Joris DeeneHet recht op inzage is een van de hoekstenen van de Algemene Verordening Gegevensbescherming (GDPR/AVG). Veel burgers vragen zich af hoe ver dit recht reikt: mag u als betrokkene eisen dat een organisatie, zoals een overheidsdienst of bank, exact meedeelt welke specifieke werknemer uw dossier heeft ingekeken en op welk tijdstip? Het antwoord is genuanceerd. Hoewel u recht heeft op inzage in de verwerkingsgeschiedenis (logbestanden), oordeelde het Gerecht van de Europese Unie in een arrest van 3 december 2025 (Zaken T-318/24 en T-362/24) dat dit niet automatisch betekent dat u de namen van individuele werknemers krijgt. Hun bescherming weegt in veel gevallen zwaarder.
De feiten en context
Deze juridische kwestie kwam aan bod in een zaak voor het Gerecht van de Europese Unie (hierna: het Gerecht) tussen een sollicitant en het Europees Bureau voor Personeelsselectie (EPSO).
De sollicitant, die aan verschillende selectieprocedures had deelgenomen, diende een verzoek tot inzage in op basis van Verordening (EU) 2018/1725. Dit een specifieke verordening voor EU-instellingen, die inhoudelijk nagenoeg identiek is aan de algemene GDPR die voor Belgische bedrijven en overheden geldt.
De sollicitant eiste onder meer volledige toegang tot de “logbestanden” van zijn profiel. Hij wilde niet alleen weten wanneer zijn dossier was geraadpleegd, maar ook door wie (de identiteit van de EPSO-medewerkers) en met welk specifiek doel. EPSO weigerde de namen van de medewerkers vrij te geven, verwijzend naar de bescherming van hun rechten en vrijheden. Daarnaast eiste de sollicitant het “herstel” van gegevens die EPSO na een bewaartermijn van twee jaar had verwijderd.
De beslissing van het Gerecht
Het Gerecht stelde de Europese Commissie (verantwoordelijk voor EPSO) op alle punten in het gelijk en wees de vorderingen van de sollicitant af.
1. Geen automatisch recht op namen van werknemers
Het Gerecht verwees naar het eerdere arrest Pankki S van het Hof van Justitie. Het oordeelde dat werknemers die persoonsgegevens verwerken onder het gezag van hun werkgever, niet beschouwd worden als “ontvangers” van die gegevens in de zin van het gegevensbeschermingsrecht. Hoewel logbestanden nuttige informatie bevatten over de rechtmatigheid van de verwerking, weegt het belang van de betrokkene om de identiteit van de werknemer te kennen doorgaans niet op tegen de rechten en vrijheden van die werknemers. Tenzij deze informatie essentieel is voor de betrokkene om zijn rechten uit te oefenen (bijvoorbeeld bij een concreet vermoeden van misbruik), hoeft de verwerkingsverantwoordelijke de namen van zijn personeel niet vrij te geven.
2. Verwijdering is definitief
Het Gerecht bevestigde dat het verwijderen van gegevens na het verstrijken van de bewaartermijn een rechtmatige verwerking is. Het gegevensbeschermingsrecht kent geen “recht op herstel” van rechtmatig verwijderde gegevens.
3. Inzage in data, niet in documenten
Tot slot herhaalde het Gerecht dat het inzagerecht betrekking heeft op de persoonsgegevens zelf, en niet op de documenten (zoals interne notities, chats of e-mails) als zodanig. Als de verwerkingsverantwoordelijke stelt dat bepaalde data niet bestaan, geldt er een vermoeden van rechtmatigheid dat de verzoeker moet weerleggen met bewijs.
Juridische analyse en duiding
Dit arrest bevestigt de bestendige lijn in de Europese rechtspraak over de balans tussen het inzagerecht (art. 15 AVG / art. 17 Verordening 2018/1725) en de rechten van derden.
Het kernpunt is de interpretatie van het begrip ‘ontvanger‘. De wetgeving verplicht organisaties om transparant te zijn over de ontvangers aan wie gegevens worden verstrekt. Echter, intern personeel dat handelt onder instructie van de verwerkingsverantwoordelijke, kwalificeert juridisch niet als ‘ontvanger’ (derde partij), maar als verlengstuk van de organisatie zelf.
Dit is van groot belang voor de praktijk. Een ongelimiteerd recht op inzage in wie intern welk dossier aanklikt, zou kunnen leiden tot een “naming and shaming” van werknemers of ambtenaren die simpelweg hun werk doen. Het Gerecht hanteert hier een evenredigheidstoets:
- De logbestanden moeten de frequentie en intensiteit van de raadplegingen tonen (zodat de burger kan controleren of dit abnormaal is).
- De identiteit van de raadpleger blijft afgeschermd, tenzij de burger aannemelijk maakt dat deze informatie noodzakelijk is voor een juridische procedure (bijv. bij een klacht over onrechtmatige inzage door een ex-partner die bij de dienst werkt).
Verder onderstreept het arrest het belang van dataminimalisatie en opslagbeperking. Het feit dat EPSO gegevens na twee jaar verwijderde, werd niet gezien als een inbreuk, maar juist als compliance met artikel 4(1)(e) (opslagbeperking) en artikel 19 (wissing). Het argument van de sollicitant dat deze verwijdering “onrechtmatig” was omdat hij de data nog nodig had, werd verworpen. Een organisatie mag en moet data wissen wanneer de noodzaak voor verwerking vervalt.
Wat dit concreet betekent
De impact van deze uitspraak reikt verder dan enkel EU-instellingen; de principes zijn één-op-één toepasbaar op de Belgische private en publieke sector onder de AVG.
- Voor de burger (betrokkene): U heeft recht om te weten wanneer uw dossier is ingekeken en waarom. Verwacht echter niet dat u standaard een lijst met namen van individuele bankbedienden, verpleegkundigen of ambtenaren ontvangt. U zult moeten aantonen waarom u die specifieke namen nodig heeft om uw rechten te verdedigen.
- Voor werkgevers en organisaties: U bent verplicht om logbestanden bij te houden (“logging”) om de veiligheid en rechtmatigheid van de verwerking te kunnen aantonen (accountability). Bij een inzageverzoek mag u echter de namen van uw werknemers anonimiseren of weglakken, tenzij er sprake is van een uitzonderlijke situatie. Dit beschermt uw personeel tegen onnodige blootstelling.
- Betreffende interne communicatie: Een inzageverzoek is geen ‘fishing expedition’ naar interne e-mails of Teams-chats. U moet enkel de persoonsgegevens uit die documenten verstrekken, niet de documenten zelf, tenzij ze onlosmakelijk verbonden zijn.
FAQ: Veelgestelde vragen
Heb ik recht op een lijst met namen van iedereen die mijn dossier heeft bekeken?
Nee, in principe niet. U heeft recht op inzage in de verwerkingsactiviteiten (tijdstippen, doeleinden), maar de specifieke namen van werknemers die hun werk deden, worden doorgaans beschermd om hun privacy te waarborgen, tenzij u bewijst dat u deze namen nodig heeft voor een rechtsvordering.
Kan ik eisen dat een organisatie mijn verwijderde gegevens terugzet?
Nee. Als een organisatie uw gegevens heeft verwijderd in overeenstemming met hun bewaartermijnen (retentiebeleid), is dit een rechtmatige handeling. De GDPR kent geen “recht op herstel” van correct verwijderde data.
Geldt dit ook voor interne notities en chatsessies over mij?
Het inzagerecht geeft u toegang tot uw persoonsgegevens, niet noodzakelijk tot de interne documenten zelf. Een organisatie kan volstaan met een overzicht van de verwerkte gegevens, zonder kopieën van alle interne chats of notulen te overhandigen, zolang u maar kunt controleren of de gegevens juist zijn.
Conclusie
Het recente arrest in de zaak WS tegen de Europese Commissie bevestigt dat het gegevensbeschermingsrecht geen absoluut recht is, maar altijd in balans moet worden gebracht met de rechten van anderen, inclusief werknemers van de verwerkende organisatie. Transparantie is verplicht, maar volledige openheid over interne personeelshandelingen is dat niet, tenzij er gegronde redenen voor zijn.
Dutch 
English