Ook de overheid wordt gecontroleerd op GDPR: draag zorg voor je processen!

De overheid moet ook de privacyregels volgen en wordt daar ook op gecontroleerd. Afgelopen week nog oordeelde de GBA dat de FOD Volksgezondheid in overtreding was met de regels van de GDPR, omdat zij een verzoek tot inzage door een betrokkene negeerde. De slechte opvolging van het verzoek was te wijten aan een gebrekkige implementatie van een goed functionerend proces.

GBA berispt overheid

Negeren recht op inzage

Een tandarts uit Lanaken was sinds 2017 benoemd in de Provinciaal Geneeskundige Commissie Limburg, maar zijn benoeming werd nadien ingetrokken. Benieuwd naar de redenen van de intrekking, vroeg de tandarts inzage in zijn gegevens. De betrokkene diende klacht in bij de GBA. Op 23 oktober 2018 werd reeds door de GBA bevolen om inzage te verlenen in de gegevens. Bij gebrek aan reactie vanwege de FOD Volksgezondheid, diende de tandarts opnieuw klacht in.

De Geschillenkamer van de GBA heeft de inbreuk op de bepalingen omtrent het geven van een tijdige en correcte reactie (art. 12.3 en 12.4 AVG) en het recht op inzage en informatie (art. 15 AVG) vastgesteld.

Gebrekkige implementatie processen

Opmerkelijk was dat de FOD Volksgezondheid tijdens de hoorzitting zelf de oorzaak aanduidde van het negeren van het verzoek tot inzage. De interne rolverdeling bij de FOD Volksgezondheid bij de behandeling van verzoeken op basis van het privacyrecht was niet duidelijk.

De GBA onderstreept, zeer terecht, dat iedere organisatie maatregelen moet nemen om aan de bepalingen van de AVG te voldoen. In het geval van een Federale Overheidsdienst zal zulks meer dan waarschijnlijk impliceren dat een duidelijke procedure moet worden uitgetekend met een taakverdeling, waarbij medewerkers goed weten welke rol zij te vervullen hebben wanneer een verzoek tot inzage (of een ander recht) binnenkomt.

We raden aan om ook duidelijke processen uit te tekenen voor andere omstandigheden waar een verantwoordelijke of verwerker geacht wordt te handelen, zoals bij datalekken. Tenslotte houdt iedere organisatie best een register en eventuele verslagen bij van genomen acties en beslissingen, zodat een verantwoording nadien mogelijk wordt.

Grenzen aan bevoegdheid van GBA

Bij het nemen van de beslissing gaat de Geschillencommissie even over haar bevoegdheid heen. De overheid zou fouten begaan hebben bij het nemen van haar beslissing tot aanstelling van PGC Limburg en bij de publicatie nadien in het Belgisch Staatsblad. Het komt niet toe aan de GBA om een oordeel te vellen over een handelswijze van een overheid bij haar besluitvorming. De GBA is enkel bevoegd om te oordelen over een al dan niet correcte naleving van de AVG en de Belgische privacywetgeving.

Daarnaast benadrukt de GBA wel correct dat zij niet bevoegd is om een schadevergoeding toe te kennen aan de klager of diens benoeming te bestendigen. Dergelijke vorderingen komen enkel toe aan gerechtelijke of administratieve hoven en rechtbanken, al naar gelang het geval.

Als sanctie legt de GBA enkel een berisping op en gaat over tot publicatie van de beslissing. In haar overwegingen en de persmededeling wordt gesteld dat de FOD Volksgezondheid wordt gewezen op de noodzaak tot het implementeren van processen, maar het ontbreekt in het beschikkend gedeelte. Dit is mogelijks een gemiste kans, al zal de FOD Volksgezondheid thans hopelijk wel de nodige maatregelen nemen.

Conclusie

De recente beslissing focust op het nodige respect voor het recht op inzage en informatie, zelfs wanneer dat impliceert dat een betrokkene daarmee inzage krijgt in de redenering achter een persoonsgebonden beslissing van de overheid.

De beslissing duidt ook op de noodzaak voor organisaties om alle maatregelen te nemen om te voldoen aan de regels van de AVG. Dit kan ook impliceren dat interne processen moeten worden uitgetekend met een duidelijke rolverdeling voor medewerkers.

Voor wie administratieve beslissingen wil omdraaien of schadevergoeding wilt eisen, moet bij de gerechtelijke of administratieve hoven en rechtbanken terecht.

De Beslissing 5/2019 van 9 juli 2019 kan je hier vinden. De persmededeling kan je hier vinden.

Meer vragen over privacy en GDPR?

Het team van Sirius Legal staat graag voor je klaar. Neem gerust contact op met Andries Hofkens via andries@siriuslegal.be of telefonisch op 02/721 13 00.