Is een gemeente aansprakelijk wanneer een ambtenaar het Rijksregister onrechtmatig raadpleegt?

Wanneer een gemeenteambtenaar uit persoonlijke nieuwsgierigheid of zonder geldige reden in het Rijksregister kijkt, is niet enkel de ambtenaar in fout, maar vaak ook de gemeente zelf. Volgens een beslissing van de Gegevensbeschermingsautoriteit (GBA) van 19 november 2025 (nr. 188/2025) blijft het gemeentebestuur de ‘verwerkingsverantwoordelijke’. Zij schendt de Algemene Verordening Gegevensbescherming (AVG/GDPR) wanneer ze onvoldoende controlesystemen heeft om dergelijk misbruik te detecteren, zelfs als de werknemer strikte instructies negeerde.

De feiten: onrechtmatige inkijkjes door ambtenaren

Deze zaak draait om een klacht van een burger tegen een gemeente over twee incidenten waarbij ambtenaren onrechtmatig toegang zochten tot persoonsgegevens in het Rijksregister.

De feiten speelden zich af in december 2019:

• Incident 1: Een ambtenaar van de dienst bevolking raadpleegde de gegevens van de moeder van de klager voor louter privédoeleinden.
• Incident 2: Een andere ambtenaar bekeek de identiteitsfoto van de klager om te verifiëren met wie hij te maken had, louter uit “voorzichtigheid” omdat de klager een e-mail had gestuurd vanaf een adres met de naam van zijn overleden vader.

De gemeente gaf de feiten toe en startte tuchtprocedures tegen de betrokken ambtenaren. De gemeente argumenteerde echter dat zij zelf niet aansprakelijk kon worden gesteld. Volgens het bestuur waren de ambtenaren hun boekje te buiten gegaan en moesten zij individueel als de verantwoordelijken worden beschouwd.

De beslissing: gemeente blijft de eindverantwoordelijke

De Geschillenkamer van de GBA volgde de redenering van de gemeente niet. In haar beslissing oordeelde de GBA dat de gemeente wel degelijk de verwerkingsverantwoordelijke is en blijft voor de beveiliging van de gegevens, ook bij misbruik door personeel.

De GBA stelde twee inbreuken vast op de AVG:

1. Schending van de verantwoordingsplicht (Accountability – art. 5.2 AVG): De gemeente kon niet aantonen dat ze voldoende maatregelen had genomen om het gebruik van het Rijksregister te beveiligen.
2. Gebrek aan passende maatregelen (art. 24.1 AVG): Op het moment van de feiten beschikte de gemeente niet over een adequaat controlesysteem. Het softwaresysteem (SAPHIR) liet toe dat ambtenaren slechts een generieke reden (zoals “bevolking”) opgaven voor een opzoeking, waardoor gerichte controle onmogelijk was.

Hoewel de ambtenaren een vertrouwelijkheidsclausule hadden getekend, volstond dit volgens de GBA niet om de gemeente vrij te pleiten. De gemeente kreeg een berisping opgelegd.

Juridische analyse en duiding

Deze uitspraak bevestigt een strikte interpretatie van het begrip ‘verwerkingsverantwoordelijke’ binnen publieke besturen.

1. De werkgever als ‘verwerkingsverantwoordelijke’ (Art. 4.7 AVG)

Een cruciaal juridisch punt in deze beslissing is de verwerping van het argument dat de gemeente volledig vrijuit gaat als een werknemer zijn bevoegdheid te buiten gaat. De GBA stelt dat zolang de werknemer handelt binnen de context van de middelen die de werkgever ter beschikking stelt (toegang tot het Rijksregister via gemeentesoftware), de werkgever verantwoordelijk blijft voor de bepaling van doel en middelen van de verwerking in het algemeen. Nuance: De GBA merkt wel op dat de ambtenaren voor de specifieke onrechtmatige daad (de privé-opzoeking) zelf als verwerkingsverantwoordelijke moeten worden beschouwd, omdat ze hiervoor zelf het doel bepaalden buiten hun functie om. Dit ontslaat de gemeente echter niet van haar eigen aansprakelijkheid voor het gebrek aan adequate beveiliging en controle.

