APD/GBA (Belgium) - 82/2020
APD/GBA - 82/2020 | |
---|---|
Authority: | APD/GBA (Belgium) |
Jurisdiction: | Belgium |
Relevant Law: | Article 6(1) GDPR Article 25(1) GDPR Article 35 GDPR |
Type: | Complaint |
Outcome: | Upheld |
Started: | |
Decided: | 23.12.2020 |
Published: | 23.12.2020 |
Fine: | None |
Parties: | FPS Finance |
National Case Number/Name: | 82/2020 |
European Case Law Identifier: | n/a |
Appeal: | Not appealed |
Original Language(s): | Dutch |
Original Source: | autoriteprotectiondonnees.be (in NL) |
Initial Contributor: | n/a |
The Belgian DPA (APD/GBA) held that the disclosure of personal data cannot be a condition for an individual to access public information. The DPA therefore reprimanded the Federal Public Service of Finance for requiring citizens to use a Microsoft account to access the Fisconetplus portal of the Federal Public Service of Finance in order to complete their tax declaration.
English Summary
Facts
The Federal Public Service of Finance maintain FisconetPlus, an online repository of Belgian tax laws, rulings and guidelines aimed at informing tax payers on taxation questions and at easing their fiscal compliance.
As a part of a revamp in 2018, FisconetPlus was moved to a SharePoint website, hosted in the Belgian federal government’s G-Cloud infrastructure. Thereafter, access to the repository was still free but required logging on to the portal with a Microsoft user account. As a part of their registration process for a Microsoft account, users needed to accept Microsoft’s privacy policy, which by default enabled certain tracking and advertising features.
This change within FisconetPlus was examined by the Belgian Data Protection Authority, following a series of complaints. The DPA’s Inspection Service found in February 2019 that the update constituted a breach of the GDPR. The DPA considered that there was no legal basis that would allow the FPS Finance to force citizens to entrust their personal data to a private undertaking as a precondition for accessing public sector information.
In June 2020, the DPA’s Inspection Service issued (for the first time in history!) a provisional measure that obliged the FPS Finance to provisionally suspend FisconetPlus, specifically the access to the repository via Microsoft’s SharePoint portal. This decision followed the recommendation published by the DPA’s in February 2019 on the obligation to create a user account with Microsoft for the purpose of consulting public service applications.
As a result, the FPS Finance deactivated the access to its FisconetPlus portal via a Microsoft account, which however remained accessible through other means of access. The FPS Finance promised to rewrite FisconetPlus and switch from Microsoft tools to a platform developed internally and hosted entirely on its own infrastructure. Identification and authentication would then be done via the Federal Authentication Service ("FAS”); the creation of a Microsoft account would no longer be a requirement. But for budgetary and human resources reasons, temporary solutions were to be implemented, namely a simple consultation via MyMinfin without authentication and a consultation via the creation of a Microsoft account as an anonymous user (which does not require the transmission of data, so that neither the FPS nor Microsoft knows the user).
In the meantime, the file was being thoroughly examined by the DPA’s Litigation Chamber, who – in its decision of 23 December 2020 – confirmed the GDPR violations and issued a reprimand to the FPS Finance (pursuant to the Belgian Data Protection Act of 30 July 2018, the DPA is not empowered to impose administrative fines to public bodies).
Dispute
Holding
The DPA considered:
1) Basic principles
The FPS Finance offers the possibility to access information on FisconetPlus in a way that does not require the use of any Microsoft user account (whether or not anonymous), namely via the basic search engine on MyMinfin (which does not require any authentication).
But in DPA’s opinion, it is not because the user can choose an access option (with fewer functionalities) where no or less personal data are processed, that the other access option (more user-friendly) where personal data are collected and further processed can enjoy less protection under the GDPR. In other words, it is not because the access to the information is not in itself precluded without the use of a Microsoft user account, that such authentication via a third service provider cannot constitute a breach of Article 6 of the GDPR when it implies that the personal data of the data subjects are not properly processed.
In casu, the data processing operations were lacking transparency. The FPS Finance did not offer the most privacy-friendly choice (direct access without authentication) in a clear manner and as a default choice. For that reason, there has been a breach of Article 25 of the GDPR on data protection by design and data protection by default.
The FPS Finance did not explain neither transparently enough to (potential) data subjects how their personal data would further be used by Microsoft. There is clearly data flows to and from Microsoft, which have not been transparently brought to the attention of the user. This includes the authentication data and the email address of the data subject.
