Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Belgische privacywaakhond legt eerste AVG-boete op van 2000 euro

De Belgische gegevensbeschermingsautoriteit GBA heeft de eerste AVG-boete in het land uitgedeeld. De privacywaakhond legde een boete van tweeduizend euro op aan een burgemeester, omdat die e-mailadressen van burgers gebruikte in een campagne.

Het is de eerste Belgische boete sinds de Algemene Verordening Gegevensbescherming in werking trad in het land. Dat gebeurde, net als overal in Europa, op 25 mei vorig jaar.

De boete komt voor rekening van een burgemeester van een niet nader genoemde gemeente. Een groep burgers was eerder in conflict met de burgemeester over een probleem rondom een kavelwijziging. De architect van de klagers had contact met de burgers en zette hen allen in de cc van een e-mail. De dag vóór de gemeenteraadsverkiezingen gebruikte de burgemeester die e-mail om een campagnebericht te versturen.

De Geschillenkamer van de GBA vond dat een overtreding van de AVG en legde naast een berisping ook een boete van tweeduizend euro op aan de burgemeester. De autoriteit geeft toe dat de geldboete 'bescheiden' is, maar zegt dat zij daartoe kwam vanwege 'de aard, de ernst en de duur van de inbreuk'. De GBA wil er een signaal mee afgeven. "Hoewel de boete bescheiden is, is de boodschap dat niet: de gegevensbescherming is een zaak van ons allen."

Volgens de GBA moeten juist burgemeesters extra goed opletten op dergelijke overtredingen. "Het feit dat politici gebruikmaken van persoonsgegevens voor hun verkiezingscampagnes, baart vele burgers zorgen", schrijft de GBA. "Houders van een overheidsmandaat moeten er zich van bewust zijn dat de gegevens die worden verkregen in het kader van een openbaar ambt, nooit opnieuw mogen worden gebruikt voor persoonlijke doeleinden."

Door Tijs Hofmans

Redacteur privacy & security

29-05-2019 • 14:50

48 Linkedin Google+

Submitter: Neglacio

Reacties (48)

Wijzig sortering
Op deze site kun je een overzicht vinden van AVG boetes in Europa:
https://www.dailybits.be/...-gdpr-boetes-rechtszaken/
Jammer dat deze overzichten een verkeerd beeld schetsen. Alle boetes in het overzicht bij Nederland zijn boetes die weliswaar ten tijde van de GDPR werden opgelegd, maar nog onder de reikwijdte (en voorwaarden) van de Wet bescherming persoonsgegevens vielen. De politie kreeg een boete die helemaal niks met de AVG te maken heeft, maar met de Wet Politiegegevens (toch in het overzicht).

Ik zou het overzicht met een korreltje zout bekijken. De media heeft vaak geen goed besef op welke grond een bepaalde boete is gegeven, en veel informatie wordt fout overgenomen waardoor het lijkt alsof er een 'AVG boete' is gevallen. Soms gaat het zelfs niet eens om een boete, maar om een verbeurde dwangsom. Een juridisch relevant verschil.

[Reactie gewijzigd door WouterL op 29 mei 2019 17:27]

Had de architect de burgers dan niet in de BCC moeten zetten om te voorkomen dat de burgermeester de mailadressen kreeg?
Nee, het gaat er om dat de mailadressen niet voor communicatie gebruikt zijn waar ze voor bedoeld zijn.
Had de burgemeester aan alle in de bcc een mail gestuurd over het onderwerpvan de architect dan was het normale correspondentie. Nu gebruikte hij deze voor persoonlijke mail over politieke partij. Dat is dus niet namens de gemeente, niet over het ontwerp en had hij dus niet mogen beschikken over die mailadressen.

Als je nog een stap verder gaat zou je ook kunnen stellen dat er een datalek is. De mailadressen zijn waarschijnlijk overgedragen naar de partij van de burgemeester.
Je reactie klopt voor zover ik weet inhoudelijk, maar waar Youri219 en (hier onder) MDKlapwijk waarschijnlijk op doelen is dat wanneer de architect iedereen in de BCC had gezet, de burgermeester deze email adressen helemaal niet had kunnen inzien.