2. De verplichting tot actieve controle (Art. 17 Wet Rijksregister)

De beslissing benadrukt dat toegang tot het Rijksregister, gezien de gevoeligheid van de data van 11 miljoen burgers, een strikt kader vereist. Het louter laten tekenen van een ‘policy’ is onvoldoende. Besturen moeten voldoen aan de traceerbaarheidsvereiste. Artikel 17 van de Wet Rijksregister vereist dat elke raadpleging wordt gelogd met een specifiek reden (finaliteit). Een systeem dat toestaat om vage termen te gebruiken (zoals “bevolking” of “intern gebruik”), voldoet niet aan de wettelijke vereisten omdat het elke vorm van controle op het finaliteitsbeginsel onmogelijk maakt.

3. Geen administratieve geldboete voor overheden

Hoewel de inbreuk ernstig is, legt de GBA een berisping op en geen geldboete. De Geschillenkamer herhaalt hier haar standpunt dat de Belgische wetgever (vooralsnog) niet toestaat dat administratieve geldboetes worden opgelegd aan publieke overheden voor inbreuken begaan tijdens de uitoefening van hun publieke taken.

Wat dit concreet betekent voor uw organisatie

Deze uitspraak heeft directe gevolgen voor zowel burgers, werknemers als overheidsbesturen.

• Voor overheidsbesturen (Gemeenten, OCMW’s, Politiezones): Het is cruciaal om uw logsysteem te auditen. Kunt u achterhalen waarom een ambtenaar een specifiek dossier heeft geopend? Als uw software toestaat om velden leeg te laten of generieke redenen te selecteren, bent u in overtreding. U dient periodieke controles (bv. driemaandelijks) uit te voeren op de logbestanden. Een loutere vertrouwelijkheidsverklaring in het arbeidsreglement ontslaat u niet van aansprakelijkheid.
• Voor ambtenaren en werknemers: Deze beslissing betekent niet dat u vrijuit gaat. In deze zaak werden de betrokken ambtenaren tuchtrechtelijk gesanctioneerd (waarschuwing/tuchtstraf). Bovendien oordeelde de GBA dat zij ook als individuele verwerkingsverantwoordelijken kunnen worden beschouwd voor hun specifieke inbreuk, al werd de procedure in dit geval enkel tegen de gemeente gevoerd.
• Voor de burger: U heeft het recht om te weten wie uw gegevens heeft bekeken. Als u vermoedt dat een ambtenaar of politieagent uw gegevens uit privésfeer heeft opgezocht (bv. een ex-partner, een buur), kunt u klacht indienen. De overheid moet kunnen rechtvaardigen wie toegang had en waarom.

Veelgestelde Vragen (FAQ)

Kan een gemeente een boete krijgen van de GBA?
Nee, voor haar kerntaken als overheid niet. Artikel 221, §2 van de Wet Verwerking Persoonsgegevens bepaalt dat de administratieve geldboetes uit de AVG niet van toepassing zijn op overheden en hun aangestelden. Er is echter één uitzondering: publiekrechtelijke rechtspersonen die goederen of diensten aanbieden op een markt kunnen wél beboet worden. Voor louter bestuurlijke taken, zoals het beheer van het Rijksregister, geldt de immuniteit voor geldboetes wel (al blijven andere sancties zoals een berisping mogelijk).

Is de DPO (Functionaris Gegevensbescherming) verantwoordelijk voor de fout?
Nee. In deze zaak oordeelde de GBA uitdrukkelijk dat de DPO een adviserende en controlerende rol heeft, maar niet de doeleinden en middelen van de verwerking bepaalt. Zelfs als de DPO betrokken was bij de verdediging, blijft de gemeente als organisatie de enige eindverantwoordelijke voor de inbreuken op de AVG.

Wat moet er in het logboek van het Rijksregister staan?
Artikel 17 van de Wet Rijksregister is zeer strikt. Het register moet niet alleen de datum, het uur en de identiteit van de gebruiker bevatten, maar ook de geraadpleegde gegevens, de wijze van raadpleging (lezen of wijzigen) en het specifieke doel (de finaliteit) van de raadpleging. Bovendien moet dit register minstens 10 jaar bewaard worden.

Conclusie

Deze uitspraak is een duidelijke waarschuwing voor elke organisatie in België met toegang tot gevoelige overheidsdatabanken. Het vertrouwen op het gezond verstand van werknemers volstaat niet; er is een actieve verplichting tot technische controle en logging.