GDPR - AVG

Wanneer is een verzoek om inzage in persoonsgegevens (AVG) misbruik van recht?

Joris Deene
2 weken geleden
170 keer bekeken
6 minuten leestijd

Steeds vaker worden bedrijven geconfronteerd met personen die de Algemene Verordening Gegevensbescherming (AVG of GDPR) louter gebruiken om lucratieve schadevergoedingen te claimen. Het Hof van Justitie van de Europese Unie heeft in een arrest van 19 maart 2026 (C-526/24) verduidelijkt dat een bedrijf een verzoek om inzage in persoonsgegevens kan weigeren wegens rechtsmisbruik, zelfs als het om een allereerste verzoek gaat. Dit is toegestaan wanneer het bedrijf kan aantonen dat de aanvrager het verzoek uitsluitend indient om financieel gewin te creëren, en niet om zich te informeren over de verwerking van zijn gegevens.

De feiten en juridische context

In deze zaak meldde een particulier zich in maart 2023 aan voor de nieuwsbrief van een Duits optiekbedrijf, Brillen Rottler. Bij deze aanmelding gaf hij vrijwillig enkele persoonsgegevens door en stemde hij in met de verwerking ervan. Amper dertien dagen later stuurde hij de onderneming een verzoek tot inzage in zijn persoonsgegevens op grond van artikel 15 van de AVG.

De opticien weigerde dit verzoek in te willigen, met het argument dat de man zich schuldig maakte aan misbruik in de zin van artikel 12, lid 5 van de AVG. Hierop stapte de particulier naar de rechter en vorderde hij een schadevergoeding van 1.000 euro wegens een schending van zijn gegevensbeschermingsrechten. De opticien voerde ter verdediging aan dat uit publiek toegankelijke fora en blogs bleek dat deze persoon systematisch, en met misbruik van recht, nieuwsbrieven aanvroeg om direct daarna inzage én schadevergoedingen te eisen bij allerhande ondernemingen.

De beslissing van het Hof

Het Hof van Justitie diende zich uit te spreken over de grenzen van de AVG, en specifiek over de vraag of een eerste verzoek al als een “buitensporig verzoek” kan worden gekwalificeerd.

Het arrest van het Hof is duidelijk:

  • Een eerste verzoek kan buitensporig zijn: Hoewel de AVG verwijst naar verzoeken die “met name vanwege hun repetitieve karakter” buitensporig zijn , benadrukt het Hof dat dit slechts een voorbeeld is. Ook een eerste verzoek tot inzage kan bijgevolg als “buitensporig” en dus misbruikelijk worden beschouwd.
  • Intentie tot financieel gewin: Er is sprake van misbruik wanneer de betrokkene het inzagerecht niet gebruikt om de rechtmatigheid van de gegevensverwerking te controleren, maar de situatie kunstmatig creëert met als enige doel een voordeel of schadevergoeding af te dwingen.
  • Openbare bronnen als bewijs: De verwerkingsverantwoordelijke mag openbaar toegankelijke informatie — waaruit blijkt dat de verzoeker een patroon heeft van het instellen van schadeclaims bij meerdere bedrijven — gebruiken om het opzettelijke misbruik aan te tonen.

Tot slot stelde het Hof dat het onrechtmatig weigeren van een inzageverzoek op zich reeds immateriële schade (door controleverlies) kan opleveren. Echter, als het gedrag van de eiser (het bewust uitlokken van de inbreuk) de doorslaggevende oorzaak is van die schade, vervalt het recht op een vergoeding op grond van artikel 82 AVG.

Juridische analyse en duiding

Dit arrest verankert de toepassing van het algemene Unierechtelijke beginsel omtrent rechtsmisbruik stevig binnen de private handhaving van de AVG.

Advocaat-generaal Szpunar had in zijn conclusie al opgemerkt dat het recht op bescherming van persoonsgegevens geen absoluut recht is, maar getoetst moet worden aan de proportionaliteit. De AVG beoogt de grondrechten van natuurlijke personen te beschermen, maar deze doelstelling wordt pervers geüsurpeerd wanneer rechtsonderhorigen de verordening inzetten als ‘businessmodel’.

