De Belgische privacytoezichthouder GBA heeft een ngo en een onderzoeker beide een boete opgelegd wegens het overtreden van de AVG. De ngo en onderzoeker verwerkten volgens de GBA op grote schaal Twitter-gegevens en publiceerden ruwe gegevens online, zonder beveiligingsmaatregelen te treffen zoals bijvoorbeeld het pseudonimiseren van de gegevens of het beperken van de toegang tot de bestanden.
De ngo houdt zich bezig met de bestrijding van desinformatie en publiceerde in 2018 onderzoek naar een politieke zaak in Frankrijk. Voor het onderzoek werden persoonsgegevens van 55.000 Twitter-accounts hergebruikt, waaronder meer dan 3300 politieke accounts. Daarnaast werden de ruwe bestanden van het onderzoek online geplaatst.
De GBA stelt dat de ngo de betreffende personen niet individueel hoefde in te lichten over de voor de studie verwerkte persoonsgegevens, omdat dit de studie en de publicatie ervan achteraf in gevaar had kunnen brengen. Het publiceren van de gevoelige gegevens die voor de studie zijn gebruikt, zonder hierbij aanvullende beveiligingsmaatregelen te treffen, is volgens de Belgische privacytoezichthouder niet in orde.
"Hoewel er ongetwijfeld geen kwade bedoelingen waren, heeft deze publicatie ervoor gezorgd dat de betrokkenen het risico liepen gediscrimineerd of in diskrediet te worden gebracht door de niet-geanonimiseerde politieke profilering", aldus de GBA. "De bestanden bevatten bovendien ook informatie over de religieuze overtuiging, de ethnische afkomst en de seksuele gerichtheid van de personen van wie de accounts waren geanalyseerd."
Door deze werkwijze hebben de ngo en de onderzoeker de AVG overtreden, waaronder de rechtmatigheid van de verwerking, transparantie ten aanzien van de betrokkenen en gegevensbeveiliging. De GBA heeft daarop besloten de ngo een boete van 2700 euro en de onderzoeker een boete van 1200 euro op te leggen, en een berisping uit te spreken. Bij de boete is rekening gehouden met het feit dat het om een kleine niet-gouvernementele organisatie zonder winstoogmerk en een natuurlijke persoon gaat.
"In deze beslissing bevestigt onze Geschillenkamer andermaal dat ook publieke beschikbare gegevens onder de bescherming van de AVG vallen (en dus ons toezicht). Het is dus niet omdat je iets publiek hebt gedeeld, dat je zomaar elk later hergebruik moet aanvaarden", zegt GBA-voorzitter David Stevens.
Deze posting is gelocked. Reageren is niet meer mogelijk.