Een voormalige ambtenaar van de gemeente Rotterdam werd in 2020 veroordeeld voor valsheid in geschifte en gewoontewitwassen na onderzoek door KPMG. De man verzocht KPMG om inzage in zijn verwerkte persoonsgegevens, maar kreeg bij de rechtbank het deksel op de neus. Bij het hof heeft hij nu alsnog succes. Met zijn inzageverzoek maakte hij geen misbruik van recht, oordeelt het gerechtshof Arnhem-Leeuwarden. Het inzageverzoek wordt dan ook alsnog grotendeels toegewezen.
Valse facturen
Tussen december 2009 en december 2011 diende de voormalige directeur voor € 1,5 miljoen aan valse facturen in, de betaling ervan werd grotendeels doorgesluisd naar een eigen bedrijfje. KPMG was ingeschakeld door de gemeente Rotterdam om onderzoek te doen naar de fraude en concludeerde dat een groot aantal valse facturen was ontvangen en betaald aan de ex-ambtenaar door de gemeentelijke dienst die als taak had de jeugdwerkloosheid aan te pakken. De civiele rechter veroordeelde de oud-ambtenaar in 2015 in eerste aanleg tot het terugbetalen van de ten onrechte gedeclareerde bedragen aan de gemeente. In 2020 werd hij door de rechtbank Rotterdam ook strafrechtelijk veroordeeld voor valsheid in geschrifte en gewoontewitwassen. Het hoger beroep tegen die veroordeling loopt nog.
Inzageverzoek
De man richtte na het uitkomen van de fraudezaak jarenlang zijn pijlen op KPMG en de KPMG-accountants die het onderzoek uit hadden gevoerd, met onder andere diverse onsuccesvolle tuchtzaken bij de Accountantskamer. Met een beroep op de AVG probeerde hij in 2022 ook om KPMG te bevelen hem binnen 4 weken een overzicht te verstrekken van de persoonsgegeven die het accountantskantoor over hem in de administratie had opgenomen. KPMG voerde echter met succes aan dat die gegevens niet hoeven te worden verstrekt. Volgens de rechtbank Midden-Nederland was namelijk inderdaad sprake van misbruik van recht, zoals het accountantskantoor aanvoerde. Het inzageverzoek was naar het oordeel van de rechtbank niet gericht op de bescherming van de persoonsgegevens van de man, maar op het verkrijgen van nieuwe informatie ten behoeve van zijn verdediging in allerlei juridische procedures.
Misbruik van inzagerecht
Het hof komt daarover nu in hoger beroep tot een heel ander oordeel. Het recht op bescherming van persoonsgegevens is een grondrecht dat voortvloeit uit artikel 8 EVRM en onder meer is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Daarin is ook bepaald dat eenieder recht heeft op toegang tot de over hem verzamelde gegevens. Misbruik van dit recht, dat is uitgewerkt in artikel 15 AVG, kan daarom niet snel worden aangenomen. Dat de voormalige ambtenaar wellicht (ook) een ander doel heeft met zijn inzageverzoek, zoals het gebruiken van bepaalde stukken in andere procedures, betekent dan ook nog niet dat hij misbruik maakt van zijn inzagerecht. Als het inzagerecht alleen wordt gebruikt om de verwerkingsverantwoordelijke (hier: KPMG) te schaden, kan wel sprake zijn van misbruik van het inzagerecht.
Anders dan KPMG aanvoert, is het hof van oordeel dat de voormalige ambtenaar aan de hand van een eind 2019 aan hem toegestuurd overzicht nog niet in staat kon worden geacht zijn AVG-rechten uit te oefenen. “Dat overzicht bevat een opsomming van e-mails en documenten met een datum en een algemene omschrijving zoals ‘communicatie met opdrachtgever in het kader van procedures’ met daarbij een opsomming van een aantal directe persoonsgegevens zoals de naam, de voorletters of het (e-mail)adres van [de betrokkene]. Weliswaar heeft KPMG in de begeleidende brief toegelicht wat de doeleinden van de verwerking van deze persoonsgegevens zijn, hoe deze gegevens zijn verkregen en hoelang ze worden bewaard, maar enige context ontbreekt. In het tweede overzicht dat KPMG in de procedure bij de rechtbank heeft overgelegd […] staat een algemene omschrijving van de persoonsgegevens die KPMG van [de betrokkene] heeft verwerkt, maar ontbreekt de letterlijke weergave daarvan, zoals bedoeld in artikel 15 lid 3 AVG.”
