Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

Ons aanbod
Blog > Inzagerecht onder GDPR: wanneer is er sprake van misbruik?
Bart Van den Brande

Inzagerecht onder GDPR: wanneer is er sprake van misbruik?

23.03.2026 Leesduur: 9 minuten

Deel dit op sociale media

LinkedIn

Met het arrest van 19 maart 2026 in de zaak Brillen Rottler, C-526/24, trekt het Hof van Justitie een grens die in de praktijk al langer nodig was. Als DPO en als advocaat zien wij geregeld inzageverzoeken die weinig te maken hebben met transparantie over persoonsgegevens, maar des te meer met het verzamelen van bewijs, het opbouwen van druk in een conflict of het voorbereiden van een schadeclaim. In deze blog bekijken we wat het Hof daar nu over zegt, waarom dat ook onder Belgisch recht niet vreemd klinkt en hoe je daar als bedrijf best mee omgaat.

Wat besliste het Hof over het inzagerecht in de zaak Brillen Rottler?

De zaak draaide om een betrokkene die zich had ingeschreven op de nieuwsbrief van een onderneming en dertien dagen later een verzoek om inzage indiende. De onderneming weigerde daarop in te gaan omdat zij dat verzoek als misbruik beschouwde. Volgens haar wezen onder meer publiek beschikbare elementen erop dat die betrokkene zich systematisch inschreef op nieuwsbrieven van verschillende ondernemingen, vervolgens een inzageverzoek deed en daarna een schadeclaim instelde wanneer dat verzoek niet of niet volledig werd ingewilligd.

Het Hof aanvaardt dat ook een eerste verzoek om inzage in bepaalde omstandigheden als buitensporig kan worden beschouwd in de zin van GDPR en dus abusief kan zijn. Dat is het geval wanneer de verwerkingsverantwoordelijke aantoont dat het verzoek, hoewel het formeel aan de voorwaarden van GDPR voldoet, niet werd gedaan om kennis te nemen van de verwerking en de rechtmatigheid daarvan te controleren, maar om artificieel de voorwaarden te creëren voor een schadevordering onder GDPR. Het Hof zegt ook uitdrukkelijk dat een patroon van talrijke inzageverzoeken gevolgd door schadeclaims tegenover verschillende verwerkingsverantwoordelijken mee in rekening kan worden genomen om die abusieve bedoeling vast te stellen.

Het Hof voegt daar ook aan toe dat wie schadevergoeding vordert wegens een schending van GDPR, onder meer moet aantonen dat hij werkelijk schade heeft geleden, en dat geen schadevergoeding verschuldigd is wanneer het eigen gedrag van de betrokkene de doorslaggevende oorzaak van die schade is.  Dit onderdeel van het arrest is op zich ook bijzonder relevant en zal ongetwijfeld heel wat inkt doen vloeien. We komen hier in een latere blog zeker zelf ook nog eens op terug, maar focussen vandaag op de vraag of inzage überhaupt geweigerd kan worden.

Waarom dit arrest over de AVG cruciaal is voor elke onderneming

Voor ondernemingen is dit arrest belangrijk omdat het eindelijk duidelijk maakt dat zij niet verplicht zijn om elk formeel correct verpakt inzageverzoek zonder meer te behandelen alsof het noodzakelijk ook inhoudelijk legitiem is. Het inzagerecht blijft uiteraard fundamenteel. Een betrokkene moet in beginsel kunnen nagaan of persoonsgegevens over hem worden verwerkt en of dat op een rechtmatige manier gebeurt. Dat uitgangspunt verandert niet.

Wat dit arrest wel doet, is bevestigen dat het inzagerecht niet losstaat van zijn doel. Wanneer een verzoek in werkelijkheid niet dient om transparantie te krijgen over persoonsgegevens, maar om procedurele munitie te verzamelen of achteraf een claim te construeren, dan mag je dat ook als dusdanig benoemen. Voor wie in de praktijk met DSAR-verzoeken werkt, is dat geen theoretische finesse. In HR-conflicten, ontslagdiscussies, commerciële geschillen en persoonlijke vetes duiken dergelijke verzoeken geregeld op als bijkomend drukmiddel. Dat hoeft niet automatisch misbruik te zijn, maar het rechtvaardigt wel een kritische beoordeling van het doel en van de context.

De grens van het inzagerecht: rechtsmisbruik onder het Belgisch Burgerlijk Wetboek

Artikel 1.10 van Boek 1 van het Burgerlijk Wetboek bepaalt uitdrukkelijk dat niemand misbruik mag maken van zijn recht. De wet omschrijft dit als de uitoefening van een recht op een wijze die kennelijk de grenzen te buiten gaat van de normale uitoefening door een voorzichtig en redelijk persoon in dezelfde omstandigheden. Wie zijn recht misbruikt, ziet dat recht beperkt worden tot wat redelijk is. Bovendien moet de veroorzaakte schade in dat geval worden vergoed. 

