De Belgische Gegevensbeschermingsautoriteit legt een recordboete op. Deze keer voor het niet naleven van medewerkings- en verantwoordingsplicht door een niet nader genoemde organisatie.
Het gaat om een boete van 50.000 euro die de Gegevensbeschermingsautoriteit (GBA) uitschrijft. Dat is met ruime voorsprong de hoogste boete ooit in ons land. Het vorige record lag op 15.000 euro voor een zaak rond het gebruik van e-id als klantenkaart.
Deze zaak draait om een rol- of belangenconflict. De GBA veroordeelt een niet nader genoemde
organisatie voor de ‘niet-naleving van zowel de verantwoordingsplicht als de medewerkingsplicht’.
Belangenconflict
De GBA klaagt vooral een belangenconflict in deze zaak aan. ‘De functionaris voor gegevensbescherming kan binnen de organisatie geen functie bekleden waarbij hij doelstellingen/middelen voor de verwerking van persoonsgegevens moet bepalen’, klinkt het.
De rol van verantwoordelijke van een departement valt, zo benadrukt de GBA in zijn beslissing, dus niet te rijmen met de functie van functionaris voor gegevensbescherming die zijn taken onafhankelijk moet kunnen uitvoeren. In de beslissing was sprake van eenzelfde persoon die verantwoordelijk was voor drie departementen (audit, risk & compliance) afzonderlijk. ‘Voor elk van deze drie departementen ontbreekt enig mogelijk onafhankelijk toezicht vanwege de functionaris voor gegevensbescherming’, aldus de GBA.
Bovendien kan, oordeelt de GBA, het cumuleren van die diverse functies ertoe leiden dat de geheimhouding en vertrouwelijkheid tegenover personeelsleden onvoldoende mate is te garanderen.
Gegevenslek
De aanleiding voor de aanhangigmaking was een concreet gegevenslek bij de betreffende organisatie. Dit incident vond plaats naar aanleiding van een aantal uitnodigingen dat door de verweerder werd verstuurd naar onder meer zelfstandigen en vrije beroepers teneinde over te schakelen van een papieren naar een elektronische factuur.
Maar door een fout in de selectie van de e-mailadressen belandde een aantal van die uitnodigingen bij andere e-mailadressen die in de databanken van de verweerder verbonden werden met een klant, maar mogelijks geen directe link hebben met de betrokken klant. Het ging om administratieve of technische contactpersonen voor de klant.
Tegen de beslissing, en dus ook de administratieve recordboete van 50.000 euro, is beroep mogelijk.
