Inzage in X onder de AVG: beperkte ruimte voor beroep op bedrijfsgeheimen

Hof Amsterdam 14 april 2026, IEF23484, ECLI:NL:GHAMS:2026:961(X International Unlimited Company tegen [geïntimeerde]). In deze zaak staat de reikwijdte van het inzagerecht van artikel 15 AVG centraal in de context van interne moderatie- en logsysteemgegevens van X (voorheen Twitter). [geïntimeerde], een gebruiker van het platform X, werd in oktober 2023 geconfronteerd met een tijdelijke beperking van zijn account naar aanleiding van een tweet waarin het woord “kinderporno” voorkwam met een link naar een NOS-artikel. Deze beperking bleek achteraf onterecht en werd door X opgeheven zonder dat de verzoeker daarvan op de hoogte werd gesteld. Als reactie hierop heeft de [geïntimeerde] een inzageverzoek ingediend op grond van artikel 15 AVG. Daarbij vroeg hij onder meer om toegang tot interne registraties van het platform, waaronder het systeem dat binnen X bekend staat als [Y] (ook aangeduid als “Guano Notes”), waarin moderatiehandelingen, labels en andere account gerelateerde acties worden vastgelegd. De Rechtbank Amsterdam wees dit verzoek grotendeels toe en verplichtte X tot volledige inzage, op straffe van een doorlopende dwangsom. In hoger beroep lagen echter nog slechts twee geschilpunten voor: de vraag of ook inzage moest worden verleend in de [Y]/Guano Notes en de vraag of de opgelegde dwangsommen moesten worden gemaximeerd dan wel verhoogd. X kwam in dat kader op tegen het vonnis en beriep zich op de bescherming van bedrijfsgeheimen en de rechten en vrijheden van derden als grond om de inzage te beperken. Het gerechtshof stelt voorop dat gegevens die zijn opgenomen in interne systemen zoals [Y], voor zover zij betrekking hebben op handelingen rond het account van de betrokkene, moeten worden aangemerkt als persoonsgegevens in de zin van de AVG. Dit betekent dat zij in beginsel onder het bereik van het inzagerecht vallen. Daarmee sluit het hof aan bij de lijn van het C-487/21 (FF/CRIF), waarin is benadrukt dat het inzagerecht ertoe strekt de betrokkene in staat te stellen de rechtmatigheid van de verwerking daadwerkelijk te controleren. Tegelijkertijd onderkent het hof dat het inzagerecht niet absoluut is. Op grond van artikel 15 lid 4 AVG, gelezen in samenhang met artikel 23 AVG en artikel 41 UAVG, kan de verstrekking van gegevens worden beperkt ter bescherming van onder meer de rechten en vrijheden van anderen, waaronder bedrijfsgeheimen. In dat verband verwijst het hof mede naar de rechtspraak van het C-203/22 (Dun & Bradstreet Austria), waarin is benadrukt dat een dergelijke beperking steeds het resultaat moet zijn van een concrete en zorgvuldige belangenafweging.