CC = Carbon Copy | Iedereen die de mail, of zo'n "kopie" ontvangt kan de andere "Aan" en "CC" adressen zien.
BCC = Blind Carbon Copy | De originele en CC ontvangers kunnen niet zien wie er allemaal de BCC ontvangt.

Edit - Aanvulling:
Daarmee had de situatie potentieel voorkomen kunnen worden. Of de burgermeester de email adressen al in bezit had weten we niet, maar aan de hand van het artikel lijkt het alsof hij in die specifieke email van de architect op "reply all" heeft geklikt.

Nu die burgermeester wél alle CC email adressen heeft in kunnen zien, heeft hij er misbruik van kunnen maken.

[Reactie gewijzigd door Fero op 29 mei 2019 15:41]

Ik snap niet goed waarom dat BCC argument wordt gebruikt. Het moet toch duidelijk zijn voor de burgemeester wie er allemaal is aangesproken en de burgemeester moet ook een aanvullende mail kunnen sturen naar al de personen waar die communicatie rond draait. Daarom dat CC wordt gebruikt.

het is natuurlijk van de zotte als een burgemeester zulke correspondentie gaat misbruiken voor zijn eigen campagne, daarom terecht een boete
Je reactie klopt voor zover ik weet inhoudelijk, maar waar Youri219 en (hier onder) MDKlapwijk waarschijnlijk op doelen is dat wanneer de architect iedereen in de BCC had gezet, de burgermeester deze email adressen helemaal niet had kunnen inzien.
Dat klopt, maar dat was niet het probleem. Het door de architect gebruiken van cc is in die situatie prima te verantwoorden namelijk, en een normaal onderdeel van communicatie tussen een groep personen met een gedeelde doelstelling, en de burgemeester was blijkbaar onderdeel van die groep.

Daarna echter heeft de burgemeester die informatie misbruikt voor een ander doeleinde, namelijk zijn politieke campagne.
BCC zorgt er juist voor dat de ontvangers niet van elkaar kunnen zien aan wie het bericht allemaal is doorgestuurd, juist om te voorkomen dat je dus email adressen lekt...
En dus ook de burgemeester onmogelijk maakt om TERECHTE communicatie in het dossier te sturen. Kind/badwater enzo
idd doelbinding

[Reactie gewijzigd door RemcoV90 op 29 mei 2019 15:32]

Neen, mijn inziens mochten deze mailadressen gedeeld worden door de architect, aangezien zij allen betrokken waren in een zaak tussen hun en de gemeente/burgemeester. Zodoende wist ook de burgemeester dat die burgers op de hoogte waren. Ook mocht de burgemeester deze mailadressen gebruiken om een verdere stand van zaken te geven met hun zaak. Maar dus niet voor andere mailtjes
Aanvullend daarop: het is niet gek dat de burgemeester ook kan reply'en naar de adressen in de CC, want de mensen daarachter zijn gewoon een partij in het conflict, en dat gaat niet bij BCC.

[Reactie gewijzigd door bwerg op 29 mei 2019 15:25]

Ja. Hij had het sowieso in de BCC moeten zetten om de emailadressen van de burgers voor elkaar prive te houden. BCC kan volgens mij niet eens meer met AVG, of iedereen moet opt-in zijn m.b.t. die mailing(app).