Juridisch-technisch gezien legt het Hof de bewijslast nadrukkelijk bij de verwerkingsverantwoordelijke (conform art. 12, lid 5 AVG). Om misbruik succesvol in te roepen, moet men voldoen aan een strenge tweestappentoets:

  1. Een objectief element: De omstandigheden wijzen uit dat het eigenlijke doel van de wetgeving (transparantie en controle ) in de praktijk niet wordt bereikt.
  2. Een subjectief element: De verzoeker had de effectieve intentie om een onterecht voordeel te bekomen door de regels in te roepen.

Interessant is ook de kwalificatie van de schade (art. 82 AVG). Waar traditioneel werd aangenomen dat er sprake moet zijn van een onrechtmatige verwerking, stelt het Hof dat louter het frustreren van het inzagerecht een grond voor vergoeding kan vormen. Echter, de causaliteitsketen wordt doorbroken wanneer de verzoeker de schade zelf doelbewust teweegbrengt.

Wat dit concreet betekent

Voor bedrijven, kmo’s en Data Protection Officers (DPO’s) betekent dit arrest een essentiële opluchting in de strijd tegen zogenaamde ‘privacy-trollen’. Het rechtssysteem biedt nu een solide handvat om zich te verweren tegen georkestreerde campagnes die louter uit zijn op een snelle financiële dading.

Aandachtspunten voor de praktijk:

  • Geen algemene afwijzing: Een verzoek mag nooit lichtzinnig worden afgewezen. De afwijzing vereist altijd een grondige beoordeling per individueel geval.
  • Dossieropbouw is cruciaal: Omdat de bewijslast bij uw bedrijf ligt, moet u het misbruik objectief staven. Documenteer de timing van de aanmelding versus het verzoek en verzamel (waar mogelijk) publieke informatie over het handelen van de verzoeker.
  • Procedures herbekijken: Controleer of uw interne privacyprotocollen richtlijnen bevatten voor het detecteren van buitensporige of frauduleuze verzoeken.

Veelgestelde vragen (FAQ)

Kan een bedrijf mijn eerste verzoek tot inzage in persoonsgegevens weigeren?
Ja, een bedrijf kan ook een eerste inzageverzoek weigeren als het kan aantonen dat u misbruik maakt van uw recht. Dit is bijvoorbeeld het geval wanneer u het verzoek uitsluitend indient om kunstmatig de voorwaarden te creëren om een schadevergoeding te kunnen claimen.

Mag een bedrijf online fora gebruiken om te bewijzen dat ik de AVG misbruik?
Ja. Het Hof van Justitie heeft bepaald dat publiek toegankelijke informatie, waaruit blijkt dat iemand in een groot aantal gevallen systematisch schadeclaims indient bij diverse bedrijven, mag worden gebruikt als bewijs om het misbruikelijke karakter van een aanvraag aan te tonen.

Heb ik altijd recht op een schadevergoeding als een bedrijf mijn inzageverzoek weigert?
Nee. Om recht te hebben op een schadevergoeding moet u daadwerkelijk aantoonbare schade hebben geleden en er moet een oorzakelijk verband zijn. Als uw eigen gedrag (bijvoorbeeld het bewust uitlokken van de fout) de doorslaggevende oorzaak is van uw verlies van controle over de gegevens, heeft u geen recht op vergoeding.

Conclusie

De Europese rechtspraak stelt duidelijk: gegevensbescherming is een fundamenteel recht, maar mag geen verdienmodel worden via misbruik van de wetgeving. Dit recente arrest geeft ondernemers in België de noodzakelijke rechtszekerheid om frauduleuze of georkestreerde verzoeken af te weren, mits dit misbruik nauwkeurig kan worden bewezen.

Heeft u te maken met een complexe zaak rond gegevensbescherming, of wordt uw bedrijf bestookt met twijfelachtige inzageverzoeken? Onze advocaten, gespecialiseerd in privacyrecht en GDPR-compliance, staan klaar om uw dossier te analyseren. Neem vandaag nog contact met ons op voor een eerste, deskundig advies.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics