GDPR - AVG

Mag een burgemeester de contactlijst van de gemeente gebruiken voor zijn privéproject?

Joris Deene
4 weken geleden
149 keer bekeken
6 minuten leestijd

Een publiek mandaat brengt een grote verantwoordelijkheid met zich mee, zeker op het vlak van gegevensbescherming. Een beslissing van de Gegevensbeschermingsautoriteit (GBA) van 10 oktober 2025 (nr. 163/2025) schept duidelijkheid over een gevoelige vraag: mag een burgemeester de officiële contactgegevens van de gemeente aanwenden om reclame te maken voor een persoonlijk, commercieel project? Het antwoord is een ondubbelzinnige nee. De GBA oordeelde dat dit een onrechtmatige verwerking van persoonsgegevens is die de Algemene verordening Gegevensbescherming (AVG) schendt.

De feiten: een uitnodiging met dubbele agenda

De zaak draaide rond een burgemeester die de e-mailadressen van honderden interne medewerkers, externe relaties en burgers gebruikte om een uitnodiging te sturen voor de voorstelling van zijn nieuwe boek. Deze uitnodiging werd verstuurd vanaf zijn officiële e-mailadres van de gemeente.

Hoewel de burgemeester argumenteerde dat het boek zijn bestuurlijke visie vertaalde en kaderde binnen het algemeen belang om burgers te informeren, stelde de GBA een ander doel vast. De uitnodiging en het boek waren rechtstreeks gelinkt aan een nieuw, privaat en commercieel project van de burgemeester, compleet met een eigen website, coachingaanbod en zelfs een recent opgerichte vennootschap. De focus lag dus niet op het algemeen belang van de gemeente, maar op de commerciële belangen van de burgemeester als privépersoon.

De beslissing van de Geschillenkamer

De Geschillenkamer van de GBA oordeelde dat zowel de burgemeester als de gemeente in de fout gingen, zij het op verschillende gronden.

1. De burgemeester als aparte ‘verwerkingsverantwoordelijke’

Dit is de juridische kern van de zaak. De GBA stelde dat de burgemeester voor het versturen van deze specifieke e-mail niet handelde als ‘medewerker’ van de gemeente, maar als een afzonderlijke verwerkingsverantwoordelijke. Waarom? Omdat hij zélf het doel van de gegevensverwerking bepaalde (direct marketing voor zijn boek) en de middelen inzette (de e-mailomgeving van de gemeente).

Dit onderscheid is belangrijk: omdat hij als een aparte entiteit handelde, kon hij zich niet verschuilen achter de rechtsgronden die de gemeente had om die contactgegevens te verzamelen en te gebruiken.

2. Geen geldige rechtsgrond voor direct marketing

De gemeente verzamelde de contactgegevens voor haar taken van algemeen belang, zoals de communicatie met burgers en de interne werking. Het versturen van een commerciële uitnodiging is hiermee onverenigbaar.

De burgemeester had dus een eigen, nieuwe rechtsgrond nodig voor zijn direct marketing-actie. Volgens de ePrivacy-richtlijn, omgezet in het Belgische Wetboek van Economisch Recht, is voor het versturen van direct marketing via e-mail in principe de voorafgaande toestemming van de ontvanger vereist. De burgemeester kon niet aantonen dat hij over een dergelijke geldige toestemming beschikte. Bijgevolg was de verwerking onrechtmatig.

3. De gemeente en de rol van de DPO

Ook de gemeente kreeg een berisping. De GBA stelde vast dat de Functionaris voor Gegevensbescherming (DPO) van de gemeente tegelijkertijd een voltijdse functie als communicatiedeskundige uitoefende. Hierdoor beschikte de DPO over onvoldoende tijd om zijn wettelijke taken correct uit te voeren. De gemeente schond zo haar plicht om de DPO de nodige middelen, waaronder tijd, ter beschikking te stellen.

Juridische analyse en duiding

Deze beslissing is een schoolvoorbeeld van het AVG-principe van doelbinding (artikel 5.1.b AVG). Persoonsgegevens mogen enkel worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Ze mogen niet verder worden verwerkt op een manier die onverenigbaar is met die oorspronkelijke doeleinden. De GBA paste hier de compatibiliteitstest uit artikel 6.4 AVG toe en concludeerde dat het private, commerciële doel van de burgemeester volstrekt onverenigbaar was met de publieke doelen van de gemeente.

