ECLI:NL:RBAMS:2023:6952

RECHTBANK AMSTERDAM Bestuursrecht zaaknummer: AMS 22/1390 uitspraak van de enkelvoudige kamer van 3 november 2023 in de zaak tussen [eiser] , uit Amsterdam, eiser en de Minister van Justitie en Veiligheid, Directie Wetgeving en Juridische Zaken (gemachtigde: mr. M. Karkich-Isnail). Inleiding 1. In deze uitspraak beoordeelt de rechtbank het beroep van eiser tegen de gedeeltelijke toewijzing van zijn inzageverzoek op grond van de Algemene Verordening Gegevensbescherming (AVG). Met het besluit van 26 januari 2022 (het bestreden besluit 1) heeft verweerder het bezwaar van eiser deels gegrond verklaard. 2. Op 8 februari 2023 heeft verweerder een aanvullend besluit op bezwaar genomen (het bestreden besluit 2) naar aanleiding van nader aangetroffen informatie met persoonsgegevens van eiser. Het ingestelde beroep heeft op grond van artikel 6:19 van de Algemene wet bestuursrecht (Awb) van rechtswege mede betrekking op dit aanvullende besluit. 3. De rechtbank heeft het beroep op 20 februari 2023 op zitting behandeld. Hieraan hebben deelgenomen: eiser, de gemachtigde van verweerder en [naam] . 4. De rechtbank heeft de behandeling ter zitting geschorst en schriftelijke nadere vragen aan verweerder gesteld. Eiser heeft op de reactie van verweerder een inhoudelijke reactie gegeven. Partijen hebben de rechtbank vervolgens toestemming gegeven om uitspraak te doen zonder nadere zitting. De rechtbank heeft het onderzoek gesloten.

5. In zijn verzoek van 10 april 2021 heeft eiser gevraagd om afschriften van zijn persoonsgegevens die aanwezig zijn bij de Nationaal Coördinator Terrorisme en Veiligheid (NCTV). Daarnaast heeft hij twaalf vragen gesteld over de herkomst van zijn gegevens, de termijn van bewaren daarvan en de buitenlandse organisaties met wie zijn gegevens zijn gedeeld. 6. Verweerder heeft op 10 juni 2021 een primair besluit genomen. Er zijn veertien items gevonden. Verder is in het besluit uitleg gegeven over het doel en de grondslag van de verwerkingen, de bewaartermijnen en welke rechten eiser als betrokkene heeft. Verweerder heeft niet bekendgemaakt met welke buitenlandse veiligheidsdiensten de gegevens van eiser zijn gedeeld. 7. Naar aanleiding van het bezwaarschrift van eiser heeft verweerder eisers bezwaar in het bestreden besluit 1 gedeeltelijk gegrond verklaard. Daarin is het volgende overwogen. De verstrekte gegevens zijn niet van de NCTV afkomstig. De NCTV heeft geen onderzoek gedaan. De gegevens zijn afkomstig van openbare bronnen, zoals tweets en kranten. Er is geen persoonsdossier van eiser opgemaakt. De NCTV had eiser niet hoeven informeren op grond van artikel 14, lid 5.b van de AVG, omdat dit een te grote inspanning van de dienst zou hebben gevergd. Eiser heeft recht op een kopie van zijn persoonsgegevens, maar niet van de originele stukken of het bestand waarin die gegevens voorkomen. Volstaan mag worden met een volledig overzicht in begrijpelijke vorm. Het overzicht in het primaire besluit voldoet daaraan bij nader inzien niet. Daarom heeft verweerder een nieuw overzicht met de context van de verwerking bij het bestreden besluit gevoegd. Alleen ten aanzien van proces 5 komt verweerder niet tegemoet. Dit gaat over de SitRap dreiging. Verweerder geeft daarover alleen een omschrijving en zegt welke persoonsgegevens hierin zijn verwerkt. Voor meer gegevens moet eiser bij de Koninklijke Marechaussee zijn. In proces 6 is een fout hersteld: het gegeven ‘religie’ was niet verwerkt. 8. In het bestreden besluit 2 heeft verweerder nog een aanvulling gegeven ten aanzien van proces 15 en de processen 3 en 4. Het standpunt van eiser 9. Eiser is bang dat zijn persoonsgegevens bij verweerder zullen worden gewist en hij dan geen manier meer heeft te controleren met wie zijn persoonsgegevens zijn gedeeld. Reden hiervoor is dat de NCTV, en dus ook verweerder, niet weet aan welke buitenlandse veiligheidsdiensten zijn data zijn gestuurd. Dit is gebeurd in strijd met protocollen en goede regelgeving. Voor eiser houdt dit een groot risico in, met name omdat het gaat om verwijzingen naar extremisme. Die valse data zijn over de wereld verspreid. Eiser vraagt een gedegen forensisch onderzoek, zodat er weer grip kan worden gekregen op zijn dossier en de vraag aan welke buitenlandse veiligheidsdiensten zijn data zijn verstrekt.

10. Met het bestreden besluit 2 heeft verweerder erkend dat het bestreden besluit 1 onvolledig was en dus onvoldoende zorgvuldig tot stand is gekomen, dan wel onvoldoende was gemotiveerd. Alleen al hierom zal de rechtbank het beroep van eiser gegrond verklaren. De rechtbank zal hierna de beroepsgronden van eiser inhoudelijk beoordelen. 11. Eiser heeft in zijn verzoek gevraagd om afschriften. Verweerder heeft echter volstaan met het geven van inzage in de persoonsgegevens. De vraag is of verweerder daarmee mocht volstaan. Volgens het arrest van het Hof van Justitie van de Europese Unie (het Hof) van 4 mei 2023 dient de betrokkene alle informatie in kwestie in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal te ontvangen. Eiser heeft een overzicht gekregen met daarin persoonsgegevens, doel verwerking, ontvangers (anoniem), bron gegevens en geautomatiseerde besluitvorming en logica. De jurisprudentie vereist verder dat, om te waarborgen dat de aldus verstrekte informatie gemakkelijk te begrijpen is, het onontbeerlijk kan zijn dat uittreksels uit documenten of zelfs volledige documenten of databankuittreksels die onder meer de persoonsgegevens bevatten die worden verwerkt, worden gereproduceerd. Wanneer met name persoonsgegevens worden gegenereerd op basis van andere gegevens of wanneer dergelijke gegevens voortvloeien uit open tekstvelden, dat wil zeggen wanneer er geen data worden verstrekt en uit deze lacune informatie over de betrokkene valt af te leiden, is de context waarin deze gegevens worden verwerkt een onontbeerlijk element om de betrokkene in staat te stellen op transparante wijze inzage te krijgen in die gegevens en er een begrijpelijk beeld van te krijgen. 12. De rechtbank is in het onderhavige geval van oordeel dat het voor eiser niet onontbeerlijk is om kopieën van de door hem gevraagde stukken te ontvangen. Verweerder heeft een (voor zover achterhaald kon worden) volledig overzicht overgelegd waaruit eiser veel kan afleiden. Eiser heeft ook niet aannemelijk gemaakt dat het voor hem absoluut noodzakelijk voor zijn begrip van de documenten is om daadwerkelijk afschriften te ontvangen. De beroepsgrond slaagt dus niet. 13. Eiser heeft verder aangevoerd dat het aan zorgvuldigheid ontbreekt dat verweerder bepaalde informatie over hem niet meer kan achterhalen, dan wel dan verweerder niet precies weet bij wie die persoonsgegevens terecht zijn gekomen. De rechtbank oordeelt daarover als volgt. In voornoemd arrest van het Hof is geoordeeld dat de verwerkingsverantwoordelijke verplicht is om aan de betrokkene de identiteit van de ontvangers van zijn persoonsgegevens te verstrekken, tenzij het onmogelijk is om die ontvangers te identificeren. Vaststaat dat eisers persoonsgegevens aan ambtenaren van buitenlandse veiligheidsdiensten zijn doorgegeven. Tijdens de behandeling op zitting is gebleken dat verweerder geen antwoord kon geven op de vraag wie deze gegevens hebben doorgegeven, aan welke diensten de gegevens zijn doorgegeven en welke concrete pogingen verweerder heeft gedaan om deze gegevens te achterhalen. Verder heeft de rechtbank informatie gevraagd over protocollen die zien op het verzenden van persoonsgegevens naar andere instanties, welke gang van zaken daarbij wordt gevolgd en voor welke werknemers deze protocollen gelden. Voor de rechtbank was ook van belang te weten hoe de privacy van de betrokkenen in dergelijke gevallen wordt gewaarborgd en of er een protocol is voor het archiveren van gedeelde gegevens. Verder is aan verweerder de vraag voorgelegd of hij bereid is een extern technisch onderzoeksbureau in te schakelen teneinde deze gegevens alsnog te achterhalen. In verband met deze vragen is het onderzoek ter zitting geschorst. 14. Bij brief van 10 maart 2023 heeft verweerder gereageerd op de vragen van de rechtbank. Verweerder heeft een technisch onderzoek bij de NCTV uitgezet naar de wijze van het delen van persoonsgegevens en de herleidbaarheid naar buitenlandse veiligheidsdiensten. Een zoekslag bij de NCTV heeft niets opgeleverd, maar het raadplegen van de back-up van dienstencentrum JenV en de ICT dienstverlener van verweerder heeft wel resultaat gehad. Twee e-mails zijn naar voren gekomen uit twee functionele mailboxen via Outlook. De eerste e-mail betreft een signalering terrorisme en radicalisering 1/2017 (hierna: e-mail 1) en de tweede e-mail betreft een weekbericht internet monitoring 38/2016 (hierna: e-mail 2). Voor e-mail 1 is het gelukt om de ontvangers te achterhalen; voor e-mail 2 moeten de mailboxen van oud-medewerkers nog worden onderzocht. Verweerder heeft vervolgens een memo van 24 april 2023 van de ICT-afdeling van verweerder overgelegd. Hierin is het standaardproces met betrekking tot het maken van back-ups omschreven: elke dag wordt een back-up gemaakt en aan het eind van de week wordt in de laatste back-up de hele week samengevat. Hetzelfde gebeurt aan het eind van de maand en aan het eind van het jaar. Maand-tapes en jaar-tapes worden na de voorgeschreven bewaartermijn vernietigd. Binnen dit systeem is het mogelijk dat e-mails die medewerkers hebben verwijderd niet op een back-uptape terecht zijn gekomen. Dat betekent dat deze e-mails niet meer kunnen worden achterhaald. Dit is het geval voor wat betreft e-mail 2. Het account van een medewerker die uit dienst is gegaan wordt gedeactiveerd en na drie maanden verwijderd. Op dat moment wordt ook de bijbehorende mailbox van het systeem verwijderd. Daarnaast kan het voorkomen dat items die verzonden worden vanuit de functionele mailbox in de map ‘verzonden items’ van de persoonlijke mailbox van de verzender terechtkomen in plaats in die van de functionele mailbox. Dit is lange tijd de gebruikelijke wijze geweest. De conclusie is dan ook dat zowel e-mail 1 als e-mail 2 niet meer te achterhalen zijn. 15. De rechtbank is van oordeel dat verweerder hiermee feitelijk heeft toegegeven dat de gang van zaken rondom het doorzenden van de persoonsgegevens van eiser niet correct is geweest. Het gevolg is dat e-mail 1 is doorgestuurd zonder dat is te achterhalen naar wie deze e-mail is gestuurd en dat van e-mail 2 in het geheel niet duidelijk is door wie die is verstuurd en aan wie die is verstuurd. Gelet op het feit dat het hier persoonsgegevens van een individu betrof die zonder de benodigde zorgvuldigheid te betrachten zijn doorgezonden aan derden, acht de rechtbank deze gang van zaken ongeoorloofd en onacceptabel. De rechtbank is dan ook van oordeel dat verweerder hiermee onrechtmatig heeft gehandeld in strijd met de interne protocollen. 16. Het voorgaande leidt tot de conclusie dat het bestreden besluit 1 en de aanvulling daarop in de vorm van het bestreden besluit 2 onzorgvuldig tot stand zijn gekomen en onvolledig zijn gemotiveerd. Pas naar aanleiding van de vragen van de rechtbank heeft verweerder nader onderzoek gedaan en de benodigde informatie aangevuld voor zover die nog te achterhalen viel. Het resultaat blijft echter dat verweerder niet conform de AVG heeft gehandeld ten aanzien van eiser, zoals hierboven is overwogen. De bestreden besluiten 1 en 2 worden daarom vernietigd. 18. De rechtbank ziet echter geen aanleiding om verweerder een nieuw besluit op bezwaar te laten nemen. Verweerder heeft na de schorsing pogingen gedaan om gegevens van eiser te achterhalen, maar dit is niet gelukt. Nu verweerder zijn systemen kennelijk zo heeft ingericht dat het mogelijk is om protocollen niet te volgen, waardoor persoonsgegevens aan derden worden doorgestuurd en vervolgens niet meer vindbaar zijn, heeft het naar het oordeel van de rechtbank weinig zin om een nieuwe zoekopdracht te geven. De rechtbank neemt wel in overweging dat eiser naar alle waarschijnlijkheid hierdoor benadeeld is, maar ziet geen andere mogelijkheid dan de rechtsgevolgen van het vernietigde besluit in stand te laten. Dat neemt echter niet weg dat het eiser vrij staat via andere wegen compensatie te vragen voor dit ervaren nadeel.

19. Het beroep is gegrond omdat de bestreden besluiten 1 en 2 in strijd zijn met het motiveringsbeginsel en het zorgvuldigheidsbeginsel. De rechtbank vernietigt daarom beide bestreden besluiten. De rechtbank laat met toepassing van artikel 8:72, derde lid, aanhef en onder a, van de Awb de rechtsgevolgen van de bestreden besluiten in stand. 20. Omdat het beroep gegrond is moet verweerder het griffierecht aan eiser vergoeden. Eiser heeft geen proceskosten gemaakt die vergoed kunnen worden.

De rechtbank: - verklaart het beroep gegrond; - vernietigt de bestreden besluiten 1 en 2; - bepaalt dat de rechtsgevolgen van de vernietigde besluiten in stand blijven; - bepaalt dat verweerder het griffierecht van € 184,- aan eiser moet vergoeden. Deze uitspraak is gedaan door mr. J.C.S. van Limburg Stirum, rechter, in aanwezigheid van M. van Velzen, griffier. De uitspraak is uitgesproken in het openbaar op 3 november 2023. Griffier rechter Een afschrift van deze uitspraak is verzonden aan partijen op: Informatie over hoger beroep Een partij die het niet eens is met deze uitspraak, kan een hogerberoepschrift sturen naar de Afdeling bestuursrechtspraak van de Raad van State waarin wordt uitgelegd waarom deze partij het niet eens is met deze uitspraak. Het hogerberoepschrift moet worden ingediend binnen zes weken na de dag waarop deze uitspraak is verzonden. Kan de indiener de behandeling van het hoger beroep niet afwachten, omdat de zaak spoed heeft, dan kan de indiener de voorzieningenrechter van de Afdeling bestuursrechtspraak van de Raad van State vragen om een voorlopige voorziening (een tijdelijke maatregel) te treffen. Wettelijk kader behorend bij de uitspraak Artikel 14 AVG: Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen. 1. Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie: a. a) de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke; b) in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming; c) de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking; d) de betrokken categorieën van persoonsgegevens; e) in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens; f) in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een ontvanger in een derde land of aan een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van de in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd. 2. Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie om ten overstaan van de betrokkene een behoorlijke en transparante verwerking te waarborgen: a. a) de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen; b) de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd; c) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking van bezwaar te maken en het recht op gegevensoverdraagbaarheid; d) wanneer verwerking op artikel 6, lid 1, punt a) of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan; e) dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit; f) de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen; g) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. 3. De verwerkingsverantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie: a. a) binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt; b) indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of c) indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt. 4. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2. 5. De leden 1 tot en met 4 zijn niet van toepassing wanneer en voor zover: a. a) de betrokkene reeds over de informatie beschikt; b) het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, behoudens de in artikel 89, lid 1, bedoelde voorwaarden en waarborgen, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. In dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie; c) het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie- of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen; of d) de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Unierecht of lidstatelijke recht, waaronder een statutaire geheimhoudingsplicht. Artikel 15 - Recht van inzage van de betrokkene 1. De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie: a.