Examenresultaten zijn persoonsgegevens

Schriftelijke antwoorden op een (beroeps)examen en bijbehorende opmerkingen van de examinator vormen sinds kort persoonsgegevens zoals bedoeld in artikel 2, onder a van de Richtlijn 95/46/EG. Dit was het oordeel van het Hof van Justitie van de Europese Unie naar aanleiding van een prejudiciële vraag betreffende de Richtlijn ter bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

De aanleiding voor het verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU door de Ierse Supreme Court was een student-accountant die viermaal voor een accountancy examen was gezakt en in beroep ging toen de beroepsorganisatie de examens met bijbehorend commentaar niet wilde verstrekken.

De uitspraak is opvallend te noemen in een tijd van modernisering en digitalisering, zie bijvoorbeeld ons artikel over de ontwikkeling van digitale examens aan Nederlandse universiteiten.

Dat (beroeps)examens onder de definitie van persoonsgegevens vallen betekent onder meer dat kandidaten het recht hebben de persoonsgegevens in te zien. Het doel van de Unierichtlijn is daarbij het waarborgen van de persoonlijke levenssfeer van natuurlijke personen in verband met de verwerking van gegevens die op hen betrekking hebben. Dat deze gegevens onder persoonsgegevens vallen brengt gevolgen met zich mee voor zowel het bewaren van (beroeps)examens als het verstrekken van (beroeps)examens in Nederland.

Het bewaren van persoonsgegevens is volgens de Autoriteit Persoonsgegevens in Nederland enkel toegestaan wanneer de gegevens noodzakelijk zijn en de bewaartermijn niet is verlopen. Organisaties zijn verantwoordelijk voor de vernietiging van de gegevens wanneer deze niet meer nodig zijn voor het doel waarvoor ze oorspronkelijk zijn verzameld of worden gebruikt. De gegevens mogen daarbij worden bewaard in het archief als dit bestemd is voor historische, statistische of wetenschappelijke doeleinden. Er is op grond van de Wet bescherming persoonsgegevens (Wbp) geen concrete bewaartermijn voor persoonsgegevens. Wel zijn er concrete bewaartermijnen in andere wetten opgenomen waar organisaties zich aan moeten houden, zie bijvoorbeeld de Belastingwetgeving.

Een organisatie mag – misschien nog wel belangrijker – geen persoonsgegevens doorgeven aan personen of andere instanties. De algemene regel is dat de verstrekking hiervan alleen mag plaatsvinden als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Of dit het geval is, hangt in goed juridisch taalgebruik af van de concrete omstandigheden van het geval.

Artikel 2 sub a Richtlijn 95/46EG
Iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna, betrokkene’ te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.