TL;DR: Omdat we het belangrijk vinden dat onze leden, bezoekers, donateurs of andere privacyvoorvechters meer inzicht krijgen in onze werking, hebben we recent besloten op regelmatige basis onze vragen aan DPO's van bedrijven en overheden te publiceren, samen met hun eventueel antwoord. "Not only must Justice be done; it must also be seen to be done". De komende weken en maanden zullen we dus met regelmaat concrete casussen publiceren, en dit uiteraard volledig geanonimiseerd.
Waarover gaat het?
Burgemeester Mohamed Ridouani (Stad Leuven) vaardigde op 18 september een besluit uit, waarbij gevoelige contactgegevens van Leuvense studenten (zoals de naam, voornaam, rijksregisternummer (!), geslacht, woonplaats, verblijfplaats (enzoverder) gedeeld moeten worden met lokale contact tracers. Ministry of Privacy maakt zich bijzonder grote zorgen over deze data-inzameling, die ons inziens niét wettelijk of minstens niet verenigbaar is met het relevante Ministerieel Besluit en de GDPR, en waarvan de veilige bewaring van deze gevoelige gegevens niet afdoende werd bewezen.
We hebben dus vandaag contact opgenomen met de DPO van Stad Leuven, en raden in de tussentijd elke student aan (die bijgevolg een persoonlijk belang heeft bij de inzameling of verwerking van zijn of haar data) klacht neer te leggen bij de onderwijsinstelling of Stad Leuven.
Vragen aan de DPO
We formuleerden meerdere concrete vragen aan de DPO. Hieronder geven een uittreksel van de e-mail weer:
Als private privacywaakhond krijgen wij af en toe meldingen en vragen binnen van bezorgde burgers. Wij vertegenwoordigen ook leden, in het kader van artikel 80 GDPR bij privacyvragen of -klachten. In dit geval reageren wij op een melding naar aanleiding van een Besluit dd 18 september 2020 "Coronavirus (COVID-19) - Politieverordening - COVID19-team - Lokale contacttracing en brononderzoek - Ter beschikkingstelling data studenten - Goedkeuring (2020_BURG_00443) - https://leuven.be/sites/leuven.be/files/documents/2020-09/2020_364_BUR_Corona_LokaleContacttracingEnBrononderzoek.pdf. Gezien er meerdere meldingen hierover binnenkomen, zijn we volgens onze werkingsregels verplicht u hierover te bevragen. ___ Bij deze, enkele concrete vragen: 1/ Heeft u in deze casus een formeel of informeel advies geformuleerd, naar aanleiding van het Besluit? Indien ja, kan u dit advies met ons delen, zodat we de verwerkingsgronden en argumentatie beter kunnen begrijpen? 2/ Is deze beslissing gemotiveerd door een bepaalde instelling? Anders gezegd, is de Stad Leuven de initiatiefnemer van dit Besluit? Of werd zij gemotiveerd door een andere (onderwijs)instelling om tot deze beslissing over te gaan? 3/ Hoewel onder artikel 6,c GDPR uiteraard heel wat discretionaire bevoegdheden bij overheden liggen, is het onduidelijk of lokale overheden via Besluiten dezelfde bevoegdheden hebben. Hoe ziet u de toepassing en conformiteit van lokale besluitregels met artikel 6,c GDPR? 4/ De Geschillenkamer van de GBA oordeelde recent (15 april 2020, https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-15-2020.pdf), betreffende een klacht wegens de verwerking van de persoonsgegevens van huurders via de belastingaangifte door een gemeente: Ook wat dit betreft, herinnert de Geschillenkamer eraan dat het niet volstaat dat een verwerking rechtmatig gebeurt. De verwerking moet ook aan alle andere beginselen inzake de verwerking van persoonsgegevens beantwoorden. Dienaangaande stelt de Geschillenkamer vast dat er niet voldoende maatregelen zijn genomen overeenkomstigartikel 5, lid 1, a) AVG opdat de verwerking behoorlijk en transparant ten aanzien van de betrokkene verloopt. De verweerster als verwerkingsverantwoordelijke verwerkt de persoonsgegevens van de huurders als betrokkenenniet behoorlijk en transparant, gezien zij op geen enkel moment aangeeft aan de betrokkenen wiens gegevens worden verzameld, dat deze gegevens door haar worden verzameld, en voor welke doeleinden. Zo blijkt ook hier dat de verweerster op geen enkel moment zelf stappen onderneemt om de betrokkenen in te lichten dat hun persoonsgegevens door haar worden verwerkt. Bovendien draagt zij op geen enkel moment aan dat