Enkele lessen uit recente beslissingen van GBA

Author info

Voor de zomer schreven we al dat de recent opgerichte geschillenkamer van de Belgische Gegevensbeschermingsautoriteit (GBA) voor het eerst een GDPR boete had opgelegd aan een burgemeester. Het ging in die zaak om een geldboete van € 2000 voor het overtreden van het finaliteitsbeginsel. Los van deze zaak publiceerde de GBA nog enkele andere interessante beslissingen op haar website van zaken waarin er geen geldboete werd opgelegd. In deze zaken werd meestal een corrigerende maatregel opgelegd, zoals een berisping, een waarschuwing of een bevel. We lijsten ze hieronder voor u op en trekken enkele lessen uit deze beslissingen.

Overzicht van recent genomen beslissingen

We lichten onderstaand recent genomen belissingen in negen verschillende zaken toe. 

Zaak 1

Onderwerp: Klacht over het niet verlenen van inzage naar aanleiding van intrekking van benoeming.
Maatregel: Berisping

In deze zaak klaagde de klager omdat de verweerder, de FOD Volksgezondheid, niet antwoordde op zijn vraag waarom hem de functie van plaatsvervangend lid van de geneeskundige commissie van de provincie Limburg werd ontnomen. De klager verstuurde zijn verzoek tot inzage aan de FOD Volksgezondheid zowel per aangetekend schrijven, gewone post als per e-mail, maar hij kreeg geen reactie, zelfs niet na een bevel aan de verweerder van de Gegevensbeschermingsautoriteit.

De betrokkene heeft onder de GDPR het recht om uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en inzage te verkrijgen (artikel 15 GDPR). De verwerkingsverantwoordelijke moet in principe binnen een maand na ontvangst van het verzoek antwoorden. De geschillenkamer stelde dat de verweerder verschillende fouten had begaan, waaronder het onzorgvuldig handelen, het niet beantwoorden van het verzoek, het disproportioneel beperken van diens rechten, het niet naleven van een bevel van de geschillenkamer, en het laattijdig verdelen van de interne post.

Daarnaast vroeg de klager ook om hersteld te worden in zijn positie en wou hij een schadevergoeding bekomen, maar de geschillenkamer legde de FOD Volksgezondheid enkel een berisping op. De Gegevensbeschermingsautoriteit heeft de bevoegdheid om een administratieve geldboete op te leggen, maar niet om een schadevergoeding toe te kennen. Daarvoor dient de betrokkene zich tot een rechtscollege te wenden.

Zaak 2

Onderwerp: Klacht over het ontvangen van verkiezingsdrukwerk.
Maatregel: Geen, want de zaak werd geseponeerd.

Zoals reeds hierboven in de inleiding aangehaald kreeg een burgemeester de eerste GDPR-boete in België voor het niet respecteren van het finaliteitsbeginsel bij het versturen van verkiezingsdrukwerk. In een andere zaak, ook in de verkiezingscontext, werd een klacht tegen het ontvangen van verkiezingsdrukwerk door de geschillenkamer geseponeerd.

Het gebruik van kiezerslijsten voor het versturen van verkiezingsdrukwerk is immers wettelijk geregeld in het Koninklijk Besluit van 16 juli 1992 betreffende het verkrijgen van informatie uit de bevolkingsregisters en uit het vreemdelingenregister. Het verkiezingsdrukwerk vermeldde de contactgegevens van de verantwoordelijke uitgever, maar voor wat betreft het uitoefenen van het recht van bezwaar (artikel 21 GDPR) merkte de geschillenkamer op dat ook de contactgegevens van de verwerkingsverantwoordelijke vermeld moeten worden. Deze inbreuk was echter van zo een geringe waarde dat de zaak werd geseponeerd.

Zaak 3

Onderwerp: Klacht over het gebruik van cc in plaats van bcc voor een globale e-mail.
Maatregel: Berisping

In deze zaak klaagde de klager omdat het cc-veld werd gebruikt in plaats van het bcc-veld voor een globale e-mail. Hierdoor was het e-mailadres van de klager, een klant van de verweerder, zichtbaar voor alle andere klanten van de leverancier.

De verweerder richtte een e-mail aan al zijn klanten die een BTW-attest van 6% moesten ondertekenen. De klager merkte dit op en vroeg per e-mail om uitleg aan de leverancier. Deze laatste diende de klager blijkbaar van een ongepast antwoord. In zijn conclusie van antwoord aan de geschillenkamer bood de verweerder zijn excuses hiervoor aan. Bovendien gaf hij zijn fout toe door te stellen dat hij “helaas” gebruik had gemaakt van “kopie” (cc) in plaats van “blinde kopie” (bcc).