Er zitten wel 3 'andere kanten' aan:
1. Wellicht hadden de burgers elkaars emailadres toch al, omdat ze in een bepaalde groep samen zaten
2. Met iemand of meerdere personen in de CC een mail sturen naar iemand, zorgt er vaak wel voor dat die geadresseerde goed en netjes reageert, want er zit dan wat meer druk en bewijs achter. Vaak reageert soms iemand niet, dan zet je even zijn meerdere of de klantnaam erbij in de cc en dan komt er opeens wel direct een antwoord.
3. Soms wordt de BCC 'not done' gevonden. Bij een bedrijf waar ik werkte was dat zo. Daar vonden ze het echt niet kunnen als je 'stiekem' ook andere liet meelezen via de BCC met een mailwisseling.
Omdat onduidelijk is in welk context de communicatie tussen de burgers, burgemeester en de architect plaatsvond kan niet worden gesteld dat BCC sowieso de enige juiste optie was!

Mogelijk was het hier juist wettelijk verplicht dat alle partijen van elkaars betrokkenheid af wisten en contact met elkaar konden leggen, of was het gewoon zo afgesproken met de architect die namens deze mensen sprak.
Mooi voorbeeldje dat de AVG ze'n doel weer voorbij gaat.
Opgesteld met de bedoeling een halt toe te roepen aan grote bedrijven die misbruik maken van heel die gegevensverwerking en er tonnen aan verdienen.
Waar gaat de boete naar : 1 of andere derderangsburgervader, die even niet verder nadacht dan zijn neus lang is en de AVG overtreedt zonder het waarschijnlijk te beseffen.

Top gedaan weer Europa !
Opgesteld met de bedoeling een halt toe te roepen aan grote bedrijven die misbruik maken van heel die gegevensverwerking en er tonnen aan verdienen.
Waar gaat de boete naar : 1 of andere derderangsburgervader, die even niet verder nadacht dan zijn neus lang is en de AVG overtreedt zonder het waarschijnlijk te beseffen.
Top gedaan weer Europa !
Ik adviseer minder roepen en meer lezen.

Zie bv Uber, die 6 ton boete heeft gekregen voor het niet melden van een lek, of hier bv Google, die 50 miljoen euro boete heeft gekregen voor het niet in lijn brengen van zijn voorwaarden met de GDPR. En ook Facebook heeft £500k moeten betalen voor onvoldoende maatregelen tegen datamisbruik.

[Reactie gewijzigd door kramer65 op 29 mei 2019 15:21]

Nou ja, als je zegt dat hij hier de AVG overtreedt zonder het te beseffen vind ik dat je zijn transgressie wel minimaliseert. Hij heeft als kandidaat informatie die hij als burgemeester heeft ontvangen willens en wetens gericht voor de campagne ingezet. Dat vind ik toch wel kwalijk. Onwetendheid of onbekendheid met de wet is zeker geen excuus, omdat dit ook moreel verwerpelijk gedrag is.
Bovendien is het ook uiterst onwaarschijnlijk dat hij onbekend zou zijn met de wet aangezien zijn gemeente waarschijnlijk ook ontzettend veel werk heeft moeten doen om zich voor te bereiden op GDPR. Dat kan de burgemeester dan toch niet ontgaan zijn?
Hoezo Europa?
De Belgische overheid en de GBA voeren hun versie van de GDPR uit. Dat de nationale overheden en instanties niet achter de "Grote Jongens" aangaan is niet de schuld van de EU
Dit is juist de precieze uitvoering van de AVG, je gegevens gebruiken om geld te verdienen mag prima onder de AVG met toestemming en duidelijk omschrijving.
Je zou er van verschieten wat voor gegevensdatabank een lokaal politicus verzameld.
Verdiep je a.u.b. eens een beetje in de materie.....

De AVG raakt zowel de ZZP'er als de grote bedrijven, en -ook- de gemeentelijke- en rijksorganisaties.
E.e.a. is juist bedacht om -jouw- gegevens te beschermen, i.p.v. 'geld verdienen' met -jouw- data.
Wie, Wat, Waar en Hoe wordt er omgesprongen met persoonsgegevens.

Je zg. 'derderangs burgervader' zal zich ook gewoon moeten conformeren, en als dat idd niet lukt is het result in principe een zg. 'datalek' en is dat volgens de AVG een boete waard.
Ook al was dat in een onbewaakt ogenblik een copy/paste van emailgegevens.

