28 januari is de Europese dag van de gegevensbescherming. Het is dan ook de ideale gelegenheid om het belang van privacy en gegevensbescherming in de verf te zetten. Voor ondernemingen is het niet gemakkelijk om de verplichtingen inzake privacy en gegevensbescherming correct te interpreteren en toe te passen.

Uit enkele recente voorbeelden blijkt dat dit voor onze overheid eveneens moeilijk blijkt. Dit kadert hoe belangrijk het is voor  ondernemingen en overheden om voorzichtig om te springen met de gegevens van hun klanten, gebruikers of andere natuurlijke personen en de verwerking ervan.

Verplicht Microsoft e-mailadres

De federale overheid zet verschillende middelen beschikbaar op haar website FisconetPlus. Zo kan elke burger de databank met publieke informatie, zoals wetgeving, rechtspraak, omzendbrieven en brochures opvragen. Om toegang te krijgen tot de database stelde de overheid verschillende opties beschikbaar. Inloggen kon via een bestaand Microsoft account of via een anoniem Microsoft account. Daarnaast was er ook de optie om rechtstreeks via MyMinfin in te loggen.

De geschillenkamer van de Gegevensbeschermingsautoriteit (hierna GBA) stelt in haar beslissing dat het gebruik van een Microsoft account door de overheid hier een inbreuk vormde op de GDPR. De overheid maakt namelijk zelf een optie beschikbaar om in te loggen, waarbij geen bijkomende persoonsgegevens verwerkt worden. Door het gebruik van Microsoft, en het inloggen via een bestaand Microsoft-account verwerkt men meer gegevens dan nodig. Omdat de optie zonder bijkomende verwerking beschikbaar is, stelt de GBA dat een optie die wel voorziet in een verdere verwerking niet in overeenstemming is met de GDPR.

We kunnen in deze zaak ook opmerken dat de GBA oordeelde dat de overheid een inbreuk maakte door haar cookiebeleid. Daarin stond namelijk dat een gebruiker akkoord gaat met de plaatsing van cookies bij verder gebruik van de website. Echter is een actieve instemming vereist en voldoet een louter verder scrollen of klikken op een website niet. De GBA besliste daarom om de FOD Financiën voor dit alles te berispen.

UBO-register en het rijksregisternummer

De toegang tot het UBO-register was enkele dagen afgesloten. Het UBO-register is een database van de Uiteindelijke Begunstigde van een Belgische entiteiten. Het gaat meer bepaald om de natuurlijke personen die de controle houden deze entiteiten vast te stellen in het kader van fraudebestrijding en tegen het witwassen van geld.

De overheid had het UBO-register offline moeten halen omdat het mogelijk was om het rijksregisternummer van iedere burger te achterhalen. Indien men de voor-en achternaam en geboortedatum van een persoon kon achterhalen (vaak eenvoudig te achterhalen bij bekende personen) was het een fluitje van een cent om het rijksregister te achterhalen. Een rijksregisternummer is een belangrijk persoonlijk gegeven dat slechts in beperkte omstandigheden verwerkt mag worden. Dat iedere burger hier zomaar toegang toe kan krijgen is een enorme inbreuk op de privacy en gegevensbescherming.

Voorlopig lijkt de FOD Financiën het probleem opgelost te hebben. De vraag rest echter nog of dit geen juridisch staartje zal krijgen, al dan niet via de GBA.

Besluit

We hopen dat bovenstaande voorbeelden aantonen dat een correcte privacy en gegevensbeschermingsstrategie voor iedereen niet eenvoudig is. Dit mag ons echter niet ontmoedigen en moet blijk geven van het belang om hieraan de nodige tijd en middelen te besteden. Het uiteindelijke doel van de regelgeving rond privacy en gegevensbescherming is nog steeds de bescherming van burgers, klanten, gelijk welke natuurlijke persoon. En zijn we dat dan eigenlijk niet allemaal?