeks beschikte over de e-mailwisseling en dat de gemeente die dus niet nogmaals apart hoefde te verstrekken.
Dan waren er nog IP-adressen. In het algemeen stelde de gemeente dat IP-adressen niet worden gekoppeld aan personen en dat de gemeente zelf niet beschikt over informatie om de koppeling te maken tussen een IP-adres en een burger, maar dat die alleen bij de internetprovider aanwezig zijn. De RvS is het daarmee eens. Dit gaat over persoonsgegevens die in combinatie met IP-adressen worden verwerkt in bijvoorbeeld security logs wanneer iemand zonder in te loggen een website bezoekt. Die security logs worden bewaard om bijvoorbeeld aangifte te kunnen doen als er (digitaal) ingebroken wordt, maar worden niet aan direct identificerende gegevens gekoppeld.
In een aanvullend besluit uit maart 2022 (in aanvulling op de besluiten uit 2019) blijkt dat de gemeente dit standpunt niet langer handhaaft voor wat betreft de applicatielogs van de webserver van de gemeentelijke website en de applicatielogs van de applicatie VGZ. De IP-adressen die hierbij worden opgeslagen, zijn herleidbaar tot personen en moeten, anders dan de rechtbank heeft overwogen, als persoonsgegeven worden aangemerkt. Dus in het geval dat de gemeente zelf de IP-adressen aan een betrokkene kan koppelen, omdat de IP-adressen zijn verwerkt in samenhang met het gebruik van applicaties waarbij de betrokkene is ingelogd met een account, is geen derde partij vereist om tot herleidbaarheid te komen. De IP-adressen zijn dan persoonsgegevens die in het kader van het inzageverzoek verstrekt moeten worden aan de betrokkene.
Persoonsgegevens en pseudonieme gegevens
De discussie lijkt dus te draaien om wat wel of geen persoonsgegevens zijn en in welke mate er inzage gegeven moet worden in pseudonieme gegevens. Alleen volledig anonieme gegevens zijn geen persoonsgegevens. De RvS stelt dat de pintransactie anoniem is. Maar ook dat de herleidbaarheid die ontstaat doordat de betrokkene aanvullende gegevens heeft verstrekt de pintransactie “niet een persoonsgegeven maakt” omdat de gemeente zonder die aanvullende informatie de transactie niet tot de betrokkene kan herleiden. Het is afhankelijk van welke gegevens precies werden bewaard of er dan wel echt anonimiteit (op geen enkele wijze terug herleidbaar naar de betrokkene) was of toch een vorm van pseudonimiteit. Kennelijk was herleidbaarheid wel mogelijk met behulp van de aangeleverde gegevens. Het lijkt erop dat direct identificerende kenmerken zoals naam rekeninghouder wel waren verwijderd, maar er bijvoorbeeld niet geaggregeerd is om te voorkomen dat losse transacties herkenbaar bleven. De anonimiseringstoets was hier dus niet doorstaan en de transactiegegevens zijn dus ook wel degelijk persoonsgegevens.
De stelling dat de herleidbare IP-adressen wel persoonsgegevens zijn is juist. Dit is al bevestigd in het Breyer-arrest van het Europese Hof van Justitie in 2016. Over de IP-adressen die algemeen worden verwerkt (buiten de applicatielogs) over bezoekers van de gemeentelijke website oordeelt de RvS dat dit de gemeente aannemelijk heeft gemaakt deze niet zelf te kunnen herleiden naar de betrokkene. Deze gegevens hoefden dus niet verstrekt te worden door de gemeente.
Volgens het Breyer-arrest is identificatie wel mogelijk via de internetprovider. Maar in deze zaak wordt gesteld dat die handeling van identificatie via een derde partij niet vereist is om pseudonieme gegevens te herleiden naar een betrokkene om ze vervolgens te kunnen verstrekken in het kader van een inzageverzoek.
