RGPD: 5.000 euro boete voor een gemeenteraadslid!

In juni 2020 legde de Belgische gegevensbeschermingsautoriteit een kandidaat bij de gemeenteraadsverkiezingen een boete van 5.000 euro op. Een welkome herinnering: de GDPR geldt voor iedereen!

In mijn werk als RGPD adviseur werk ik met veel overheidsinstanties. Ik train veel DPO's en projectmanagers voor gemeenten en OCMW's. Ik ben altijd verbaasd om van deze mensen te horen dat politici vaak geen rekening houden met de RGPD in hun lokale politieke activiteiten.

Een al te gebruikelijke praktijk bij lokale politici is het gebruik van persoonsgegevens van VZW's die aan de gemeente verbonden zijn. Het is moeilijk voor gemeentewerkers om een verzoek van een gekozen vertegenwoordiger te weerstaan, zelfs als zij hem of haar eraan herinneren dat de RGPD de privacy van burgers beschermt. Veel ambtenaren denken namelijk nog steeds dat deze verordening hen niet aangaat. Ik maak dit vaak mee wanneer ik een conferentie geef aan lokale verkozenen.

Daarom was het belangrijk dat de Gegevensbeschermingsautoriteit de Belgische politiek er nog eens aan herinnerde dat ook zij de wetgeving inzake gegevensbescherming moet respecteren. Deze boete van 5.000 euro aan een kandidaat voor lokale verkiezingen is dan ook welkom. Een grappig detail: in dit geval was de klager de gemeente, en de kandidaat bleek een lid van de oppositie te zijn...

Het is niet de eerste keer dat de Belgische overheid sancties oplegt aan politiek personeel:

• De eerste sanctie, in mei 2019, betrof een burgemeester die in het kader van een verkavelingskwestie verzamelde persoonsgegevens had gebruikt om verkiezingspropaganda te versturen. De burgemeester kreeg een boete van 2.000 euro.
• Een burgemeester en een wethouder kregen ook een boete van 5.000 euro voor het kruisen van een contactbestand met de kieslijst.

Maar ondanks deze boetes en de verwijzingen ernaar in de pers lijkt de politiek als geheel het belang van naleving van de RGPD nog niet te hebben ingezien.

Men hoeft maar naar de officiële websites van politieke partijen te kijken om te beseffen dat de door de RGPD opgelegde vermeldingen er niet of onvolledig zijn. Soms kun je lid worden zonder een privacybeleid te zien, of pas nadat je je gegevens al hebt gecodeerd, of de partij vindt dat ze de gegevens onbeperkt mag bewaren...

Laten we niet vergeten dat de wetgever, die soms om het advies van de gegevensbeschermingsautoriteit moet vragen, vaak "vergeet" er rekening mee te houden. En toch zou het logisch zijn dat de politiek een voorbeeld stelt!

Laten we hopen dat deze nieuwe sanctie er eindelijk toe zal leiden dat de politiek een andere houding aanneemt en de persoonsgegevens van burgers respecteert.