Na een lange behandeling (sinds 2012) is recent, 5 oktober, de Wet open overheid (“Woo”) aangenomen in de Eerste Kamer. Door de publicatie in het Staatsblad (Staatsblad 499 en 500 voor de wijzigingswet) in oktober is duidelijk dat de Woo per 1 mei 2022 de Wet openbaarheid bestuur (“Wob”) vervangt. Deze majeure wijziging heeft ook gevolgen voor de dagelijkse privacypraktijk. In deze bijdrage zoomen we in op een belangrijke wijziging van de Woo, die moet leiden tot meer actieve openbaarmaking. Het fenomeen dat de overheid uit zichzelf, dus zonder een verzoek daartoe, informatie openbaar maakt.
Een opvallende wijziging van de Woo ten opzichte van de Wob is dat de nadruk moet komen te liggen op het door de overheid zelf openbaar maken van informatie. Hoewel de Wob hier ook al een mogelijkheid toe gaf op grond van artikel 8, werd hier zelden gebruik van gemaakt. Doordat die mogelijkheid onder de Wob wel bestond – en soms speciale wetten ook dwingen tot actieve openbaarmaking – zag het College bescherming persoonsgegevens (“Cbp”), de voorloper van de Autoriteit Persoonsgegevens, in 2009 al aanleiding richtsnoeren te publiceren over de privacyaspecten die bij actieve openbaarmaking in acht genomen moeten worden.(1) Volgens het Cbp was dit nodig omdat geen eenduidige regels bestonden voor het ‘uit eigen beweging verstekken van overheidsinformatie’.
Met de Woo wordt een met artikel 8 van de Wob vergelijkbare bepaling geïntroduceerd, die de actieve openbaarmakingsplicht als inspanningsverplichting verankert in de wet. Daarenboven wordt met de Woo verduidelijkt dat ook bij actieve openbaarmaking al snel sprake is van een besluit met mogelijkheden van bezwaar en beroep. Dit houdt in dat betrokkenen om een zienswijze moet worden gevraagd of zij openbaarmaking wel een goed idee vinden. In zoverre kan de betrokkene zelf dus zijn (ook privacy gerelateerde) belangen naar voren brengen en door een rechter laten toetsen of die belangen niet aan openbaarmaking in de weg staan.
Nieuw aan de Woo is dat de wet vervolgens ook specifieke categorieën van documenten aanwijst die actief openbaar gemaakt moeten worden. In het lange artikel 3.3 zien we documenten staan waarbij openbaarmaking – binnen een bepaalde termijn na vaststelling of ontvangst van een document – voorop staat. Voorbeelden van de in dit artikel genoemde documenten zijn vergaderstukken, agenda’s, besluitenlijsten, onderzoeken, Woo-besluiten, andere beschikkingen en diverse adviezen.
Openbaarmaking bij de in lid twee genoemde documenten is het uitgangspunt, tenzij belangen daaraan in de weg staan. Die belangen staan opgesomd in artikel 5.1 en artikel 5.2. Daarin staat onder andere dat bescherming van bijzondere persoonsgegevens of (meer algemeen) bescherming van de persoonlijke levenssfeer soms aan openbaarmaking in de weg staat. Dit houdt in dat een bestuursorgaan bij ieder document moet beoordelen of het openbaar gemaakt moet (of kan) worden. Dit vergt de nodige inspanning én alertheid van het bestuursorgaan. Want alhoewel het ‘alle informatie berustende onder het bestuursorgaan’ betreft, gelden wel degelijk uitzonderingen op de verplichting tot openbaarmaking.
In de Woo zijn drie privacy gerelateerde uitzonderingen opgenomen die de verplichting tot openbaarmaking begrenzen. Allereerst geldt voor bijzondere en strafrechtelijke persoonsgegevens (par. 3.1 en 3.2 van de UAVG) dat openbaarmaking achterwege blijft, tenzij toestemming is verkregen of de persoonsgegevens reeds door de betrokkene openbaar zijn gemaakt. Ten tweede geldt voor het bsn (artikel 46 UAVG), dat deze niet openbaar wordt gemaakt. Deze eerste twee uitzonderingen gelden als absolute uitzonderingen. Wanneer het dergelijke persoonsgegevens betreft, dan mag deze informatie niet openbaar worden gemaakt.