[Reactie gewijzigd door RobWu op 29 mei 2019 15:27]

Het is bovendien niet de EU die de boete oplegt, maar de Belgische datawaakhond.
Ik vind dit juist goed, hij hoort niet te beslissen wat er gebeurt met mijn data. netzoals dat iemand anders niet mijn telefoonnummer zomaar met jan en alleman hoort te delen, daar moet ik gewoon op kunnen vertrouwen anders stort onze maatschapij in.
Ik neem aan dat de boete dan ook naar de burgemeester persoonlijk gaat en niet naar de gemeente ?
Dat zal wel moeten. In België kunnen overheden geen geldelijke sancties ontvangen van de toezichthouder. De Belgische uitvoeringswet heeft deze namelijk expliciet uitgesloten van geldelijke sancties.

De Belgische autoriteit kan de gemeente niet beboeten, ook al zouden ze dat willen ;)
Dat is aanleiding geweest voor verschillende Belgische organisaties om een klacht in te dienen bij het Belgische Constitutioneel Hof: de wetsbepaling zou in strijd zijn met het gelijkheidsbeginsel (een overigens vrij kansarme klacht).

Wat ik vrij interessant vind, is of het GBA hier een boodschap probeert over te brengen. Gemeentes zijn weliswaar uitgezonderd van de boetes als bestuurlijke orgaan, maar diens functionarissen (blijkbaar) niet. Daarnaast bestaat er een uitzondering wanneer de gemeente handelt uit privaatrechtelijke handelen, en niet publiekrechtelijk. In dit geval kan daar best een 'case' voor worden gemaakt. Misschien is hierbij leidend dat de burgemeester de e-mailadressen gebruikte voor persoonlijk gewin, en niet voor de uitoefening van zijn wettelijk taken.

Het handelen van de burgemeester, en daarmee de gemeente, valt dan onder louter privaatrechtelijk handelen.

De GBA gaat hier in het boetebesluit helaas niet verder op in, en neemt genoegen met een verwijzing naar de Wet tot oprichting van de Gegevensbeschermingsautoriteit.

[Reactie gewijzigd door WouterL op 29 mei 2019 15:55]

De grap is dat de burgemeester gewoon een declaratie kan indienen en als de gemeente de boete moet betalen, komt de rekening vanzelf weer bij de bewoners terecht. Sigaar uit eigen doos deze boete dus. ;)
Je wordt gemind, maar ik denk dat dit dichter bij de waarheid komt dan je denkt.
Burgemeester was in functie neem ik aan, want burgemeester ben je 24/7. Zal wel een verzekering of zo zijn voor onrechtmatige daden van burgemeester en schepenen. :)
Onrechtmatige daden kan je maar zelden verzekeren. Misschien zelfs helemaal niet, want zo'n verzekering zou de verboden daden uitlokken.
Klopt, daarom zijn bestuursaansprakelijkheidsverzekeringen ook onzin. Een bestuur is zelden aansprakelijk en als ze dat toch zijn dan is het meestal persoonlijk laakbaar handelen of zo en ook niet gedekt.
Een burgermeester kan net zo min boetes declareren als willekeurig welke privé uitgave. Declarabel zijn alleen kosten gemaakt voor de uitoefening van zijn ambt, en het vonnis maakt expliciet dat daar geen sprake van was.
Het betreft een bericht ter promotie van de gemeenteraadsverkiezingen. Zelfs al zou de boete niet op naam van de burgemeester staan dan was het wel voor zijn partij lijkt me. Ik mag hopen dat de gemeente geen boetes hoeft te betalen voor de campagne van een specifieke partij.
2000 euro? dat is toch een lachertje?
Boetes zijn afhankelijk van de ernst van het datalek.
In dit geval was het datalek klein en eenmalig, dus een relatief kleine boete.