Het hof werkt dit toetsingskader vervolgens gedetailleerd uit. Voor een geslaagd beroep op de bescherming van bedrijfsgeheimen is vereist dat de betrokken informatie daadwerkelijk geheim is, handelswaarde bezit vanwege die geheimhouding en dat redelijke maatregelen zijn genomen om die geheimhouding te waarborgen. Van de verwerkingsverantwoordelijke wordt verlangd dat zij per categorie gegevens concreet onderbouwt waarom verstrekking zou leiden tot aantasting van een beschermd belang. Bovendien mag een beperking van het inzagerecht er niet toe leiden dat de betrokkene feitelijk geen zinvolle controle meer kan uitoefenen op de gegevensverwerking. Toegepast op de verschillende categorieën gegevens komt het hof tot de conclusie dat het overgrote deel van de gevraagde informatie moet worden verstrekt. Dit geldt onder meer voor contentmoderatie-labels (zoals NSFW- en CSE-labels), advertentie- en brand safety-informatie, spam- en authenticiteitslabels, technische loggegevens en identificatienummers van berichten. Volgens het hof heeft X onvoldoende concreet gemaakt dat verstrekking van deze gegevens haar systemen of commerciële belangen daadwerkelijk in gevaar brengt. Algemene stellingen over mogelijke systeemmanipulatie of strategisch gedrag van gebruikers acht het hof ontoereikend. Slechts op twee punten acht het hof een beperking gerechtvaardigd. In de eerste plaats mogen de namen van medewerkers van X worden weggelaten, nu deze kwalificeren als persoonsgegevens van derden. In de tweede plaats mogen uitsluitend de exacte tijdstippen op het niveau van uur, minuut en seconde worden geredigeerd, terwijl de datum (dag) zichtbaar moet blijven. Het hof acht aannemelijk dat dergelijke gedetailleerde tijdsinformatie inzicht kan geven in de werking en snelheid van moderatiesystemen, hetgeen misbruik zou kunnen faciliteren. Verstrekking van gegevens op dag-niveau volstaat volgens het hof om de betrokkene in staat te stellen de relevante gebeurtenissen te reconstrueren. Ten aanzien van de opgelegde dwangsom oordeelt het hof dat deze in stand kan blijven. Gelet op de omvang en positie van X acht het hof een niet-gemaximeerde dwangsom niet disproportioneel, temeer nu is gebleken dat deze daadwerkelijk heeft bijgedragen aan naleving van de inzageverplichting. Ook de overige door X aangevoerde verweren, waaronder een beroep op de ondernemingsvrijheid, eigendomsbescherming en bepalingen uit de Digital Services Act, leiden niet tot een ander oordeel. Het hof bekrachtigt de beschikking van de rechtbank dan ook grotendeels en vernietigt deze slechts voor zover daarin geen uitzondering was gemaakt voor de namen van medewerkers en de exacte tijdstippen. Voor het overige dient X volledige inzage te verstrekken in de interne gegevens die betrekking hebben op verzoeker.

5.6.

X heeft geen (kenbare) grieven gericht tegen de vaststellingen van de rechtbank dat X verwerkingsverantwoordelijke is, dat [geïntimeerde] als gebruiker van X een inzageverzoek kan doen op grond van de AVG en dat de [Y] een chronologisch overzicht zijn van alle acties die op een account zijn genomen, wat betekent dat dit een persoonsgegeven is. [geïntimeerde] heeft zijn verzoek gegrond op het in artikel 15 AVG neergelegde inzagerecht. Dit recht beoogt de betrokkene in staat te stellen zich ervan te vergewissen dat de hem betreffende persoonsgegevens juist zijn en rechtmatig worden verwerkt (zie onder meer HvJEU 4 mei 2023, C‑487/21, EU:C:2023:369 (Österreichische Datenschutzbehörde en CRIF), punt 34 en de aldaar aangehaalde rechtspraak).

5.7.

X kan weigeren een kopie van persoonsgegevens te verstrekken indien dit noodzakelijk is voor de bescherming van de rechten en vrijheden van anderen (artikel 15 lid 4 AVG, zie ook artikel 41 lid 1 sub i UAVG). Hieronder kan mede de bescherming van bedrijfsgeheimen vallen. Deze materie, die kan worden gezien als een beperking op het recht van inzage als bedoeld in artikel 23 lid 1 onder i AVG, heeft de Uniewetgever uitgewerkt in de Richtlijn 2016/943 betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken daarvan. X kan daarom haar eigen recht en belang op het beschermen van bedrijfsgeheimen mee laten wegen bij het al dan niet geven van inzage in de persoonsgegevens van [geïntimeerde] . In overweging 63 van de considerans van de AVG is wel vermeld dat een dergelijke overweging er niet toe mag leiden dat een betrokkene alle informatie wordt onthouden.

5.8.

Richtlijn 2016/943, die is geïmplementeerd in de Wet bescherming bedrijfsgeheimen (Wbb), beoogt harmonisatie van de regels inzake de bescherming van bedrijfsgeheimen. Artikel 1 Wbb omschrijft een bedrijfsgeheim als informatie die aan de volgende voorwaarden voldoet:

( a) zij is geheim in die zin dat zij, in haar geheel dan wel in de juiste samenstelling en ordening van haar bestanddelen, niet algemeen bekend is bij of gemakkelijk toegankelijk is voor degenen binnen de kringen die zich gewoonlijk bezighouden met dergelijke informatie;

( b) zij bezit handelswaarde omdat zij geheim is; en

( c) zij is door degene die daar rechtmatig over beschikt, onderworpen aan redelijke maatregelen gezien de omstandigheden, om deze geheim te houden.

