Joris DeeneU opent uw mailbox en vindt een e-mail van een politicus met de vraag om op hem of haar te stemmen. U herinnert zich niet dat u zich ooit heeft ingeschreven voor diens nieuwsbrief. Mag dit zomaar? Nee, het ongevraagd gebruiken van uw persoonsgegevens voor verkiezingspropaganda is in strijd met de Algemene Verordening Gegevensbescherming (AVG/GDPR). Gegevens die voor een specifiek doel zijn verzameld, mogen niet zomaar voor een ander, onverenigbaar doel – zoals een verkiezingscampagne – worden ingezet.
In een beslissing van 22 september 2025 (nr. 151/2025) heeft de Gegevensbeschermingsautoriteit (GBA) dit principe nogmaals scherp gesteld en een politicus berispt voor het onrechtmatig versturen van verkiezingsmails.
De feiten: een ongewenste verkiezingsmail
Een burger ontving op 5 juni 2024 een e-mail van een politicus in het kader van diens verkiezingscampagne. De burger, die vermoedde dat zijn gegevens onrechtmatig werden gebruikt, oefende onmiddellijk zijn recht van inzage uit. Hij vroeg de politicus waar zijn gegevens vandaan kwamen, voor welk doel ze werden gebruikt en over welke gegevens men precies beschikte.
Het antwoord was onbevredigend. De politicus stelde aanvankelijk dat de mail per vergissing was verstuurd. Na aandringen kwam een vage verklaring: de gegevens waren “wellicht” verkregen tijdens een evenement en werden gebruikt voor “algemene communicatie”. De burger nam hier geen genoegen mee en diende een klacht in bij de Gegevensbeschermingsautoriteit.
De politicus verdedigde zich door te stellen dat er sprake was van een menselijke fout: een medewerker had per ongeluk een verkeerde contactenlijst gebruikt, waardoor 5.000 personen onterecht de mail ontvingen. Dit werd gekwalificeerd als een “gegevenslek”, wat volgens de politicus de normale AVG-verplichtingen zou opschorten.
De beslissing van de Gegevensbeschermingsautoriteit
De Geschillenkamer van de GBA volgde de redenering van de politicus niet en stelde meerdere inbreuken vast op de AVG.
Inbreuk 1: Onrechtmatige verwerking en misbruik van doelbinding
De kern van de zaak draait om twee fundamentele principes van de AVG:
- Rechtmatigheid (art. 5.1.a en 6.1 AVG): Voor elke verwerking van persoonsgegevens is een geldige rechtsgrond nodig, zoals ondubbelzinnige toestemming. De politicus gaf zelf toe dat hij geen toestemming had van de klager.
- Doelbinding (art. 5.1.b AVG): Persoonsgegevens mogen enkel worden verzameld voor “welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden”. De gegevens van de klager waren verzameld in het kader van activiteiten van een politieke incubator, niet voor de verkiezingscampagne van de politicus in een andere hoedanigheid. Het gebruiken van deze gegevens voor verkiezingspropaganda was een nieuw, onverenigbaar doel.
De Geschillenkamer oordeelde dat de politicus beide principes had geschonden.
Inbreuk 2: Gebrek aan transparantie en informatieplicht
De website van de politicus bevatte een link naar een privacyverklaring. Deze link leidde echter naar de algemene privacyverklaring van de politieke partij, en niet naar een specifieke verklaring die de verwerkingen door de politicus zelf beschreef. Hierdoor werden burgers onvoldoende geïnformeerd over wat er met hun gegevens gebeurde, wat een schending is van de transparantieverplichting.
Inbreuk 3: Schending van het recht van inzage
Wanneer een burger zijn recht van inzage uitoefent, moet de verwerkingsverantwoordelijke duidelijke en volledige informatie verstrekken. De antwoorden van de politicus – “wellicht verkregen op een evenement” en “voor algemene communicatie” – waren te vaag en onvolledig. Dit vormde een inbreuk op artikel 15 van de AVG.
De GBA legde uiteindelijk een berisping op, een formele waarschuwing. Er werd geen geldboete opgelegd omdat de inbreuken onopzettelijk waren en de politicus intussen corrigerende maatregelen had genomen, zoals het volgen van een AVG-opleiding.