Facebook die b.v. persoonsgegevens in plain text op een onbeheerde server zet, kan een veel grotere boete verwachten.
zal toch een aanzienlijk deel van zijn maandloon zijn denk ik... Best pittig, ook al ben je burgemeester. (en mogelijks digibeet)
gewoon als kostenpost afschrijven :)
€2000. da's nog steeds heel goedkope marketing.
Afhankelijk hoeveel adressen in de CC stonden is het nog best duur. Volgens "gegevensbeschermingsautoriteit.be" ging het om een beperkt aantal adressen en iets van korte duur en daarom is het bedrag zo laag.
Als je op de site kijkt die hierboven ook wordt genoemd door @Davey400 dan staat dit bedrag niet echt in verhouding vind ik. 2000 euro is niets voor marketing. Ga maar eens kijken wat je al aan een beetje campagne uitgeeft ook adwords of facebook. Dat zijn toch best wel even hogere bedragen dan dit. Burgermeester komt er dus echt nog erg goed vanaf.

https://www.dailybits.be/item/overzicht-gdpr-boetes-rechtszaken/#NL
48k EUR voor 2 weken te laat inzicht in gegevens geven...

@Falcon10 Overheden en ook burgermeesters zijn mensen die zich wel degelijk op de hoogte horen te zijn van dit soort dingen. En ook als je als burgermeester een campagne voert, hoor je na te denken waar je je spullen vandaan haalt. Om eerlijk te zijn vind ik persoonlijk dit voldoende om de beste man uit z'n ambt te zetten. Hij heeft het belang van zichzelf (het herverkozen worden) hoger staan dan het belang van z'n burgers.

Trouwens... 40K boete voor de politie in NL... leuk, dat wordt dus ook gewoon uit belastinggeld betaald... :(

Ik ben helemaal voor het beschermen van privacy gevoelige informatie, maar ik heb het gevoel dat het hele GDPR en de lokale implementaties ervan sterk verschillen per land. Als ik zo kijk naar de boetes in de verschillende landen, lijkt het niet echt op 1 lijn te zitten qua bedragen. Al is dat wel lastig in te schatten vanaf de korte omschrijvingen.
tja hier heb je dus heel weinig aan...de burgers betalen uiteindelijk de boete...en die burgemeester zou het volgende keer zo weer doen denk ik
Nope, dit kan niet verhaald worden op de gemeente. Zie de reactie van WouterL: WouterL in 'nieuws: Belgische privacywaakhond legt eerste AVG-boete op van 20...
yep maar wie betalen zijn salaris? of wie spekt er de partijkas? juist de burgerij ;)
Tja dat geld krijgt hij toch wel, nu heeft ie 2000 spaargeld minder wat de overheid opnieuw ergens anders aan kan spenderen :)
Geen idee hoe dat in België geregeld is (daar gaat het artikel immers over), maar in Nederland betaalt de gemeente het salaris van de burgemeester. De hoogte daarvan wordt vastgesteld aan de hand van het aantal inwoners van de gemeente. Dit is wettelijk vastgesteld.

Ik kan even geen actuele wetgeving vinden, enkel een wet die per 01-01-2019 niet meer van kracht is.
https://wetten.overheid.nl/BWBR0006743/2018-01-01

Dit wordt dus niet "door de burger" betaald.
uiteindelijk natuurlijk wel...het komt dan uit de schatkist...en wie vult die schatkist? de grootste bijdrager is de burger. indirect betaald de burger dus het salaris van de burgemeester
Ja, hehe.
Indirect betaal je voor alles in je omgeving. |:(
Zelfde als in België, Artikel 19 in volgende link:

https://www.avcb-vsgb.be/...entebestuur-art-1-70.html
De architect van de klagers had contact met de burgers en zette hen allen in de cc van een e-mail. De dag vóór de gemeenteraadsverkiezingen gebruikte de burgemeester die e-mail om een campagnebericht te versturen.
Oeps... hoe lang is de lijst met email adressen? :')

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Televisies

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True