5.9.

Deze definitie ziet op informatie ten aanzien waarvan zowel een legitiem belang is bij het vertrouwelijk houden ervan als een legitieme verwachting ten aanzien van het bewaren van deze vertrouwelijkheid. Die informatie moet bovendien feitelijke dan wel potentiële handelswaarde hebben. Dat wordt geacht het geval te zijn als bijvoorbeeld het onrechtmatig verkrijgen, gebruiken of openbaar maken daarvan schadelijk zou kunnen zijn voor de belangen van de persoon die rechtmatig over de informatie zeggenschap heeft, aangezien daardoor afbreuk wordt gedaan aan onder meer de zakelijke of financiële belangen, de strategische posities of het concurrentievermogen van die persoon. Alledaagse informatie valt niet onder de definitie van een bedrijfsgeheim, evenmin als de ervaring en vaardigheden die werknemers vergaren tijdens de normale uitoefening van hun functie noch informatie die algemeen bekend is bij of gemakkelijk toegankelijk is voor personen binnen de kringen die zich gewoonlijk bezighouden met de desbetreffende soort informatie. Zie de considerans van Richtlijn 2016/943 onder 14.

5.10.

In geval van strijdigheid tussen enerzijds onverkorte uitoefening van het recht van inzage in de persoonsgegevens en anderzijds de rechten of vrijheden van anderen, moeten de betrokken rechten tegen elkaar worden afgewogen. Voor zover mogelijk moet ervoor worden gekozen de persoonsgegevens te verstrekken op een wijze die geen afbreuk doet aan de rechten en vrijheden van anderen. Daarbij moet rekening worden gehouden met hetgeen is bepaald in de hiervoor genoemde overweging 63 in de considerans van de AVG.

5.26.

[geïntimeerde] heeft ter zitting verklaard dat hij de namen van medewerkers van X niet nodig heeft om zijn rechten te kunnen uitoefenen. Gelet daarop, en omdat het hierbij gaat om persoonsgegevens van derden en de belangen van die derden bescherming verdienen, zal X de namen van medewerkers niet hoeven te verstrekken. Onduidelijk is echter welk belang X heeft bij het achterhouden van de afdeling die aan de diverse regels is gekoppeld. In de [Y] wordt slechts verwezen naar het Safety team, terwijl de betrokkenheid van die afdeling bij de diverse systemen al uit de toelichting van X blijkt.

5.27.

X heeft, zoals reeds vermeld, gesteld dat inzage in tijdstippen het mogelijk maakt te analyseren wanneer automatische detectie plaatsvindt en wanneer juist een menselijke review optreedt, en of handhaving in real-time gebeurt of op een later moment. Ter zitting heeft X daaraan toegevoegd dat de tijdstippen inzicht geven in de snelheid waarmee de systemen van X actie ondernemen op posts en dat geheimhouding daarvan van groot belang is om misbruik door bots tegen te gaan. Het hof volgt X daarin. Het is niet nodig dat [geïntimeerde] inzicht krijgt in de snelheid waarmee de systemen van X werken terwijl het prijsgeven daarvan wel het belang van X schaadt. Met het vrijgeven van de dag waarop X al dan niet geautomatiseerd heeft gereageerd op zijn posts, moet [geïntimeerde] voldoende in staat worden geacht de reacties van X aan zijn eigen posts te koppelen. Daarmee is het belang van [geïntimeerde] voldoende gediend en het belang van X voldoende beschermd. X dient [geïntimeerde] daarom wel inzage te geven in de dag van de acties maar niet in de tijdstippen.

Identificatienummers (oranje)

5.28.

X voert aan dat deze informatie is zwartgelakt omdat op basis daarvan exact kan worden achterhaald welke post aanleiding was voor de acties die in de [Y] zijn vastgelegd. Waarom dit ook voor [geïntimeerde] , als plaatser van de posts, geheim zou moeten blijven is niet nader duidelijk gemaakt. Het hof is van oordeel dat [geïntimeerde] juist recht op en belang heeft bij het koppelen van een actie aan een specifieke post. Inzage in de [Y] zou zonder die koppeling voor hem zinledig zijn. Er is dan ook geen grond voor het achterhouden van deze gegevens.