De verweerder had het finaliteitsbeginsel geschonden en niet voldoende technische en organisatorische maatregelen genomen, maar de geschillenkamer van de GBA oordeelde dat het opleggen van een berisping ten aanzien van de verweerder volstaat als sanctie. De verweerder benadrukte dat hij geen schade had berokkend aan de klager.

Er zijn echter situaties denkbaar waarbij de klager wel schade had kunnen lijden. Het één en ander is afhankelijk van de partijen in kwestie en het voorwerp van de e-mail, maar er valt te denken aan imagoschade of een verlies aan cliënteel. Daarnaast zou er ook een contractuele confidentialiteitsverplichting kunnen worden geschonden, met als gevolg dat mogelijks een schadebeding in werking treedt.

Zaak 4

Onderwerp: Klacht over een bewakingscamera in een studentenkeuken.
Maatregel: Bewakingscamera wordt verboden en verwijdering van de gegevens.

In deze zaak installeerde de verhuurder van studentenkamers een bewakingscamera in de gemeenschappelijke keuken, maar een huurder was niet akkoord en diende een klacht in bij de Gegevensbeschermingsautoriteit. De huurder was van oordeel dat dergelijke camera een disproportionele inbreuk op haar privacy uitmaakt.

De verhuurder stelde dat deze bewakingscamera werd geïnstalleerd om vandalisme in de studentenkeuken door de huurders en hun bezoekers te voorkomen. Na een discussie tussen beide betrokken partijen over de huurovereenkomst en een al dan niet geldige kennisgeving van de bewakingscamera, oordeelde de geschillenkamer dat de bewakingscamera verboden is. Met andere woorden, de verhuurder moest de bewakingscamera verwijderen, inclusief de gemaakte beelden.

Naast de camerawetgeving moet de eigenaar van de bewakingscamera, de verhuurder, ook de GDPR naleven als de household exemption niet van toepassing is. Hij treedt immers op als verwerkingsverantwoordelijke en moet voor het verwerken van persoonsgegevens buiten een zuiver persoonlijke en huishoudelijke activiteit een rechtsgrondslag hebben. Daarnaast moeten ook de GDPR-beginselen worden nageleefd, waaronder het beginsel van “minimale gegevensverwerking” (data minimization). Dit houdt in dat de verwerkte persoonsgegevens, in dit geval de camerabeelden, toereikend moeten zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Volgens de geschillenkamer was het plaatsen van een bewakingscamera in een gemeenschappelijke ruimte in strijd met dit beginsel, want huurders hebben geen keuze om deze ruimte niet te betreden.

In verband met bewakingscamera’s werkt de European Data Protection Board (EDPB) momenteel op Europees niveau aan richtlijnen bij het verwerken van persoonsgegevens door zogenaamde video devices. Het ontwerp van deze richtlijnen vermeldt dat de toepassing van de household exemption restrictief en in concreto moet worden beoordeeld. Verschillende aspecten kunnen bij deze beoordeling van belang zijn. Zo dient bijvoorbeeld in rekening te worden gebracht of de eigenaar van de bewakingscamera (de verhuurder) een persoonlijke band heeft met de betrokkene (de huurder). Indien dat niet het geval is, kan de verhuurder moeilijk een beroep doen op de household exemption.

Zaak 5

Onderwerp: Klacht over het schenden van het finaliteitsbeginsel van whatsapp-gegevens.
Maatregel: Berisping

In deze zaak ging het eveneens om een klacht in de verkiezingscontext. De klager had zijn identiteitsgegevens, telefoonnummer en e-mailadres aan de verweerder bezorgd om opgenomen te worden in het WhatsApp buurtpreventienetwerk. Als coördinator van het buurtpreventienetwerk had de verweerder deze informatie gebruikt om een e-mail te sturen waarin hij vroeg om op hem te stemmen bij de gemeenteraadsverkiezingen.

Aangezien deze persoonsgegevens met een ander doel voor ogen aan de verweerder werden verstrekt vormt deze e-mail een schending van het finaliteitsbeginsel. De verweerder zag zijn fout in en de geschillenkamer oordeelde dat een berisping passend was.

Zaak 6

Onderwerp: Grensoverschrijdende klacht over het ontvangen van een e-mail na uitschrijving.
Maatregel: Waarschuwing 

Deze zaak werd door de toezichthoudende autoriteit van het Verenigd Koninkrijk overgemaakt aan de Gegevensbeschermingsautoriteit die optrad als leidende toezichthoudende autoriteit. In deze zaak ontving de klager een e-mail van de verweerder terwijl hij zich reeds had uitgeschreven voor de nieuwsbrief. De verweerder erkende de technische fout en nam de nodige interne maatregelen om herhaling in de toekomst te vermijden.