Juridische analyse en duiding
Deze beslissing is een belangrijke herinnering aan de strikte toepassing van de AVG, ook in een politieke context. De poging van de verweerder om de feiten te kaderen als een ‘gegevenslek’ om zo de fundamentele verplichtingen te omzeilen, wordt door de Geschillenkamer terecht van tafel geveegd. Een datalek is een inbreuk op de beveiliging en ontslaat de verwerkingsverantwoordelijke niet van zijn plicht om te allen tijde te beschikken over een geldige rechtsgrond en het doelbindingsbeginsel te respecteren.
Cruciaal is het concept van de verwerkingsverantwoordelijke. Een politicus kan in verschillende hoedanigheden optreden: als gemeenteraadslid, als initiatiefnemer van een denktank, of als kandidaat-parlementslid. Voor elk van deze rollen kan hij een afzonderlijke verwerkingsverantwoordelijke zijn. Databanken die in de ene hoedanigheid worden opgebouwd, kunnen niet zomaar worden overgeheveld en gebruikt in een andere hoedanigheid. Dit zou het principe van doelbinding volledig uithollen.
Dit is overigens niet de eerste keer dat de GBA zich buigt over het gebruik van e-mailadressen door politici. In een andere recente zaak, die wij hier analyseerden, ging het over het verzamelen van publiek beschikbare e-mailadressen voor een verkiezingscampagne.
Wat dit concreet betekent
- Voor burgers: U heeft het recht om te weten waar uw gegevens vandaan komen en waarom ze worden gebruikt. Vage antwoorden volstaan niet. U kunt steeds uw recht van inzage, rectificatie of gegevenswissing uitoefenen. Bij een onbevredigend antwoord kunt u een klacht indienen bij de Gegevensbeschermingsautoriteit.
- Voor politici en politieke partijen: Wees uiterst voorzichtig met contactlijsten. Een “menselijke fout” is geen geldig excuus om de AVG te negeren. Zorg voor strikt gescheiden databanken op basis van de hoedanigheid en het doel waarvoor de gegevens werden verzameld. Een contact verkregen via uw mandaat als schepen is niet automatisch een contact voor uw federale verkiezingscampagne. Transparantie is essentieel: zorg voor een correcte en specifieke privacyverklaring die uw eigen verwerkingen dekt.
Veelgestelde vragen (FAQ)
Wat moet ik doen als ik een ongewenste politieke e-mail ontvang?
U kan de afzender contacteren en uw recht van inzage uitoefenen. Vraag expliciet naar de bron van uw gegevens en de rechtsgrond voor de verwerking. Vraag ook om uw gegevens te verwijderen. Indien u geen of een onvoldoende antwoord krijgt, kunt u een klacht indienen bij de GBA.
Is een menselijke fout een geldige verdediging voor een AVG-inbreuk?
Nee, een menselijke fout kan de inbreuk verklaren, maar heft de verantwoordelijkheid van de verwerkingsverantwoordelijke niet op. Organisaties en personen die gegevens verwerken, moeten passende technische en organisatorische maatregelen nemen om dergelijke fouten te voorkomen. Het kan wel een rol spelen bij de bepaling van de strafmaat (bv. een berisping in plaats van een boete).
Mag een politicus mijn e-mailadres gebruiken als ik dat online publiek heb gemaakt?
Niet zomaar. Het feit dat een e-mailadres publiek beschikbaar is, betekent niet dat er een impliciete toestemming is om het voor eender welk doel te gebruiken. Voor direct marketing, inclusief verkiezingsreclame via e-mail, is in principe uw voorafgaande, expliciete toestemming vereist.
Conclusie
De uitspraak van de Gegevensbeschermingsautoriteit bevestigt dat de regels van de AVG onverkort gelden voor politieke campagnes. Het verzamelen van persoonsgegevens creëert een verantwoordelijkheid. Gegevens mogen enkel worden gebruikt voor het specifieke doel waarvoor ze zijn verkregen en met respect voor de rechten van de burger, waaronder het recht op duidelijke en volledige informatie.
Dutch 
English