Controleren van juistheid en rechtmatigheid
De voormalige ambtenaar was aan de hand van die overzichten niet in staat om de juistheid en rechtmatigheid van de verwerking van zijn persoonsgegevens te controleren, oordeelt het hof. “Dat [de betrokkene] zelf al veel wist over de gegevensverwerking door KPMG, omdat hij had meegewerkt aan haar onderzoeken, maakt nog niet dat hij op de hoogte was van de concrete verwerking van zijn persoonsgegevens door KPMG. [de betrokkene] heeft in zijn stukken voldoende onderbouwd dat hij de (rechtmatigheid van de) verwerking van zijn persoonsgegevens wil kunnen controleren. Dat geldt zowel voor zijn inzageverzoek bij de rechtbank als voor zijn (herhaalde) verzoek bij het hof. Het hof volgt KPMG daarom niet in haar stelling dat het evident is dat [de betrokkene] zijn inzageverzoek in deze procedure uitsluitend gebruikt om informatie te ontvangen die hij in andere procedures zou kunnen gebruiken. Zoals KPMG ook zelf aanvoert, komt een betrokkene het recht op inzage toe zolang hij nog niet de mogelijkheid heeft om de gegevensverwerking te controleren. Dat is hier naar het oordeel van het hof het geval. [de betrokkene] maakt met zijn verzoeken in deze procedure daarom geen misbruik van recht.”
Dat de kwestie veel impact heeft gehad op KPMG en de medewerkers is niet relevant voor het inzagerecht, oordeelt het hof verder onder andere: “Het hof wil aannemen dat, zoals KPMG stelt, de tuchtprocedures, klachten en correspondentie van [de betrokkene] grote impact hebben (gehad) op KPMG, de accountants en haar andere medewerkers. De context waarin iemand inzage verzoekt heeft echter geen invloed op (de omvang van) het inzagerecht.”
Inzage in interne stukken KPMG
Het hof beoordeelt in het arrest vervolgens uitvoerig of KPMG met allerlei verstrekte overzichten alsnog heeft voldaan aan de inzageverzoeken van de voormalige ambtenaar. Dat is grotendeels niet het geval, spreekt het hof uit.
KPMG voerde onder andere aan dat het accountantskantoor geen inzage hoeft te verstrekken in allerlei e-mails en interne stukken vanwege de rechten en vrijheden van anderen, waaronder de rechten van KPMG zelf. “Daarbij onderstreept zij het belang voor alle medewerkers en derden die waren betrokken bij het onderzoek naar [de betrokkene] om zich vrij te kunnen beraden en van gedachte te kunnen wisselen, zonder dat zij ervoor hoeven te vrezen dat de vastlegging daarvan op een later moment zou moeten worden gedeeld met de persoon die onderwerp is van onderzoek. Ook voert zij aan dat interne stukken geen persoonsgegevens zijn. Daarnaast wijst zij op de geheimhoudingsplicht van haar accountants en de betrokken (in-house) advocaten.”
Anders dan KPMG stelt, is het naar het oordeel van het hof echter onjuist dat in het algemeen geen inzage in interne stukken hoeft te worden verstrekt, omdat dit geen persoonsgegevens zijn. “De definitie van het begrip ‘persoonsgegevens’ in artikel 4 onder 1 van de AVG is zeer ruim. Het gaat om “alle informatie over een (…) natuurlijke persoon”. Het was de bedoeling van de Uniewetgever om een ruime betekenis te geven aan dit begrip, dat niet beperkt is tot gevoelige of persoonlijke informatie maar zich potentieel uitstrekt tot elke soort informatie, zowel objectieve informatie als subjectieve informatie in de vorm van meningen of beoordelingen, voor zover die informatie de betrokkene betreft. Dat laatste is het geval wanneer die informatie wegens haar inhoud, doel of gevolg gelieerd is aan de betrokkene. Uit de door KPMG verstrekte eerste twee overzichten volgt al dat zich in de interne correspondentie en werkdocumenten persoonsgegevens van [de betrokkene] bevinden. Dat brengt mee dat [de betrokkene] in beginsel recht heeft op inzage in deze documenten.”
Belangenafweging
KPMG moet een afweging maken tussen het belang van de voormalige ambtenaar bij inzage in de persoonsgegevens en het belang van anderen bij bescherming van hun persoonlijke levenssfeer, oordeelt het hof: “Zoals KPMG terecht aanvoert, dient zij bij het verstrekken van inzage de rechten en vrijheden van anderen in acht te nemen (artikelen 15 lid 4 en 23 lid 1 aanhef en onder i AVG). Het gaat dan om de rechten en vrijheden van de medewerkers van KPMG en om die van derden, zoals personen bij wie KPMG informatie heeft opgevraagd in het kader van haar onderzoek. Deze verplichting geldt niet alleen voor de genoemde interne documenten, maar voor alle overige bronnen. Het hof wijst erop dat overwegingen die verband houden met de bescherming van de rechten en vrijheden van anderen uitsluitend een beperking van het inzagerecht rechtvaardigen, voor zover een dergelijke beperking de wezenlijke inhoud van die rechten en vrijheden onverlet laat en, zoals bepaald in artikel 23, lid 1, onder i AVG, een noodzakelijke en evenredige maatregel is ter waarborging van die bescherming. Dit brengt mee dat KPMG een afweging moet maken tussen het belang van [de betrokkene] bij inzage in de persoonsgegevens en het belang van die anderen bij bescherming van hun persoonlijke levenssfeer. Voor zover mogelijk moet KPMG ervoor kiezen om de persoonsgegevens te verstrekken op een wijze die geen afbreuk doet aan de rechten of vrijheden van die anderen. Daarbij moet KPMG er rekening mee houden dat deze belangenafweging er niet toe mag leiden dat [de betrokkene] alle informatie wordt onthouden.”