Dat Belgisch kader sluit inhoudelijk goed aan bij wat het Hof van Justitie nu zegt over het inzagerecht onder GDPR. Het idee dat een recht zijn grens bereikt wanneer het op een kennelijk oneigenlijke manier wordt ingezet, is in ons recht allerminst nieuw. Het arrest Brillen Rottler maakt dus niet plots een exotische uitzondering op GDPR, maar past in een bredere en vertrouwde gedachte dat ook rechten van betrokkenen begrensd blijven door hun functie en door een normale, redelijke uitoefening.

Dat onderscheid is belangrijk. Wij zijn absoluut voorstander van transparantie en van een ernstige omgang met de rechten van betrokkenen. Bedrijven die persoonsgegevens verwerken, moeten daar correct en open over communiceren en moeten natuurlijk ook gepast inzage geven in wat ze met gegevens doen. Alleen betekent dat niet dat zij elk beroep op artikel 15 GDPR blind moeten inwilligen, zeker niet als alle omstandigheden erop wijzen dat het verzoek in werkelijkheid dient om bewijs te verzamelen voor een ander geschil of om een schadeclaim op te bouwen.

Wat moet je dan precies geven bij een inzageverzoek?

Daar loopt het in de praktijk vaak mis. Een betrokkene heeft recht op inzage in zijn persoonsgegevens en op een kopie daarvan. Dat betekent nog niet automatisch dat hij recht heeft op een kopie van elk document waarin zijn naam voorkomt.

Het uitgangspunt is dat het inzagerecht geen recht geeft op alle documenten die persoonsgegevens bevatten, maar op de persoonsgegevens zelf, tenzij kopie van het ruimere document nodig is om de verwerking te begrijpen en de rechten van de betrokkene zinvol te kunnen uitoefenen.

Veel ondernemingen voelen zich in de praktijk onder druk gezet om bij een inzageverzoek meteen volledige mailboxen, interne nota’s, evaluaties, verslagen of ruwe exports uit systemen door te sturen. Dat is zelden de juiste aanpak. Een goed antwoord op een DSAR bestaat uit een doordachte en juridisch onderbouwde reactie waarin je de persoonsgegevens van de betrokkene op een begrijpelijke manier meedeelt, samen met de verplichte contextinformatie, zonder meer prijs te geven dan GDPR effectief vereist.

Hoe ga je als bedrijf best om met inzageverzoeken onder GDPR?

Als bedrijf moet je een inzageverzoek altijd ernstig nemen, maar niet blind behandelen. Deze aandachtspunten helpen om correct en werkbaar te reageren.

  • Zorg dat intern vooraf duidelijk is wie DSAR-verzoeken ontvangt, registreert, beoordeelt en finaal aftekent. Wie pas bij een eerste verzoek begint uit te zoeken wie wat moet doen, verliest tijd en maakt sneller fouten.
  • Controleer eerst de identiteit van de verzoeker wanneer daar redelijke twijfel over bestaat. Voor je persoonsgegevens begint te verzamelen of door te sturen, moet je zeker zijn dat de verzoeker effectief de betrokkene is of geldig voor hem optreedt.
  • Baken het verzoek juridisch juist af. Een betrokkene heeft recht op inzage in zijn persoonsgegevens en op de informatie die artikel 15 GDPR voorschrijft, maar dat betekent niet automatisch dat hij recht heeft op elk document waarin zijn naam voorkomt of op volledige mailboxen, interne nota’s of evaluaties.
  • Geef wat GDPR vereist, maar niet meer dan dat. Een degelijk antwoord op een DSAR bestaat niet uit het blind doorsturen van volledige dossiers als dat niet nodig is om de persoonsgegevens en de verplichte contextinformatie mee te delen.
  • Kijk altijd ook naar de rechten en vrijheden van anderen. Wanneer documenten ook persoonsgegevens van collega’s, klanten of andere derden bevatten, moet je nagaan of anonimisering, afscherming of een gedeeltelijke beperking nodig is. Hetzelfde geldt wanneer vertrouwelijke bedrijfsinformatie of intern beraad in het gedrang komt.
  • Bewaak de timing. Als je bijkomende tijd nodig hebt of het verzoek niet volledig inwilligt, moet je de betrokkene daar tijdig over informeren en de redenen meedelen.

Zorg dat je GDPR-huishouding op orde is. Bedrijven die weten welke persoonsgegevens ze verwerken, waar die zich bevinden, wie toegang heeft en hoe lang ze worden bewaard, kunnen veel correcter en sneller reageren op een DSAR dan bedrijven die alles nog moeten uitzoeken zodra het verzoek binnenkomt.

En wat als je misbruik bij een inzageverzoek vermoedt?

Ook dan moet je zorgvuldig te werk gaan. Misbruik roepen zonder een onderbouwd dossier is zelden een goed idee. Deze aandachtspunten zijn in de praktijk het belangrijkst.