Een relatieve uitzondering vormt de eerbiediging van de persoonlijke levenssfeer. Het gaat hierbij om alle andere tot personen herleidbare informatie. De relatieve aard maakt dat bij dit soort informatie altijd per geval een afweging moet worden gemaakt tussen het belang bij de openbaarmaking en de eerbiediging van de persoonlijke levenssfeer. Weegt deze laatste zwaarder, dan blijft openbaarmaking achterwege. Deze drie uitzonderingen moeten dan ook altijd worden betrokken bij de keuze om wel of niet tot (gehele of gedeeltelijke) actieve openbaarmaking over te gaan. Ook dus als het gaat om de verplicht openbaar te maken documenten zoals genoemd in artikel 3.3 Woo.
Naast de genoemde uitzonderingen is het van belang dat de Woo ruimte laat voor het bestuursorgaan om persoonsgegevens openbaar te maken. Hoewel gevoelsmatig op gespannen voet met de AVG, is duidelijk dat ook de AVG hiervoor enige ruimte biedt. Artikel 86 AVG geeft de mogelijkheid om toegang tot officiële documenten en de verwerking van persoonsgegevens in dat kader mogelijk te maken. Als de eerbiediging van de persoonlijke levenssfeer niet in de weg staat aan openbaarmaking op grond van de Woo, is die verwerking van persoonsgegevens mogelijk op grond van artikel 6, eerste lid, onderdeel c, van de AVG (aldus de wetgever in de geconsolideerde toelichting(2)). Die verwerking kan noodzakelijk zijn om te voldoen aan de verplichting van de Woo.
Dat laat evenwel onverlet dat als nog op grond van de AVG beoordeeld moet worden of openbaarmaking daadwerkelijk noodzakelijk is om aan die wettelijke grondslag te voldoen. Indien de AP haar lijn (en die van het Cbp) volgt uit 2009 en 2017(3) ten aanzien van openbaarmaking van persoonsgegevens, dan dient een strikte noodzakelijkheidstoets uitgevoerd te worden. Zo stelde de AP in 2017 dat voor de actieve openbaarmaking van besluitenlijstenlijsten(4) en om aan de Wob te voldoen het doorgaans niet noodzakelijk is ook persoonsgegevens openbaar te maken. Alleen indien de verwerking van persoonsgegevens dus noodzakelijk is om aan de wettelijke openbaarmakingsplicht te voldoen, is verwerking van persoonsgegevens op basis van deze wettelijke verplichting als rechtmatige grondslag mogelijk.
Zodoende zal de meer concrete verplichting tot het actief openbaar maken van grote hoeveelheden data meer leiden tot het moeten beoordelen of en in welke mate sprake is van persoonsgegevens en of de verwerking daarvoor (door publicatie) noodzakelijk is. Dat dit een precaire aangelegenheid is, bleek eerder dit jaar nog. De gemeente Utrecht dacht geanonimiseerd Wob-besluiten te publiceren. Door de naamgeving van bestanden bleek dit evenwel niet helemaal goed te zijn gedaan waardoor sprake was van een datalek.(5) Dit laat maar zien dat de Woo continue alertheid vraagt, ook als het gaat om tot personen herleidbare informatie. Gelukkig laat de wetgever de praktijk straks wennen aan het actief openbaar maken. De verplichtingen van artikel 3.3 zullen gefaseerd ingevoerd worden (via artikel 10.2). Voor het overige treedt de Woo per direct op 1 mei 2022 in werking en bestaat de Wob dus niet meer!
CBP Richtsnoeren ‘Actieve openbaarmaking en eerbiediging van de persoonlijke levenssfeer’, 13 augustus 2009
Bijlage 2 bij Kamerstukken II 2019/20, 35 112, nr. 9.
Zoals weergegeven in de brief van de AP aan de VNG inzake de actieve publicatie van persoonsgegevens door gemeenten, 13 oktober 2017
Dit betrof de grondslag in artikel 60 Gemeentewet die een vergelijkbare verplichting bevat als de openbaarmakingsplicht in de Woo
Beveiligingsincident bij gemeente Utrecht; namen van indieners Wob-verzoeken gepubliceerd