KPMG stelt weliswaar dat de vereiste belangenafweging is gemaakt, maar dat volgt volgens het hof niet uit de stukken. “Bij nagenoeg alle overige bronnen voert KPMG aan dat de belangen van derden (per definitie) aan de weg staan aan het verstrekken van inzage van de vastgelegde persoonsgegevens in die documenten. Daaruit volgt geen concrete belangenafweging per document, zoals wel door KPMG gemaakt moet worden. KPMG zal per document van de overige bronnen moeten beoordelen of het verstrekken aan [de betrokkene] van de in dat document vastgelegde persoonsgegevens afbreuk doet aan de rechten en vrijheden van derden en of zij aan die rechten en vrijheden tegemoet kan komen door bijvoorbeeld een beperkter deel van de persoonsgegevens in dat document toe te voegen aan het verwerkingsoverzicht. Wanneer het in een document bijvoorbeeld gaat om feitelijke gegevens over [de betrokkene] en de constateringen tijdens het onderzoek, zullen de rechten van de derde die die feitelijke gegevens heeft vastgelegd, minder snel in het geding zijn dan wanneer die derde een subjectieve kwalificatie geeft aan de gedragingen van [de betrokkene].”
Wettelijke geheimhoudingsplicht accountants en advocaten
Dat is anders voor de persoonsgegevens in de overige bronnen die onder de wettelijke geheimhoudingsplicht vallen van de betrokken accountants van KPMG of van de betrokken (in-house) advocaten, oordeelt het hof. “[de betrokkene] heeft in punt 3 van zijn gewijzigde verzoek terecht toegevoegd dat geen inzage hoeft te worden verstrekt in de vertrouwelijke communicatie tussen KPMG en haar advocaten. Datzelfde geldt voor de gegevens die onder de wettelijke geheimhoudingsplicht van de accountants vallen of waarvan de verstrekking tot een schending van de voor hen geldende gedragsregels zou leiden. Dat volgt uit artikel 23 lid 1 onder g AVG die het wettelijke beroepsgeheim beoogt te waarborgen. Dit brengt mee dat KPMG geen inzage hoeft te verschaffen in de persoonsgegevens die zich bevinden in documenten die vallen onder het wettelijke beroepsgeheim van haar accountants of van de betrokken (in-house) advocaten. KPMG hoeft bovendien geen inzage te verschaffen in de persoonsgegevens wanneer het verschaffen van inzage in strijd zou zijn met het in de artikelen 16 en 17 van de Verordening gedrags- en beroepsregels accountants geregelde beginsel van vertrouwelijkheid. Het hof tekent daarbij aan dat dit beginsel niet absoluut is. Het heeft allereerst alleen betrekking op gegevens met een vertrouwelijk karakter, dus niet op alle gegevens waarover de accountant in zijn hoedanigheid de beschikking krijgt. Bovendien geldt de verplichting tot geheimhouding op grond van dit beginsel niet voor gegevens of inlichtingen die de accountant krachtens wettelijk voorschrift dient te verstrekken. Dat betekent naar het oordeel van het hof dat het beginsel van vertrouwelijkheid niet per definitie in de weg staat aan de verplichting van KPMG om op grond van artikel 15 AVG inzage te verstrekken, maar dat het er wel toe kan leiden dat KPMG met een beroep op dat beginsel inzage in bepaalde persoonsgegevens kan weigeren, bijvoorbeeld omdat die verstrekking het beginsel van de vertrouwelijkheid in de kern zou raken. Artikel 23 lid 1 onder g AVG is dan ook geen categorische beperking van het recht op inzage voor alle gegevens die de accountant onder zich heeft, maar biedt de accountant wel de mogelijkheid om inzage te weigeren in persoonsgegevens waarvan de verstrekking het beginsel van de vertrouwelijkheid in de kern zouden raken. Het is aan KPMG om per document te motiveren dat daarvan sprake is.”
Het hoger beroep van de voormalige ambtenaar slaagt dus grotendeels, en KPMG zal binnen drie maanden alsnog inzage moeten geven in veel stukken over de periode van 1 januari 2012 tot 1 oktober 2019.