Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

Ook de overheid wordt gecontroleerd op GDPR: draag zorg voor je processen!

15.07.2019 Leesduur: 4 minuten

De overheid moet ook de privacyregels volgen en wordt daar ook op gecontroleerd. Afgelopen week nog oordeelde de GBA dat de FOD Volksgezondheid in overtreding was met de regels van de GDPR, omdat zij een verzoek tot inzage door een betrokkene negeerde. De slechte opvolging van het verzoek was te wijten aan een gebrekkige implementatie van een goed functionerend proces.

 

 

Negeren recht op inzage

Een tandarts uit Lanaken was sinds 2017 benoemd in de Provinciaal Geneeskundige Commissie Limburg, maar zijn benoeming werd nadien ingetrokken. Benieuwd naar de redenen van de intrekking, vroeg de tandarts inzage in zijn gegevens. De betrokkene diende klacht in bij de GBA. Op 23 oktober 2018 werd reeds door de GBA bevolen om inzage te verlenen in de gegevens. Bij gebrek aan reactie vanwege de FOD Volksgezondheid, diende de tandarts opnieuw klacht in.

De Geschillenkamer van de GBA heeft de inbreuk op de bepalingen omtrent het geven van een tijdige en correcte reactie (art. 12.3 en 12.4 AVG) en het recht op inzage en informatie (art. 15 AVG) vastgesteld.

 

Gebrekkige implementatie processen

Opmerkelijk was dat de FOD Volksgezondheid tijdens de hoorzitting zelf de oorzaak aanduidde van het negeren van het verzoek tot inzage. De interne rolverdeling bij de FOD Volksgezondheid bij de behandeling van verzoeken op basis van het privacyrecht was niet duidelijk.

De GBA onderstreept, zeer terecht, dat iedere organisatie maatregelen moet nemen om aan de bepalingen van de AVG te voldoen. In het geval van een Federale Overheidsdienst zal zulks meer dan waarschijnlijk impliceren dat een duidelijke procedure moet worden uitgetekend met een taakverdeling, waarbij medewerkers goed weten welke rol zij te vervullen hebben wanneer een verzoek tot inzage (of een ander recht) binnenkomt.

We raden aan om ook duidelijke processen uit te tekenen voor andere omstandigheden waar een verantwoordelijke of verwerker geacht wordt te handelen, zoals bij datalekken. Tenslotte houdt iedere organisatie best een register en eventuele verslagen bij van genomen acties en beslissingen, zodat een verantwoording nadien mogelijk wordt.

 

Grenzen aan bevoegdheid van GBA

Bij het nemen van de beslissing gaat de Geschillencommissie even over haar bevoegdheid heen. De overheid zou fouten begaan hebben bij het nemen van haar beslissing tot aanstelling van PGC Limburg en bij de publicatie nadien in het Belgisch Staatsblad. Het komt niet toe aan de GBA om een oordeel te vellen over een handelswijze van een overheid bij haar besluitvorming. De GBA is enkel bevoegd om te oordelen over een al dan niet correcte naleving van de AVG en de Belgische privacywetgeving.

Daarnaast benadrukt de GBA wel correct dat zij niet bevoegd is om een schadevergoeding toe te kennen aan de klager of diens benoeming te bestendigen. Dergelijke vorderingen komen enkel toe aan gerechtelijke of administratieve hoven en rechtbanken, al naar gelang het geval.

Als sanctie legt de GBA enkel een berisping op en gaat over tot publicatie van de beslissing. In haar overwegingen en de persmededeling wordt gesteld dat de FOD Volksgezondheid wordt gewezen op de noodzaak tot het implementeren van processen, maar het ontbreekt in het beschikkend gedeelte. Dit is mogelijks een gemiste kans, al zal de FOD Volksgezondheid thans hopelijk wel de nodige maatregelen nemen.

 

Conclusie

De recente beslissing focust op het nodige respect voor het recht op inzage en informatie, zelfs wanneer dat impliceert dat een betrokkene daarmee inzage krijgt in de redenering achter een persoonsgebonden beslissing van de overheid.

De beslissing duidt ook op de noodzaak voor organisaties om alle maatregelen te nemen om te voldoen aan de regels van de AVG. Dit kan ook impliceren dat interne processen moeten worden uitgetekend met een duidelijke rolverdeling voor medewerkers.

Voor wie administratieve beslissingen wil omdraaien of schadevergoeding wilt eisen, moet bij de gerechtelijke of administratieve hoven en rechtbanken terecht.

 

Meer vragen over privacy en GDPR?

Het team van Sirius Legal staat graag voor je klaar. Neem gerust contact op met ons op via info@siriuslegal.be of telefonisch op 02/721 13 00.

Dit artikel werd geschreven door Andries Hofkens die inmiddels Sirius Legal heeft verlaten. 

Over de auteur

Bart
Van den Brande

Ik ben de oprichter en Managing Partner van Sirius Legal.  In 2010 besloot ik de Brusselse advocatenwereld achter me te laten om op een and...


Cookies

Datacollectie op je website waarmee je juridisch volledig voldoet aan alle vereisten. Niet omdat het moet, maar ook uit respect voor de privacy van je klanten, toch?


e-Privacy

Correct omgaan met persoonsgegevens is meer dan voldoen aan de GDPR wetgeving. Daarnaast is er nog specifieke wetgeving zoals de cookiewet, het bel-me-niet-meer register, de Robinsonlijst etc. 


Internationale datatransfers

Data export is élke uitwisseling van gegevens met een partner buiten de EU. GDPR staat data export buiten de EU enkel toe als de ontvanger een gepast beschermingsniveau garandeert. 


GDPR compliance

GDPR compliance is een grote milestone in de privacywetgeving. Laat je niet afschrikken, wij staan je graag bij met to-the-point advies dat helemaal niet duur moet zijn.