Newsflash
Gegevensbescherming en privacy

Recentelijk werd door de Gegevensbeschermingsautoriteit (GBA) een administratieve geldboete van 100.000,00 EUR opgelegd aan een financiële instelling. Er was gebleken dat een werknemer, zonder toestemming en voor persoonlijke doeleinden, herhaaldelijk de financiële gegevens van zijn ex-vrouw had geraadpleegd. De GBA was van oordeel dat de onrechtmatige raadpleging door een werknemer een werkgever niet vrijstelt van zijn verantwoordelijkheden en verplichtingen als verwerkingsverantwoordelijke. Dit geldt des te meer wanneer werknemers toegang hebben tot gevoelige gegevens.

Feiten

Een kaderlid in dienst bij een financiële instelling consulteerde, tussen 2016 en 2018, maar liefst 20 keer de gegevens van zijn ex-echtgenote in de Centrale voor kredieten aan particulieren (CKP) bij de Nationale Bank van België (NBB). Nadat de NBB de ex-echtgenote op de hoogte had gebracht over het feit dat haar gegevens in het CKP-register herhaaldelijk door desbetreffende financiële instelling werd geconsulteerd, richtte ze zich in eerste instantie rechtstreeks tot de financiële instelling om dan vervolgens een eerste klacht in te dienen bij de GBA.

De Eerstelijnsdienst van de GBA startte hierop een onderzoek en vroeg informatie omtrent een eventuele rechtsgrond om deze 20 consultaties te kunnen rechtvaardigen. Daarnaast werd gevraagd om een lijst over te maken met alle raadplegingen van het CKP-register, de identiteit van de personen die desbetreffende databank hadden geraadpleegd, en de geraadpleegde gegevens. De financiële instelling kon hieromtrent geen voldoende adequate antwoorden verstrekken met als gevolg dat de ex-echtgenote opnieuw een klacht bij de GBA indiende.

Ditmaal richtte de klacht zich zowel tegen de financiële instelling als tegen de ex-echtgenoot wegens de onrechtmatige inzage van haar financiële gegevens in het CKP-register. Tevens wenste ze bijkomende informatie te verkrijgen omtrent eventuele sancties die de financiële instelling tegen de werknemer had genomen.

De Geschillenkamer van de GBA besloot om beide klachten in afzonderlijke dossiers te behandelen. Onderstaande bespreking heeft enkel betrekking op het gedeelte van de klacht tegen de financiële instelling. 

Beslissing van de Geschillenkamer van de GBA

Wie is de verwerkingsverantwoordelijke?

De GBA besluit dat de financiële instelling als verwerkingsverantwoordelijke moet worden beschouwd voor de raadplegingen in het CKP-register aangezien deze de doeleinden waarvoor en de middelen waarmee de persoonsgegevens worden verwerkt in het kader van het afsluiten van kredieten, bepaalt. De omstandigheid dat een kaderlid ten onrechte de beschikbare middelen – het CKP-register – heeft afgewend van het doel – m.n. de voorafgaandelijke verplichting tot consultatie van het register bij het afsluiten van kredieten –  stelt de financiële instelling immers niet vrij van zijn verantwoordelijkheden en verplichting om de beginselen inzake de verwerking van persoonsgegevens na te leven.

Verantwoordelijkheden en verplichtingen van de verwerkingsverantwoordelijke

De financiële instelling heeft als verwerkingsverantwoordelijke de verplichting om passende technische en organisatorische maatregelen te nemen om de naleving van de beginselen van de AVG te waarborgen en de veiligheid en vertrouwelijkheid van persoonsgegevens te garanderen en een ongeoorloofde verwerking ervan door zijn werknemers te voorkomen.

De specifieke situatie dat een kaderlid maar liefst 20 keer, over een tijdspanne van ruim twee jaar, onopgemerkt het CKP-register van het NBB kon raadplegen, toont volgens de GBA aan dat de financiële instelling onvoldoende technische en organisatorische maatregelen had genomen om de gegevens te beschermen tegen onrechtmatige toegang door werknemers. Het gegeven dat de financiële instelling ook geen enkele vorm van controlemechanisme voorhanden had om achteraf de consultaties door werknemers te kunnen nagaan, vormt een bijkomende inbreuk. De verantwoordingsplicht (principe van “accountability”) vereist immers dat de verwerkingsverantwoordelijke te allen tijde - en dus ook voor alle werknemers - op een transparante en traceerbare wijze moet kunnen aantonen dat de beginselen van de AVG worden nageleefd en de veiligheid en vertrouwelijkheid wordt gegarandeerd.

In dit kader beveelt de GBA aan om IT-logs bij te houden. IT-logs laten immers toe om achteraf de verschillende loggings in het IT-systeem (wie heeft zich op welk ogenblik toegang verschaft tot welke gegevens?) op een gedetailleerde wijze te kunnen traceren in geval van een eventuele controle of (vermoeden van) misbruik. 

Tot slot stelde de GBA eveneens een schending vast van de informatieplicht en het recht van inzage.    

Corrigerende maatregelen en sancties

De financiële instelling kreeg het bevel om, binnen de drie maanden na datum van de beslissing, voldoende aanvullende beveiligingsmaatregelen te implementeren om de veiligheid en vertrouwelijkheid van de persoonsgegevens in het CKP-register van de NBB te garanderen. De aanvullende maatregelen die de financiële instelling reeds had genomen sinds het incident aan het licht kwam, werden door de GBA als onvoldoende beschouwd.

Daarnaast is de financiële instelling veroordeeld tot een administratieve boete van 100.000 EUR. De GBA rechtvaardigt de hoogte van dit bedrag op basis van de volgende motieven: de gevoelige aard van de gegevens waarop deze betwisting betrekking had, de uitgestrekte periode waarin en het aantal keer dat deze onrechtmatige consultaties plaatsvonden, de hoeveelheid aan gevoelige persoonsgegevens die de werknemers van de financiële instelling op dagdagelijkse basis moeten verwerken en tot slot de omstandigheid dat zonder de klacht van de ex-echtgenote deze onrechtmatige consultaties mogelijks nog een langere tijd onder de radar van de financiële instelling zouden zijn gebleven.

Actiepunt

Let op! In het kader van de GDPR ben je als verwerkingsverantwoordelijke aansprakelijk voor alle onrechtmatige verwerkingen van persoonsgegevens door werknemers.

Het is dan ook cruciaal om over een policy te beschikken waarin duidelijke instructies worden gegeven aan werknemers die in het kader van hun functie persoonsgegevens verwerken. Tot slot zorg je best ook voor een adequaat controlesysteem (IT loggings) zodat je steeds kan nagaan wie, wanneer en om welke reden persoonsgegevens heeft geconsulteerd.