Daarnaast bleek uit het onderzoek van de inspectiedienst dat de functionaris voor gegevensbescherming (data protection officer of DPO) zelf had beslist om de betrokkene uit de mailinglist te verwijderen, terwijl dat een beslissing is die toekomt aan de verwerkingsverantwoordelijke. Indien een verwerkingsverantwoordelijke ook optreedt als functionaris voor gegevensbescherming zou dat tot een belangenconflict kunnen leiden (artikel 38.6 GDPR). Hiervoor werd de verweerder door de geschillenkamer gewaarschuwd.

Zaak 7

Onderwerp: Grensoverschrijdende klacht over het niet naleven van het recht op inzage en informatie.
Maatregel: Bevel tot naleven van het recht op inzage en informatie.

Deze zaak werd door de toezichthoudende autoriteit van Luxemburg overgemaakt aan de Gegevensbeschermingsautoriteit die optrad als leidende toezichthoudende autoriteit. In deze zaak antwoordde de verwerkingsverantwoordelijke niet binnen de wettelijke termijn op de verzoeken van de betrokkene. De geschillenkamer beval de verwerkingsverantwoordelijke om te voldoen aan de verzoeken van de betrokkene.

Aangezien het om een grensoverschrijdende klacht ging, werd benadrukt dat de verweerder de maatregelen die hij heeft getroffen moet meedelen aan de Gegevensbeschermingsautoriteit.

Zaak 8

Onderwerp: Grensoverschrijdende klacht over het niet naleven van het recht op gegevenswissing.
Maatregel: Bevel tot naleven van het recht op gegevenswissing.

Hoewel het gaat om een grensoverschrijdende klacht, blijkt uit de beslissing niet door welke toezichthoudende autoriteit de klacht werd overgemaakt aan de Gegevensbeschermingsautoriteit. Ook in deze zaak antwoordde de verwerkingsverantwoordelijke niet binnen de wettelijke termijn op het verzoek van de betrokkene. De geschillenkamer beval de verwerkingsverantwoordelijke om te voldoen aan het verzoek van de betrokkene.

Zaak 9

Onderwerp: Klacht over een informaticasysteem dat geen accenten in de spellingswijze toelaat.
Maatregel: Inwilligen van verzoek tot rectificatie van de naam van de betrokkene.

In deze zaak klaagde de klager omdat de verweerder zijn familienaam niet corrigeerde in het informaticasysteem. De klager had de verweerder verschillende keren verzocht om de correcte spellingswijze met accent te gebruiken, maar de verweerder verwerkte de familienaam zonder accent.

Onder de GDPR heeft de betrokkene een recht op rectificatie (artikel 16 GDPR). Dat betekent dat de verwerkingsverantwoordelijke onverwijld onjuiste persoonsgegevens moet verbeteren indien de betrokkene daarom verzoekt.

Bij een onderzoek door de inspectiedienst bij de verweerder was gebleken dat het technisch onmogelijk was in het informaticasysteem om gebruik te maken van een accent. Dat was voor de geschillenkamer geen afdoende argument om niet tegemoet te komen aan het verzoek tot rectificatie. De geschillenkamer oordeelde dat de verweerder het verzoek van de betrokkene moet inwilligen en dus de juiste spellingswijze moet hanteren.

Lessen uit deze beslissingen

  • Reageer tijdig op een verzoek van een betrokkene (d.i. binnen een maand na ontvangst) door het voorzien van een goede interne procedure en een vlotte interne postverdeling.

    Uit welke zaak? Zaken 1, 6, 7 en 8. Zie ook beslissing ten gronde 05/2019 van 9 juli 2019.
    Toelichting: Een goede interne procedure voor het opvolgen van verzoeken van betrokkenen zou klachten zoals in deze zaken kunnen vermijden. De geschillenkamer benadrukte in zaak 1 dat er voldoende interne maatregelen moeten worden getroffen om de GDPR te implementeren. Het belang van de verantwoordingsplicht werd nogmaals herhaald.

  • Vermeld bij het versturen van verkiezingsdrukwerk (en andere brochures) de contactgegevens van de verwerkingsverantwoordelijke voor het uitoefenen van rechten.

