Dit zijn de belangrijkste aanbevelingen en te volgen procedures bij dergelijke vragen.
Aanbeveling CBPL - GBA
In 2012 werd er reeds een algemene aanbeveling gegeven door de Privacycommissie (nu Gegevensbeschermingsautoriteit GBA) die nog altijd geldt: https://www.gegevensbeschermingsautoriteit.be/publications/aanbeveling-nr.-06-2012.pdf
Welke entiteiten kunnen lijsten krijgen uit het lokaal bevolkingsregister?
• Instellingen van Belgisch recht die taken van algemeen belang vervullen en die niet over een toegangsmachtiging tot het Rijksregister beschikken, als het college van burgemeester en schepenen oordeelt dat de vraag gegrond is;
• Buitenlandse overheden, als de Minister van Buitenlandse Zaken vooraf zijn akkoord geeft;
• Politieke partijen, uitsluitend voor verkiezingsdoeleinden tijdens de zes maanden die voorafgaan aan de datum van een gewone verkiezing of tijdens de veertig dagen die voorafgaan aan de datum van een buitengewone verkiezing;
• Opiniepeilingsinstellingen die erkend zijn door de Minister van Economische Zaken.
Wat is een "instelling van Belgisch recht"?
Rechtspersonen naar privaat of publiekrecht die taken van algemeen belang vervullen. Dit moet blijken uit de rechtsvorm van de instelling (rechtspersoon naar publiek recht), of de aard van de activiteit (rechtspersoon naar privaat recht die een caritatief, cultureel of filantropisch doel nastreeft), met uitsluiting van alle instellingen die een commercieel of winstgevend doel nastreven. Zowel rechtspersonen van publiek recht als van privaat recht kunnen in aanmerking komen.
Een natuurlijke persoon, een feitelijke vereniging of organisatie, een comité e.d. voldoen niet aan dit criterium (zijn dus geen instelling van Belgisch recht), bijgevolg kan aan hen geen lijst worden verstrekt.
Bestaat er een aanvraagprocedure?
Rechtspersonen die in aanmerking komen, moeten een schriftelijke aanvraag richten aan het college van burgemeester en schepenen met vermelding
• van het nagestreefde algemeen belang,
• het concrete doeleinde waarvoor de gegevens worden gevraagd
• de noodzaak om daartoe over de gevraagde gegevens te kunnen beschikken (proportionaliteitstoets).
Het doeleinde moet kaderen binnen de statutaire of reglementaire taakomschrijving van de aanvrager. Het is de bevoegdheid van het college om te oordelen over de gegrondheid van elke aanvraag en het doel waarvoor ze gevraagd worden. Dit mag echter niet leiden tot willekeur of discriminatie, wat betekent dat gelijkaardige aanvragen (eenzelfde doel vanwege instellingen met een gemeenschappelijke opdracht) dan ook op dezelfde wijze moeten worden behandeld.
De gegevens die verstrekt worden moeten proportioneel zijn. In het licht van de bestaande wetgeving en van de heersende interpretatie die eraan wordt gegeven, moet het college van burgemeesters en schepen steeds voorzichtigheid aan de dag leggen bij het beoordelen van de aanvragen. Aan de aanvrager moet gemeld worden dat hij deze gegevens niet mag doorgeven aan derden.
Als verenigingen vragen om lijsten uit het bevolkingsregister te krijgen, moeten zij kunnen aantonen dat ze alle andere middelen reeds hebben gebruikt en merken dat het nagestreefde doel niet bereikt wordt. Zij hebben de plicht aan te tonen dat de verwerking van persoonsgegevens in de vorm van een lijst uit het lokaal bevolkingsregister onontbeerlijk is om het nagestreefde doel te bereiken.
Wat zijn andere middelen?
• publicatie op gemeentelijke website,
• publicatie in gemeentelijk infoblad,
• verdelen van specifieke flyers via gemeentehuis, scholen, postbedeling…
Wat kan beschouwd worden als taak van algemeen belang?