Daarnaast benadrukt de uitspraak het belang van het correct identificeren van de verwerkingsverantwoordelijke (artikel 4.7 AVG). Wie het ‘waarom’ (doel) en het ‘hoe’ (middelen) van een verwerking bepaalt, draagt de eindverantwoordelijkheid. Door een eigen doel na te streven, stapte de burgemeester uit zijn rol als orgaan van de gemeente en werd hij zelf de verantwoordelijke, met alle plichten van dien. Dit is een belangrijke waarschuwing voor elke mandataris of functionaris die toegang heeft tot publieke databanken.

Tot slot onderstreept de berisping voor de gemeente het strategische belang van de DPO. Een DPO die niet over voldoende tijd en middelen beschikt, is een papieren tijger. De GBA maakt duidelijk dat zij dit als een prioriteit beschouwt en streng toeziet op de effectieve en onafhankelijke uitoefening van deze functie binnen overheidsinstanties.

Wat dit concreet betekent

  • Voor overheidsmandatarissen: Er is een strikte en ondoordringbare scheiding tussen uw publieke functie en eventuele private (commerciële) activiteiten. Het gebruik van databanken of middelen van de overheid voor persoonlijke doeleinden is een ernstige inbreuk op de AVG en kan leiden tot sancties.
  • Voor overheidsinstanties: Zorg voor een duidelijk en strikt intern beleid over het gebruik van contactgegevens. Verzeker u ervan dat uw DPO niet alleen is aangesteld, maar ook effectief de middelen (inclusief tijd) en de onafhankelijkheid heeft om zijn of haar controle- en adviesfunctie naar behoren uit te oefenen.
  • Voor burgers en medewerkers: U mag niet zomaar commerciële berichten ontvangen van een publieke instantie of mandataris op basis van contactgegevens die u in een publieke context hebt verstrekt. Gebeurt dit toch, dan kunt u een klacht indienen bij de Gegevensbeschermingsautoriteit.

FAQ (Veelgestelde vragen)

Wat is het verschil tussen de gemeente en de burgemeester als verwerkingsverantwoordelijke?
De verwerkingsverantwoordelijke is de entiteit die het doel en de middelen van de gegevensverwerking bepaalt. Voor de normale werking van de gemeente is de gemeente zelf de verantwoordelijke. In dit specifieke geval bepaalde de burgemeester echter een eigen, persoonlijk doel (promotie voor zijn boek), waardoor hij voor die specifieke actie zelf de verantwoordelijkheid op zich nam.

Had de burgemeester de e-mail wel mogen sturen als het boek gratis was?
Waarschijnlijk niet. Hoewel de aanwezigheid van een verkoopprijs de commerciële aard benadrukt, draait de analyse om het doel van de verwerking. Zelfs bij een gratis boek zou het doel nog steeds de promotie van een privaat project zijn, wat onverenigbaar is met de publieke taken waarvoor de gegevens werden verzameld.

Wat kan ik doen als ik een gelijkaardige ongevraagde e-mail ontvang van een politicus?
Als u vermoedt dat uw gegevens onrechtmatig worden gebruikt, kunt u verschillende stappen ondernemen. U kunt uw rechten uitoefenen en de afzender vragen waar ze uw gegevens vandaan hebben en vragen om uw gegevens te wissen. Als u geen of een onbevredigend antwoord krijgt, kunt u een klacht indienen bij de Gegevensbeschermingsautoriteit.

Conclusie

Deze beslissing trekt een duidelijke rode lijn: publieke databanken dienen het algemeen belang, geen private commerciële agenda’s. De uitspraak herinnert elke mandataris in België aan de strikte scheiding tussen hun publieke rol en persoonlijke belangen. Voor overheidsorganisaties is het een wake-upcall om de positie van hun DPO ernstig te nemen en te waarborgen.

Wordt u geconfronteerd met een complex vraagstuk rond gegevensbescherming of het gebruik van data door een overheid? Onze advocaten, gespecialiseerd in privacy- en gegevensbeschermingsrecht (AVG), staan klaar om uw situatie te analyseren. Neem vrijblijvend contact op voor een eerste advies.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics