Het Regionaal Informatie- en Expertise Centrum (RIEC) is een netwerkorganisatie die gericht is op de integrale aanpak van georganiseerde ondermijnende criminaliteit. Het RIEC realiseert en ondersteunt de samenwerking tussen verscheidene convenantpartners, zoals gemeenten, provincies, het Openbaar Ministerie (OM), de Belastingdienst en de Nationale Politie.

Binnen dit samenwerkingsverband worden persoonsgegevens uitgewisseld en verwerkt. Gelet hierop kan aanleiding bestaan om op grond van de Algemene verordening gegevensbescherming (AVG) inzage te vragen in de verwerkte persoonsgegevens. Stel dat een dergelijk inzageverzoek binnenkomt bij het RIEC, dient het RIEC dit verzoek dan in behandeling te nemen? In de uitspraak van 22 februari 2022 is het Gerechtshof Arnhem-Leeuwarden (Hof) ingegaan op deze vraag (ECLI:NL:GHARL:2022:1322).

De grondslag van een inzageverzoek onder de AVG 

Een inzageverzoek kan worden ingediend op grond van artikel 15, eerste lid, van de AVG. Hieruit volgt dat de betrokkene het recht heeft om van de verwerkingsverantwoordelijke te verlangen hem mede te delen of er door deze verwerkingsverantwoordelijke persoonsgegevens over hem worden verwerkt. Indien dat het geval is, maakt de betrokkene aanspraak op inzage in deze gegevens.

Gekeken dient dus te worden of het RIEC aangemerkt kan worden als een verwerkingsverantwoordelijke als bedoeld in de AVG. Wat houdt het begrip verwerkingsverantwoordelijke dan in?

De definitie van verwerkingsverantwoordelijke 

Volgens artikel 4, zevende lid, van de AVG bepaalt de verwerkingsverantwoordelijke het doel en de middelen van de verwerking van persoonsgegevens. Het Hof constateert, met inachtneming van de rechtspraak van het Europese Hof van Justitie, dat het begrip verwerkingsverantwoordelijke ruim moet worden uitgelegd en dat dus geen hoge eisen worden gesteld aan de kwalificatie hiervan. Dit betekent echter niet dat elke betrokkenheid bij de verwerking van persoonsgegevens of het hebben van enig belang daarbij al voldoende is voor deze kwalificatie. Relevant is of en in hoeverre invloed wordt uitgeoefend op het doel en de middelen van de verwerking doordat op dat gebied actieve handelingen verricht worden of anderszins beslissende invloed wordt uitgeoefend op de (criteria voor) verwerking.

Valt het RIEC aan te merken als verwerkingsverantwoordelijke? 

Ten behoeve van de beoordeling of het RIEC als verwerkingsverwerkingsverantwoordelijke gekwalificeerd kan worden, heeft het Hof het Convenant, waarin de tussen de convenantpartners gemaakte afspraken zijn vastgelegd, en het bijbehorende Privacyprotocol bekeken. De conclusie is dat het RIEC niet is aan te merken als verwerkingsverantwoordelijke, maar de convenantpartners omdat zij de zeggenschap hebben over welke persoonsgegevens zij voor welk doel verwerken en uitwisselen. Het RIEC heeft volgens het Hof dan ook een instrumentele rol. Zij voert immers slechts de door de convenantpartners aangedragen projecten uit en faciliteert het delen van door die partners beschikbaar gestelde persoonsgegevens met de andere partners.

Wat moet het RIEC met een binnengekomen inzageverzoek onder de AVG?

De betrokkene dient het AVG-inzageverzoek te richten aan de convenantpartners nu zij verwerkingsverantwoordelijk zijn. Het in behandeling nemen van het inzageverzoek is dus niet aan het RIEC.

Heeft u advies nodig bij de behandeling van inzageverzoeken onder de AVG? Neem gerust contact op met een van onze juristen.