  • Begin niet vanuit buikgevoel, maar vanuit analyse. Het feit dat een verzoek vervelend, strategisch of conflictgedreven aanvoelt, volstaat niet. Je moet intern concreet beoordelen waarom je meent dat dit verzoek niet langer een normale uitoefening van het inzagerecht is.
  • Leg die analyse ook intern vast. Documenteer welke omstandigheden volgens jou relevant zijn, welke elementen in de richting van misbruik wijzen, en waarom die elementen volgens jou wel of niet volstaan om van rechtsmisbruik, kennelijke ongegrondheid of buitensporigheid te spreken.
  • Kijk uitdrukkelijk of de eigen GDPR-regeling voor kennelijk ongegronde of buitensporige verzoeken in beeld komt. GDPR laat in die gevallen toe om een redelijke vergoeding aan te rekenen op basis van de administratieve kosten of om te weigeren gevolg te geven aan het verzoek. De bewijslast ligt daarbij wel bij de verwerkingsverantwoordelijke.
  • Onderzoek altijd eerst of een minder ingrijpend alternatief volstaat. Een volledig weigeren antwoord is niet altijd de enige of beste optie. Soms kan je werken met anonimisering, uittreksels, een gestructureerd overzicht van de persoonsgegevens, een gedeeltelijke beperking of een meer gerichte reactie op het deel van het verzoek dat wel legitiem is.
  • Communiceer helder naar de betrokkene wat hij wel krijgt, wat hij niet krijgt en waarom niet. Als je bepaalde documenten niet verstrekt, bepaalde passages afschermt, kosten aanrekent of het verzoek geheel of gedeeltelijk weigert, moet je dat duidelijk en juridisch onderbouwd uitleggen.
  • Leg ook uit welke rechten de betrokkene daarna nog heeft. Als je weigert of niet volledig ingaat op het verzoek, moet je de betrokkene wijzen op de mogelijkheid om klacht neer te leggen bij de toezichthoudende autoriteit en om een rechtsmiddel in te stellen.
  • Wees terughoudend met een volledige weigering wanneer een gerichtere oplossing mogelijk is. Zeker in gevoelige dossiers is het vaak verstandiger om precies te motiveren welk deel van het verzoek problematisch is, en tegelijk wel te beantwoorden wat legitiem en proportioneel is.
  • Zorg dat de finale beslissing juridisch wordt gevalideerd. In dossiers waarin je misbruik inroept, kosten aanrekent of stukken gedeeltelijk achterhoudt, is het verstandig dat iemand met voldoende privacyrechtelijke en procedurele feeling die beslissing mee beoordeelt voor ze buitengaat.

De mening van Sirius Legal

Het is goed dat het Hof van Justitie nu uitdrukkelijk bevestigt wat in de praktijk al langer voelbaar was. Het inzagerecht onder GDPR is bedoeld om betrokkenen transparantie te geven over de verwerking van hun persoonsgegevens. Het is niet bedoeld als gratis discovery-mechanisme voor arbeidsconflicten, als hefboom in onderhandelingen of als verdienmodel via artificieel gecreëerde schadeclaims.

Wie persoonsgegevens verwerkt, moet transparant zijn en de rechten van betrokkenen respecteren. Daar bestaat geen discussie over. Maar bedrijven moeten ook niet plat op hun buik gaan wanneer een verzoek manifest voor een ander doel wordt ingezet. Juist omdat het inzagerecht zo belangrijk is, moet je ook durven benoemen wanneer het wordt misbruikt.

Vragen over hoe je als bedrijf moet omgaan met inzageverzoeken onder GDPR?

Ons team staat graag voor je klaar. Boek via de link hiernaast een gratis kennismakingsgesprek, of stuur een mailtje naar info@siriuslegal.be

Maak hier een afspraak

Naar onze agenda
Relevante tags Privacy en gegevensbescherming GDPR compliance
Sirius Shop

GDPR Helpdesk
3000 excl. btw
  • GDPR Helpdesk
  • Kickoff meeting of videocall
  • Razendsnel advies binnen de 2 werkdagen

Een permanente hulplijn voor ál je vragen over gegevensbescherming en GDPR door échte specialisten met jarenlange ervaring.

meer

Dataregister + advies
500 excl. btw
  • Dataregister template
  • Lijst verwerkersactiviteiten
  • 2u advies

Worstel niet langer met je dataregister! Bestel de template, inclusief lijst van verwerkersactiviteiten en 2u coaching en advies. 

meer

Start to GDPR pakket - toolkit
1500 excl. btw
  • Self Assessment
  • 3u coaching en advies
  • Modellencollectie

GDPR compliance van je bedrijf? Dat hoeft niet duur te zijn, onze handige toolkit helpt je al een eind op weg, 3u coaching en advies inbegrepen.

meer