zij instructies geeft aan de verhuurders – waaronder de klager – om de huurders op enigerlei wijze op de hoogte te stellen van het voornemen om de persoonsgegevens te verzamelen en verder te verwerken. De Geschillenkamer acht inbreuken op de volgende bepalingen door de verweerster bewezen: a.artikel 5 AVG, gezien de verwerking van de persoonsgegevens van de huurders als betrokkenen via de ‘belastingaangifte tweede verblijven’ niet geschiedt in overeenstemming met de beginselen inzake verwerking van persoonsgegevens; b.artikel 6 AVG, gezien de verweerster onvoldoende aantoont in welke mate die verwerking rechtmatig is in de zin van deze bepaling voor wat betreft het aspect openbare veiligheid; c.artikel 12 AVG, gezien er ten aanzien van betrokkenen geen transparante informatie en communicatie is verschaft en gebruikt door de verweerster; d.artikel 13 AVG, gezien de verweerster in haar privacyverklaring onvoldoende informatie verstrekt omtrent het gebruik van platformen metderde(gezamenlijke)verwerkingsverantwoordelijken ten aanzien van de betrokkenen; e.artikel 14 AVG, gezien de verweerster aan de betrokkenen wiens persoonsgegevens zij via haar belastingaangifte voor tweede verblijven verwerkt en die niet tevens de belastingplichtige in die zin uitmaken, onvoldoende informatie verstrekt over de verwerking van de persoonsgegevens die zij niet via de betrokkenen zelf verkrijgt; f.artikel 37 AVG, gezien de verweerster niet aantoont of de functionaris voor gegevensbescherming voldoet aan de kwalitatieve vereisten opgelegd door de AVG; g.artikel 38 AVG, gezien de verweerster niet kan aantonen dat zij waarborgt dat de positie van de functionaris voor gegevensbescherming voldoende onafhankelijk is en toelaat verslag uit te brengen aan het hoogst leidinggevende orgaan. Hoewel het in casu uiteraard gaat over een andere finaliteit van verwerking, valt er wellicht een lijn te trekken in de argumentatie rond behoorlijk en transparant, en in de duidelijke communicatie dat gegevens verwerkt zouden worden. Is het voor de studenten in kwestie duidelijk dat hun (toch eerder gevoelige, zoals het RRN) contactgegevens automatisch worden gedeeld met lokale contact tracers? 5/ In een zeer recente richtlijn van de GBA (https://www.gegevensbeschermingsautoriteit.be/publications/richtlijn-voor-lokale-besturen-bij-het-nemen-van-aanvullende-maatregelen-in-de-bestrijding-van-covid-19.pdf) van vorige week (helaas niet gedateerd), staat oa. het volgende: Elke maatregel die een verwerking van persoonsgegevens met zich meebrengt, moet voldoen aan enkele belangrijke kwaliteitseisen om in lijn te zijn met de AVG. Hieronder vermelden we de belangrijkste van deze kwaliteitseisen, met duiding en enkele voorbeelden van hoe het wel of niet moet. Kort samengevat moet elke maatregel die een verwerking van persoonsgegevens met zich meebrengt: - een goede rechtsgrond hebben (2.1) - een aantal essentiële elementen bevatten (2.2); - een duidelijk omschreven doeleinde nastreven (2.3); - proportioneel zijn ten opzichte van dit doeleinde (2.4); - een duidelijke maximale bewaartermijn van de persoonsgegevens vastleggen (2.5) en - de ontvangers aan wie de persoonsgegevens worden meegedeeld bepalen (2.6). Bent u van mening dat het recente Besluit voldoet aan de vooropgestelde deelvoorwaarden 2.4, 2.5 en 2.6 ? In onze opinie is het A/ het proportioneel nut onvoldoende of niet bewezen, aangezien alle contactgegevens van alle studenten moeten worden meegedeeld aan de lokale contact tracers, is er B/ geen duidelijke maximale bewaartermijn vastgelegd en C/ te weinig transparantie en duidelijkheid over het ‘lokale contact tracing-team’ Conclusie Wij zijn van mening dat het Besluit dd. 18 september 2020 niet voldoet aan de geldende regelgeving, noch aan de recente richtlijn van de GBA, noch conformeert aan de geest van reeds genomen beslissingen door de Geschillenkamer van de GBA. Wij zijn dan ook erg benieuwd indien u hoegenaamd werd betrokken bij het opmaken van het Besluit, en zo ja, wat uw advies was naar aanleiding van het opstellen en publiceren ervan.
Antwoord DPO
We zullen dit artikel updaten met het (geanonimiseerde) antwoord van de DPO.