Wat zegt de AVG over identificatie van de betrokkene
Bij de uitoefening van rechten van betrokkenen (artikelen 15 t/m 21 AVG), waaronder dus het inzagerecht uit artikel 15, kan de verwerkingsverantwoordelijke om aanvullende informatie vragen om de identiteit van de betrokkene adequaat vast te stellen (artikel 12(6) AVG). In dit geval leverde de betrokkene zelf proactief aanvullende gegevens aan om herleidbaarheid, en dus identificatie, mogelijk te maken. Nu is identificatie als bedoeld in artikel 12(6) AVG niet precies hetzelfde als het faciliteren van herleidbaarheid. De RvS lijkt daarom dezelfde redenering te volgen als met betrekking tot de pintransactie. Dus zonder informatie die de betrokkene zelf aanlevert is er geen herleidbaarheid en hoeven gegevens dus niet verstrekt te worden in het kader van een inzageverzoek.
De RvS lijkt echter een belangrijke stap gemist te hebben. Artikel 11(1) AVG bepaalt dat een verwerkingsverantwoordelijke niet meer gegevens dan noodzakelijk hoeft te verwerken om aan de verplichtingen uit de AVG te kunnen voldoen. Het is dus juist dat pseudoniem opgeslagen gegevens niet door de gemeente gecombineerd hoeven te worden om ze direct herleidbaar te maken, zodat ze verstrekt kunnen worden bij een inzageverzoek.
Artikel 11(2) AVG bepaalt echter dat als de verwerkingsverantwoordelijke aantoont dat hij niet zelf tot herleidbaarheid kan komen, hij dit aan de betrokkene mededeelt. De artikelen 15 t/m 20 AVG zijn dan niet van toepassing “behalve wanneer de betrokkene, met het oog op de uitoefening van zijn rechten uit hoofde van die artikelen, aanvullende gegevens verstrekt die het mogelijk maken hem te identificeren.” En dat is precies wat er in deze zaak is gebeurd. De betrokkene heeft aanvullende gegevens verstrekt om de koppeling aan IP-adressen mogelijk te maken en zo de IP-adressen dus herleidbaar te maken voor de gemeente.
Conclusie
Een verwerkingsverantwoordelijke hoeft bij een inzageverzoek geen gegevens te verstrekken die pseudoniem zijn, en niet zonder hulp van een derde partij herleidbaar gemaakt kunnen worden. Het is ook niet vereist om meer gegevens te verwerken dan noodzakelijk om tot herleidbaarheid te komen om vervolgens gegevens te kunnen verstrekken bij een inzageverzoek. Maar pseudonieme gegevens zijn echt wel gewoon persoonsgegevens. Als een organisatie zelf niet tot herleidbaarheid kan komen, maar wel met hulp van betrokkene, dan is er sprake van identificatie en moeten de gegevens dus wel verstrekt worden. De RvS heeft waarschijnlijk bedoeld om aan te geven dat geen extra gegevens hoeven te worden verwerkt om bij een inzageverzoek meer (pseudonieme) gegevens te kunnen verstrekken. Op zich is dat juist. Maar daarop geldt dus een uitzondering. De uitspraak van de RvS mist de toepassing van artikel 11(2) AVG en heeft daarom ten onrechte geconcludeerd dat bepaalde gegevens niet verstrekt hoeven te worden. Het inzagerecht in samenhang met artikel 11(2) AVG betekent dat wanneer de betrokkene zelf aanvullende gegevens aanlevert ook gegevens moeten worden verstrekt die pseudoniem zijn maar met de gegevens van de betrokkene wel herleidbaar worden. In het geval van deze uitspraak dus ook de IP-adressen en gegevens over de pintransactie. Gegevens die door de betrokkene proactief worden aangeleverd om de identiteit aan te tonen, in lijn met artikel 12(6) AVG, mogen dus vanwege artikel 11(2) AVG niet zomaar genegeerd worden.