Betreft
Een gemeentemedewerker raadpleegt een burgerfoto in het Rijksregister.
Context
Raadpleging foto in het rijksregister
Rechtsgrond
Artikel 5.2 GDPR: “De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).”
Artikel 24 GDPR: “1. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.”
Artikel 5.1. GDPR: “Persoonsgegevens moeten:
(…)
b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);
(…)
f) door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).”
Artikel 32 GDPR: “1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:”
(…)
Art. 17 Wet 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen: “Elke openbare overheid, openbare of private instelling die de machtiging heeft gekregen om toegang te hebben tot de informatiegegevens van het Rijksregister van de natuurlijke personen, met inbegrip van de politiediensten, [2 alsook de justitiediensten vermeld in de artikelen 5 en 8]2 moet de uitgevoerde consultaties kunnen verantwoorden, ongeacht of die uitgevoerd zijn door een individuele gebruiker of door een automatisch informaticasysteem. Daartoe houdt elke gebruiker een consultatieregister bij teneinde de traceerbaarheid van de consultaties te verzekeren.”
(…)
Feiten
Een inwoner van een gemeente twijfelt aan de rechtmatigheid van de raadpleging van zijn foto in het Rijksregister door een gemeentemedewerker van de gemeentev. Opvallende vaststelling is het feit dat de raadpleging van de foto dateert van 11 mei 2018. Twee weken vóór de toepassing van de GDPR.
Men zou dus kunnen stellen dat de Geschillenkamer bijgevolg niet bevoegd is, aangezien er geen sprake is van terugwerkende kracht in de tijd voor eenmalige verwerkingen die plaatsvinden vóór 25 mei 2018. Maar doordat de inspectiedienst ook inbreuken aan het licht heeft gebracht die plaatsvonden na 25 mei 2018 is de Geschillenkamer toch gerechtigd deze te onderzoeken.
Het Rijksregister is een databank die een bepaalde hoeveelheid informatie bevat over meer dan 11 miljoen mensen en vereist van nature een bijzonder streng toezicht. Dit omwille van de omvang en het doel om informatie over de identificatie van natuurlijke personen vast te leggen, op te slaan en door te geven.
De GDPR verplicht een verwerkingsverantwoordelijke om passende organisatorische en technische veiligheidsmaatregelen te nemen om de vertrouwelijkheid van de gegevens te waarborgen. Zo bepaalt onder andere artikel 5.1.b) GDPR dat gegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld en niet verder mogen worden verwerkt op een wijze die onverenigbaar is met die doeleinden. M.a.w. een gemeentemedewerker is gemachtigd om het Rijksregister te raadplegen voor welbepaalde doeleinden overeenkomstig de wet van 8 augustus 1983, maar niet voor andere doeleinden.
Het is dan ook van essentieel belang dat de gemeente, overeenkomstig artikel 24 van de GDPR, over een passend controlemechanisme beschikt om ervoor te zorgen dat haar gemachtigde ambtenaren het Rijksregister alleen voor die doeleinden raadplegen. Door bijvoorbeeld een computertoepassing te implementeren die het mogelijk maakt elke raadpleging door haar personeel te legitimeren.
Ondertussen werd door de gemeente tal van maatregelen genomen om voormelde inbreuken te verhelpen zoals het invoeren van een procedure waarbij voortaan elke raadpleging moet voorafgaan aan het kiezen van een reden voor de raadpleging.
Uitspraak
De Geschillenkamer besluit de gemeente een berisping op te leggen.
Onze mening
Zoals uit deze zaak blijkt, kan elke klacht aanleiding geven tot een volledige doorlichting. Belangrijk hierbij op te merken is ook dat de GDPR geen terugwerkende kracht heeft. Feiten die dateren van vóór de inwerkingtreding kunnen dan ook niet beoordeeld worden door de GBA. Maar in casu bracht het onderzoek nog bepaalde feiten aan het licht die een inbreuk uitmaakte van na de inwerkingtreding van de GDPR waardoor de GBA wel bevoegd was om hiervan kennis te nemen.
Als verwerkingsverantwoordelijke moet je bovendien steeds voldoende organisatorische en technische maatregelen nemen om er voor te zorgen dat enkel gemachtigde personen i.v.m. rechtmatige verwerkingsdoeleinden de gegevens kunnen raadplegen.
Definitief?
Ja
Integrale beslissing