GDPR-inzagerecht weigeren? Hof van Justitie voorziet een opening, maar een schadeclaim blijft lonken

Een klant vraagt inzage in zijn persoonsgegevens. U vermoedt misbruik van diens inzagerecht en weigert de inzage. Mag dat? En wat als die klant vervolgens een schadevergoeding eist?

Dat is precies de situatie waarover het Hof van Justitie van de Europese Unie zich op 19 maart 2026 uitsprak. Een consument schreef zich in op een nieuwsbrief van een Duitse onderneming en vroeg twee weken later inzage in zijn persoonsgegevens. De onderneming weigerde dat inzagerecht te verlenen omdat zij vermoedde dat de klant systematisch zulke verzoeken deed om schadeclaims uit te lokken. De zaak kwam voor de Duitse rechter, die hierover een prejudiciële vraag stelde aan het Hof van Justitie van de Europese Unie.

Het Hof van Justitie beslist niet wie in de concrete zaak gelijk heeft, maar legt in zijn uitspraak wel de spelregels rond misbruik en weigering van inzagerecht vast.

Ten eerste: een inzageverzoek weigeren kan, maar alleen bij echt misbruik. Het Hof stelt dat zelfs een eerste inzageverzoek, in uitzonderlijke omstandigheden, al meteen “buitensporig” kan zijn.

Toch moet dit met enige voorzichtigheid benaderd worden: u moet als onderneming kunnen aantonen dat de betrokkene zijn recht niet gebruikt om zijn gegevens te controleren, maar om bijvoorbeeld bewust een schadeclaim uit te lokken. Dat bewijs moet concreet zijn en rekening houden met alle omstandigheden.

Ten tweede: het Hof van Justitie maakt duidelijk dat een klant een vergoeding kan vragen wanneer zijn recht op inzage wordt geschonden. Dat kan ook zonder dat er iets mis is met de verwerking van de gegevens zelf. Een onterechte weigering volstaat om het recht op inzage te schenden.

Ten derde: niet elke schending van het recht op inzage leidt automatisch tot schadevergoeding. De betrokkene moet aantonen dat hij of zij effectief schade heeft geleden én dat die schade het gevolg is van de schending. Die schade kan bijvoorbeeld bestaan uit verlies van controle over persoonsgegevens of onzekerheid daarover, maar dat moet concreet bewezen worden.

Wat betekent dit voor uw onderneming?

Ten eerste dat een (verdacht) inzageverzoek weigeren toch riskant blijft. Alleen wanneer u misbruik echt kan aantonen, maakt u een kans om die weigering te kunnen verantwoorden. In alle andere gevallen kan een weigering net de basis vormen voor een schadeclaim.

Tegelijk biedt het arrest wel een eerste duidelijke verdedigingslijn tegen iemand die het systeem probeert te misbruiken. Hoe hoog de lat zal liggen om een inzageverzoek te weigeren zal in de praktijk evenwel nog verder moeten worden ingevuld door nationale rechters. Duidelijk is in elk geval dat wanneer een inzageverzoek uitsluitend bedoeld is om kunstmatig een schadeclaim uit te lokken, dit als grond gebruikt kan worden om het inzageverzoek te weigeren (op voorwaarde dat dit misbruik bewezen kan worden).

De boodschap blijft: behandel inzageverzoeken zorgvuldig, documenteer uw beslissingen en onderschat het risico op schadeclaims niet.