    Uit welke zaak? Zaak 2. Zie ook beslissing ANO 05/2019 van 23 juli 2019.
    Toelichting: Wees bij het versturen van verkiezingsdrukwerk voorzichtig en zorg ervoor dat u de contactgegevens hebt bemachtigd op een wettelijke manier. Het verkrijgen van contactgegevens uit het bevolkingsregister is wettelijk omkaderd. Vermeld naast de verantwoordelijke uitgever ook de contactgegevens van de verantwoordelijke voor de verwerking van de persoonsgegevens voor het faciliteren van de rechten van betrokkenen.

  • Gebruik voor globale e-mails het bcc-veld in plaats van het cc-veld zodat bestemmelingen onzichtbaar zijn voor elkaar.

    Uit welke zaak? Zaak 3. Zie ook beslissing ten gronde ANO 02/2019 van 2 april 2019.
    Toelichting: Bij het gebruiken van het cc-veld worden de rechten van de geadresseerden in het cc-veld geschonden, maar ook andere contractuele verplichtingen kunnen worden geschonden (denk aan confidentialiteit). Sommige toepassingen verhinderen dat er e-mails met meerdere bestemmelingen in cc-veld worden verzonden, maar het loont ook de moeite om het personeel bewust te maken van de beginselen inzake gegevensbescherming door het organiseren van een training.

  • Leef bij de plaatsing van bewakingscamera’s naast de camerawetgeving ook de GDPR na.

    Uit welke zaak? Zaak 4. Zie ook beslissing ten gronde ANO 03/2019 van 2 april 2019.
    Toelichting: Denk eraan dat u uw bewakingscamera op basis van de camerawet (gewijzigd sinds 25 mei 2018) moet aangeven, een register van beeldverwerkingsactiviteiten moet bijhouden en het kennisgevingspictogram moet aanbrengen. Naast de camerawetgeving blijft ook de GDPR gelden indien er persoonsgegevens worden verwerkt (camerabeelden). Er moet bijvoorbeeld een rechtsgrondslag zijn voor deze verwerking en de GDPR-beginselen moeten worden nageleefd. Als die niet worden nageleefd, kan een bewakingscamera die geldig werd aangegeven toch verboden zijn.

  • Gebruik geen persoonsgegevens voor een ander doel dat niet verenigbaar is met het doel waarvoor de persoonsgegevens werden verzameld.

    Uit welke zaak? Zaak 5. Zie ook beslissing ten gronde ANO 01/2019 van 2 april 2019.
    Toelichting: Het finaliteitsbeginsel houdt in dat de verzamelde persoonsgegevens enkel voor het doel waarvoor ze werden verzameld mogen worden verwerkt. Dit GDPR-beginsel moet steeds worden nageleefd. Er zijn slechts een beperkt aantal uitzonderingen, zoals voor wetenschappelijk onderzoek.

  • Probeer als verwerkingsverantwoordelijke goed te begrijpen welk recht een betrokkene uitoefent, vraag indien nodig verduidelijking, en reageer adequaat binnen de wettelijke termijn.

    Uit welke zaak? Zaken 6, 7 en 8. Zie ook beslissing ANO 04/2019 van 28 mei 2019, beslissing ANO 03/2019 van 28 mei 2019 en beslissing ANO 02/2019 van 15 mei 2019.
    Toelichting: In deze zaken had de verwerkingsverantwoordelijke niet adequaat gereageerd op een verzoek van een betrokkene. In zaak 6 had de functionaris voor gegevensbescherming beslist om de betrokkene van de mailinglijst te verwijderen terwijl de betrokkene enkel zijn recht op inzage had uitgeoefend, en niet zijn recht op gegevenswissing.

  • Omkader op een correcte wijze de taken en plichten van de functionaris voor gegevensbescherming (DPO) zodat dit niet leidt tot een belangenconflict.

    Uit welke zaak? Zaak 6. Zie ook beslissing ANO 04/2019 van 28 mei 2019.
    Toelichting: Het komt niet toe aan de functionaris om de beslissing tot het verwijderen van gegevens te nemen, aangezien de beslissing omtrent de uitoefening van de rechten van de betrokkene moet worden genomen door de verantwoordelijke voor de verwerking (artikel 12 en 17 GDPR).

  • Verwerk namen conform hun schrijfwijze, ook met accenten indien nodig.

    Uit welke zaak? Zaak 9. Zie ook beslissing ANO 01/2019 van 15 mei 2019.
    Toelichting: Hiervoor kan er best gebruik worden gemaakt van een modern informaticasysteem.

Meer weten?

Meer weten over GDPR compliance en het voorkomen van boetes? Neem contact op met Timelex.