Eén van de sectorgerichte prioriteiten opgenomen in het Strategisch Plan 2020-2025 van de GBA betreft de naleving van de regelgeving inzake persoonsgegevensbescherming door overheden.

Overheidsdiensten verwerken in het kader van de uitoefening van hun taken doorgaans grote hoeveelheden - in sommige gevallen gevoelige - persoonsgegevens. Men denke hierbij onder meer aan de toegang tot de gegevens vervat in het Rijksregister, de verwerking van financiële gegevens en gegevens met betrekking tot strafrechtelijke veroordelingen. Burgers hebben hierbij vaak geen keuze wat betreft het delen van hun persoonsgegevens, aangezien de verwerking doorgaans gebeurt op basis van een wettelijke verplichting dan wel noodzakelijk is ter vervulling van een taak van algemeen belang.

De GBA is van oordeel dat van overheden bijgevolg bij uitstek moet kunnen worden verwacht dat zij zorgvuldig omgaan met deze gegevens en dat deze een voorbeeldfunctie vervullen op vlak van persoonsgegevensbescherming (“lead by example”).

In 2020 besteedden de verschillende directies van de GBA daarom bijzondere aandacht aan de verwerkingsactiviteiten van deze publieke verwerkingsverantwoordelijken en dit zowel vanuit hun adviserende rol als op vlak van handhaving. 

Hierbij werd onder meer gefocust op de volgende thema’s:


De rechtmatigheid van persoonsgegevensverwerkingen door de overheid (artikel 6 AVG)

De verwerking van persoonsgegevens door overheidsdiensten is doorgaans gesteund op artikel 6.1 c) (wettelijke verplichting) dan wel artikel 6.1 e) (taak van algemeen belang) AVG. In dit verband benadrukten zowel het Kenniscentrum in zijn adviezen als de Geschillenkamer in zijn beslissingen het belang van het bestaan van een wetgevende norm die de betrokken verwerking op voldoende duidelijke en nauwkeurige wijze omkadert en waarvan de toepassing voor de betrokkenen voorzienbaar is (artikel 6.3 AVG in samenhang gelezen met artikel 22 GW en artikel 8 EVRM).

Hierbij kan onder meer worden verwezen naar de adviezen 36/2020, 42/2020, 44/2020, 46/2020, 52/2020 en 64/2020 van het Kenniscentrum, onder meer met betrekking tot bepaalde maatregelen genomen door overheden in het kader van de bestrijding van Covid-19 (zie Covid-19, de privacy uitdaging van het jaar).


De naleving van de beginselen inzake gegevensbescherming (artikel 5 AVG) en de beginselen van “gegevensbescherming door ontwerp” en “gegevensbescherming door standaardinstellingen” (artikel 25 AVG)

Voormelde beginselen vormen één van de hoekstenen van de AVG. De GBA benadrukt het belang van de naleving van deze principes door overheden bij het verwerken van persoonsgegevens en wijst in het bijzonder op het belang van de implementatie van het beginsel van gegevensbescherming door ontwerp (“data protection by design”), waarbij ervoor wordt gezorgd dat het verzekeren van de bescherming van persoonsgegevens en rechten van betrokkenen wordt ‘ingebouwd’ in de verwerking en niet meer gegevens worden verwerkt als strikt noodzakelijk voor de beoogde doeleinden (“minimale gegevensverwerking”).

In dit verband kan worden verwezen naar het onderzoek dat de Inspectiedienst van de GBA op eigen initiatief voerde naar de Federale Overheidsdienst Financiën omwille van de verplichte aanmaak van een Microsoft-account voor de toegang tot fiscale informatie via Fisconetplus . Dit onderzoek kwam er in aansluiting op een eerder door het Kenniscentrum van de GBA uitgevaardigde aanbeveling ter zake.

In voormelde zaak maakte de Inspectiedienst voor het eerst gebruik van zijn bevoegdheid tot het opleggen van voorlopige maatregelen (artikel 70 WOG) en gelastte deze de FOD de gegevensoverdracht naar Microsoft stop te zetten. Er werd met name geoordeeld dat het verplichten van betrokkenen tot het vrijgeven van persoonsgegevens aan een derde dienstverlener teneinde toegang te krijgen tot publieke informatie een schending inhoudt van de beginselen van behoorlijke en transparante verwerking alsook minimale gegevensverwerking (artikel 5.1 a) en c) AVG). Dit werd in november 2020 bevestigd door de Geschillenkamer in haar beslissing ten gronde.