Hier wringt het schoentje. De aanbeveling van de CBPL geeft niet echt een omschrijving van dit begrip. Er wordt enkel duidelijk gemaakt wat het zeker niet kan zijn nl. het nastreven van een commercieel of winstgevend doel. Het nastreven van een caritatief, cultureel of filantropisch doel kan in beginsel wel onder deze noemer begrepen worden.
Vanuit de werkgroep informatieveiligheid VVSG (waaraan de VERA-veiligheidsconsulenten deelnemen) werden reeds enkele toelichtingen geformuleerd voor:
• Een aanvraag van scholen, jeugdverenigingen,... :
o Mag wel: een onderwijsinstelling, die in principe een lijst kan bekomen in het raam van haar pedagogische opdracht (algemeen belang) en lokale verenigingen, die in principe een lijst kunnen bekomen voor de caritatieve, culturele of filantropische doelen die ze nastreven.
o Mag niet: gepersonaliseerde reclamecampagne voor het onderwijs dat men verstrekt, bij (ouders van) potentiële leerlingen. De rekrutering van nieuwe leden door lokale verenigingen beantwoordt evenmin aan de finaliteit van de bevolkingsregisters.
Met andere woorden: er kunnen geen lijsten worden verstrekt aan scholen zodat ze leerlingen / ouders gepersonaliseerd kunnen aanschrijven om hen aan te sporen om zich bij die specifieke school in te schrijven. Dergelijke actie kadert niet in het uitvoeren van een taak van algemeen belang.
• Geboortes, huwelijken en jubilarissen publiceren (in gemeentelijke communicatiekanalen)
o Het consulteren van de bevolkingsregisters moet steeds gedekt zijn door een beslissing van het gemeentebestuur, een collegebesluit. Dit besluit laat toe de finaliteit van de raadpleging te controleren.
o De opdracht om het bevolkingsregister te raadplegen moet steeds gebeuren in functie van de "interne doeleinden", die moeten kaderen binnen de bevoegdheid van de gemeente uit hoofde van haar opdracht als openbaar bestuur.
o Dit neemt niet weg dat in het licht van de WVP of GDPR, m.i.b. het proportionaliteitsbeginsel, altijd moet worden nagekeken of er geen minder privacy-schendende manieren zijn om hetzelfde doel te bereiken. In dit voorbeeld is het de aanbeveling om toestemming van burgers te vragen vooraleer te publiceren!
Advies van de VERA-informatieveiligheidsconsulenten
• Wij als informatieveiligheidsconsulenten van VERA (VC/DPO) proberen via alle mogelijke kanalen de juiste adviezen te geven en gaan hiervoor vaak te rade bij de hogere overheden en nemen ook deel aan werkgroepen bij o.a. de VVSG. Op dit moment zijn er nog veel grijze zones en is er niet altijd een duidelijk antwoord. Wij proberen alles in overweging te nemen vooraleer we een advies geven.
• Het college van burgemeester en schepenen of de raad blijven natuurlijk de organen die hierover een beslissing moeten nemen, zij kunnen het advies van de VC/DPO volgen of naast zich neerleggen (weliswaar met een gemotiveerd collegebesluit).
• In het besluit van het college van burgemeester en schepenen moet de beslissing afgetoetst worden aan de rechtsgronden waarop men zich beroept om een opzoeking toe te laten: welke grondwettelijke basis, doelstelling gemeentelijke opdrachten, richtlijnen,.... Dit alles moet mee in de beslissing opgenomen worden alsook het advies van de VC/DPO.
• Met de nieuwe wetgeving GDPR is er nu wel een sanctie mogelijk, stel dat het college/raad tegen het advies van de VC/DPO in beslist om gegevens te geven kan dit leiden tot een geldboete, zeker als een burger klacht indient.