Aandachtspunten bij het opstellen
en analyseren van ICT-contracten

Mr. Lynn Pype en mr. Liesa Boghaert (Timelex)

Webinar op donderdag 16 mei 2024


Handelspraktijken en consumentenbescherming:
recente topics onder de loep

Dr. Stijn Claeys en mr. Arne Baert (Racine)

Webinar op vrijdag 30 augustus 2024

FOD Financiën krijgt berisping voor GDPR-inbreuken (Ardent Advocaten)

Auteur: Ardent Advocaten

Publicatiedatum: 14/01/2021

Op 23 december 2020 heeft de Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) uitspraak gedaan over een klacht met betrekking tot het Fisconetplus-platform van de FOD Financiën.

We vatten de beslissing van de GBA kort samen en geven aan wat we hieruit als onderneming moeten onthouden.

Bent u benieuwd naar de administratieve boete die de FOD Financiën kreeg opgelegd? Dan moeten we u teleurstellen. De Belgische wetgever heeft immers bepaald dat de Gegevensbeschermingsautoriteit geen administratieve boete kan opleggen aan een overheid en haar aangestelden of gemachtigden wegens GDPR-inbreuken (tenzij de overheid diensten of goederen op de markt zou aanbieden) …

1. Waarover ging de klacht?

Fisconetplus is de juridische en fiscale databank van de Belgische overheid waarop burgers opzoekingen kunnen doen. Deze databank werd in 2018 vernieuwd zodat gebruikers een persoonlijke interface kregen waarop ze bijvoorbeeld hun favoriete publicaties kunnen opslaan of automatische waarschuwingen kunnen krijgen bij wijziging aan een bepaald domein van de fiscaliteit.

Dit platform werd ontwikkeld via SharePoint Online, een digitale tool beheerd door Microsoft. Die laatste vereist voor toegang tot haar platform het aanmaken van een gebruikersaccount. Anonieme toegang werd door Microsoft verboden.

Nadat de GBA een opmerking had gemaakt over het verplicht aanmaken van een Microsoft-account voor toegang tot het Fisconetplus-platform werden drie toegangsmogelijkheden voorzien waaronder een (zogenaamd) ‘anonieme’ account (wat uiteindelijk ook een Microsoft-account was). Na een klacht hieromtrent werd een onderzoek opgestart door de Inspectiedienst van de GBA, waarin verschillende inbreuken werden vastgesteld op de Algemene Verordening Gegevensbescherming (AVG of ook GDPR). Zo bleek onder meer dat ook de ‘anonieme’ account een Microsoft-account was waarbij bepaalde persoonsgegevens werden verwerkt. De account was dus toch niet zo anoniem … Het verplichte gebruik van een Microsoft-account voor volledige functionaliteit maakt bovendien dat extra maatregelen hadden genomen moeten worden ter bescherming van de rechten van gebruikers.

De Geschillenkamer stelde bovendien vast dat de FOD haar gebruikers bleef informeren dat geen gegevens verwerkt werden in de ‘anonieme’ account terwijl dat wel degelijk het geval was. De FOD maakte dan ook een inbreuk op haar verplichting tot transparantie en eerlijkheid.

Een ander probleem had betrekking op het plaatsen van niet-essentiële cookies waarvoor in principe steeds vrije, specifieke en duidelijke toestemming moet worden gegeven. De FOD Financiën maakte op haar website gebruik van een cookie-banner die stelt dat indien een gebruiker verder surft, die laatste het gebruik van cookies aanvaardt (zgn. ‘further browsing’). De Geschillenkamer benadrukt hier dat steeds uitdrukkelijke toestemming moet worden verkregen voor niet-essentiële cookies (bv. ‘ik aanvaard cookies’-knop). Verder surfen voldoet hier niet aan.

2. Wat besliste de Geschillenkamer?

In haar beslissing volgt de Geschillenkamer voor een groot deel de argumentatie van de Inspectiedienst. Aangezien de website intussen geen authenticatiemogelijkheid middels Microsoft-accounts meer aanbiedt, werd als sanctie besloten om de FOD Financiën enkel te berispen.

3. Wat onthouden we voor onze onderneming?

Hoewel deze beslissing betrekking heeft op de website van een overheidsdienst is ze toch ook van belang voor elke onderneming.

Ten eerste wijst de Geschillenkamer nog eens op het belang van transparantie en eerlijkheid. Onduidelijke of onjuiste informatie geven aan betrokkenen kan niet.

Ten tweede wordt – voor de zoveelste keer – gewezen op de vereisten voor een vrije, specifieke en duidelijke toestemming. Stilzwijgende toestemming, automatisch aangevinkte toestemming of toestemming door gebruik voldoen hieraan niet.

Ten slotte blijkt uit deze beslissing nog eens het belang om onmiddellijk maatregelen te nemen wanneer een GDPR-inbreuk wordt vastgesteld of gemeld: meewerken en onmiddellijk remediëren zal een milderende invloed hebben op de sanctie van de Geschillenkamer.

Lees hier het originele artikel

» Bekijk alle artikels: Privacy & Gegevensbescherming