Transparantieverplichtingen en rechten van betrokkenen (artikel 12 e.v. AVG):

In haar beslissing 15/2020 wees de Geschillenkamer op het belang van de naleving van de transparantieverplichtingen en het faciliteren van de uitoefening van rechten van betrokkenen door overheden. De GBA legde in deze beslissing met name een berisping en een bevel tot het in overeenstemming brengen van de verwerking op aan een gemeente omwille van de verwerking van persoonsgegevens van studenten - verkregen via de verhuurders van studentenkoten - in het kader van het innen van belastingen voor tweede verblijven, zonder de betrokkenen hierover op transparante wijze te informeren (schending art. 5 en 12-14 AVG).

Transparantie was ook een belangrijk aandachtspunt in de adviezen verleend aan de regering inzake de maatregelen genomen in het kader van de coronavirusuitbraak. Meer informatie in dit verband vindt u in het thema COVID-19.


De toegang tot en de verwerking van persoonsgegevens vervat in het Rijksregister en andere registers door overheden:

Tal van overheidsdiensten hebben overeenkomstig de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen toegang tot de gegevens vervat in dit rijksregister. De GBA ontving en behandelde in 2020 diverse klachten betreffende het gebruik van dit register. In dit verband kan onder meer worden verwezen naar de beslissingen ten gronde 19/2020 en 61/2020 van de Geschillenkamer waarbij de GBA corrigerende maatregelen oplegde aan overheden in dit verband wegens het onrechtmatig gebruik van het Rijksregister en het nalaten de nodige technische en organisatorische maatregelen te nemen teneinde de beveiliging van de (toegang tot de) gegevens te waarborgen (artikelen 24 en 32 AVG).

Tevens startte de GBA op grond van artikel 63, 1° WOG een onderzoek op eigen initiatief naar het gebruik van persoonsgegevens uit de Kruispuntbank van voertuigen (“KBV”) voor het opstellen van gepersonaliseerde verzekeringsopgaven door verzekeraars. Dit onderzoek resulteerde in beslissing 34/2020 van de Geschillenkamer, waarbij deze oordeelde dat de doorgifte van gegevens aan individuele verzekeraars in strijd is met de beginselen van rechtmatigheid en doelbinding daar deze verwerkingsdoeleinde niet behoort tot de exhaustief opgelijste doeleinden van algemeen belang vervat in het Koninklijk besluit van 8 juli 2013 ter uitvoering van de wet van 19 mei 2010 houdende oprichting van de Kruispuntbank van de Voertuigen (art. 4).De Geschillenkamer oordeelde hierbij tevens over een beraadslaging van  het Informatieveiligheidscomité. Zij oordeelde dat het uitvaardigen van bindende beslissingen door dit comité betreffende de verwerking van persoonsgegevens in strijd is met de filosofie en de bepalingen van de AVG, met name het beginsel van accountability .


De doorgifte van gegevens van huurders van studentenkotten aan een gemeente in Vlaanderen

De Geschillenkamer heeft geoordeeld dat de verplichting in een gemeentelijke regeling voor verhuurders van  studentenkotten om bepaalde gegevens van huurders aan de gemeente door te geven, voor onduidelijke doeleinden, strijdig is met de AVG. Deze zaak is ook van belang omdat deze de gelegenheid aan de Geschillenkamer gaf om zich uit te spreken over de bevoegdheid van de GBA. De gemeente had in haar conclusie gesteld dat zij slechts aan het toezicht van de Vlaamse Toezichtscommissie (VTC) onderworpen was. De Geschillenkamer oordeelde dat dit standpunt uitgaat van een onjuiste rechtsopvatting. Aangezien het hier gaat om de naleving van dwingende bepalingen uit de AVG, is enkel de Geschillenkamer als orgaan van de GBA bevoegd te oordelen, zowel uit hoofde van het nationaal recht dat de federale inrichting van België regelt als uit hoofde van het recht van de Europese Unie.