top of page
logo.png
rood vlak

beslissing GBA – informatie en transparantieverplichtingen en recht op gegevenswissing

  • Foto van schrijver: Olivier Sustronck
    Olivier Sustronck
  • 11 jul
  • 3 minuten om te lezen

Door Joyce Herssens


Op 5 juni 2025 behandelde de Gegevensbeschermingsautoriteit (GBA) een dossier met betrekking tot de informatieverplichtingen in de privacyverklaring van een onderneming en het recht op gegevenswissing. De beslissing maakt duidelijk hoe belangrijk het is dat ondernemingen zorgvuldig omgaan met persoonsgegevens, zeker wanneer zij samenwerken met derden zoals in dit geval, een incassobureau. In deze blogpost vatten we de belangrijkste elementen uit de beslissing samen.

 

Feiten

 

De zaak betrof drie partijen: een klant (de klager), een groep van kinderdagverblijven actief in Vlaanderen en Brussel (verweerder 1) en een incassobureau (verweerder 2). De feiten dateren zich van 2016 wanneer verweerder 1 een factuur stuurt naar de klager. Deze bleef onbetaald en wordt vervolgens door verweerder 1 overgedragen aan verweerder 2, het incassobureau. Op 14 februari 2017 stuurt verweerder 2 een eerste aanmaning. In december 2017 reageert de klager dat de schuldvordering ongegrond is en verzoekt hierbij ook zijn gegevens te wissen.

 


info punt aanduiding

In 2018 erkent verweerder 1 dat de vordering gebaseerd was op een facturatiefout en scheldt het openstaande bedrag kwijt. De klager herhaalt zijn verzoek tot gegevenswissing. Verweerder 2 bevestigt op 25 juni 2018 dat de gegevens uit de databank gewist zijn. Toch ontvangt de klager in september van dat jaar opnieuw twee betalingsverzoeken van het incassobureau. Volgens verweerder 2 ging het om een technische en menselijke fout bij het verwijderen van de gegevens, wat leidde tot het onbedoeld opstarten van een nieuw invorderingsdossier.

 

Op 17 oktober 2018 dient de klager een klacht in bij de GBA. De zaak komt tot de Geschillenkamer, die een onderzoek laat uitvoeren door de inspectiedienst. De Inspectiedienst stelt verschillende inbreuken vast bij zowel verweerder 1 als verweerder 2.

 

Onvolledige privacyverklaring en verwerkingsregister

 

Enerzijds werd voor verweerder 1 vastgesteld dat de privacyverklaring die ze hanteerden geen informatie bevatte over de verwerking van persoonsgegevens in het kader van invordering van niet betaalde facturen. Verweerder 1 stelde dat de betrokkene hier al van op de hoogte was maar kon geen bewijs voorleggen. De Geschillenkamer oordeelde dat dit in strijd was met de artikelen 12.1 en 13 van de GDPR en sprak een berisping uit.

 

Anderzijds had verweerder 1 de verwerking van persoonsgegevens voor invorderingsdoeleinden niet opgenomen in haar register van verwerkingsactiviteiten, zoals verplicht wordt onder artikel 30 GDPR. Ook voor deze inbreuk wordt een berisping geformuleerd. Verweerder 1 verdedigde zich met het argument dat ze zich gebaseerd had op het model van Kind & Gezin en ervan uitging dat dit voldeed aan de wettelijke eisen. De Geschillenkamer verwerpt dit argument en benadrukt dat ondernemingen zelf verantwoordelijk blijven voor het nemen van passende technische en organisatorische maatregelen om de gegevensverwerking in overeenstemming met de verordering uit te voeren.

 

Pseudonimiseren volstaat niet bij een verzoek tot wissing

 

delete knop op toetsenbord

Eveneens werd langs de kant van verweerder 2 ernstige tekortkomingen vastgesteld. Verweerder 2 beweerde dat de persoonsgegevens waren gewist maar het bleek dat een e-mail nog bewaard was gebleven. Volgens de Geschillenkamer is dit ook een vorm van verwerking en schendt dit artikel 17 GDPR. Bovendien had verweerder 2 niet alle gegevens gewist maar slechts gepseudonimiseerd. Volgens de DPO van verweerder 2 gebeurde dit volgens het algemeen beleid: gegevens die onrechtmatig werden verkregen, werden gewist. Maar wanneer iemand verzocht om gegevenswissing, werden de gegevens enkel gepseudonimiseerd. De Geschillenkamer oordeelde dat dit beleid in strijd is met de GDPR en beval dat de gegevens alsnog volledig verwijderd moesten worden.

 

Mogelijk belangenconflict DPO

 

Tot slot stelde de Inspectiedienst nog vast dat de DPO van verweerder 2 ook de rol van compliance officer vervulde, wat mogelijk aanleiding geeft tot een belangenconflict. Verweerder 2 betwistte dit en stelde dat de Inspectiedienst geen concreet bewijs leverde. Ze gaf ook aan dat sinds 14 mei 2021 een externe DPO is aangesteld, die de functie van compliance officer niet cumuleert. Door de reeds genomen maatregelen, seponeert de Geschillenkamer dit dossier.

 

Aantal belangrijke GDPR-lessen uit deze beslissing

 

·       Zorg voor een volledige privacyverklaring met betrekking tot het invorderen van niet betaalde facturen

·       Vermeld alle verwerkingsdoeleinden in je register van verwerkingsactiviteiten

·       Wees voorzichtig met standaardmodellen, je blijft er zelf verantwoordelijk voor.

·       Neem verzoeken tot gegevenswissing serieus en voer ze volledig en correct uit

 

bottom of page