The fact that an anonymous Microsoft account could be used to access FisconetPlus (with arbitrarily allocated login data) also proves by definition that the access option through a new or already existing Microsoft account implies the processing of more personal data than strictly necessary within the meaning of Article 5(1)(c) of the GDPR. The FPS Finance therefore does not comply with the data minimization principle.
Moreover, the DPA ruled that as a matter of principle, no authentication mechanism or identification obligation of any kind – government controlled or otherwise – should be necessary to access information that should be publicly available; and that personalized services (storing favorite sources, automated warnings, etc.) should not require systematic unique identification of the users. The DPA therefore considered that the principle of proportionality has been breached.
2) Failure to conduct a Data Protection Impact Assessment
Given the potential risks to the rights and freedoms of the data subjects, in particular with regard to the security of the platform (Article 32 of the GDPR), the FPS Finance should at least have conducted a Data Protection Impact Assessment before putting such a system in place.
3) Use of cookies
In order to create an account, users must accept Microsoft’s privacy and cookies policies as well as its standard cookie settings. These standard settings do not respect the principles of data protection by design and data protection by default, since they let Microsoft collect a large series of data on its users.
The use of a Microsoft account involved the placement of non-essential cookies for which no legally valid consent was obtained, given that the cookie banner used on the website included consent by means of “further browsing”. It stated that if the user continued browsing, he/she accepts the use of cookies. This so-called "further browsing" was considered by the FPS Finance to be a legally valid consent for the use of cookies. There must however be a clear statement or active action on the part of the user in order for him/her to give free, specific, clear and unambiguous consent in light of the GDPR.
Not only the technique of "further browsing", but also the cookie policy raises doubts, as there was a discrepancy between the cookies listed in the cookie policy and the cookies actually loaded when the website was opened.
Comment
Share your comments here!
Further Resources
Share blogs or news articles here!
English Machine Translation of the Decision
The decision below is a machine translation of the Dutch original. Please refer to the Dutch original for more details.
1/48 Geschillenkamer Beslissing ten gronde 82/2020 van 23 december 2020 Dossiernummer : DOS-2019-05498 Betreft : Klacht wegens het noodzakelijk moeten aanmaken van een Microsoft account voor het downloaden van een document bij de FOD Financiën De Geschillenkamer van de Gegevensbeschermingsautoriteit, samengesteld uit de heer Hielke Hijmans, voorzitter en de heren Jelle Stassijns en Christophe Boeraeve, leden; Gelet op Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), hierna AVG; Gelet op de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, hierna WOG; Gelet op het reglement van interne orde, zoals goedgekeurd door de Kamer van Volksvertegenwoordigers op 20 december 2018 en gepubliceerd in het Belgisch Staatsblad op 15 januari 2019; Gelet op de stukken van het dossier; . . . Beslissing ten gronde 82/2020- 2/48 heeft de volgende beslissing genomen inzake: - Dhr. Willem Debeuckelaere, met woonplaats te […] hierna “de klager”, en, - De FOD Financiën, met ondernemingsnummer 0308.357.159, en met hoofdzetel te 1030 Brussel (Schaarbeek), Koning Albert II Laan 33 bus 10 (North Galaxy), hierna “verweerder”; hebbende als raadslieden Mr. Agnès Maqua, advocate, en Mr. Willem-Jan Cosemans, advocaat, beiden kantoor houdende te 1170 Brussel, Terhulpsesteenweg 166. 1. Feiten en procedure De klacht 1. In zijn klacht dd. 24 oktober 2019 uit de klager zijn bezwaar tegen een praktijk op de website van de FOD Financiën. De praktijk vereist van burgers (als betrokkenen) om zich aan te melden met een Microsoft1 gebruikersaccount teneinde toegang te krijgen tot een bepaalde brochure, meer bepaald “factureren met vrijstelling van BTW” (en deze desgevallend te kunnen downloaden). Deze praktijk zou volgens de klager problematisch zijn in het licht van de AVG en meer specifiek in het licht van de Aanbeveling van 6 februari 2019 van deze Autoriteit,2 betreffende “het opleggen van de verplichte aanmaak van een gebruikersaccount bij Microsoft voor het raadplegen van toepassingen van overheidsdiensten”. 2. De klager had voor het neerleggen van zijn klacht reeds zelf contact opgenomen met de verweerder omtrent diens bezwaar, en voegt hiervan ook stukken toe bij zijn klacht 3. Op 26 september 2019 verzocht de klager de verweerder om informatie omtrent de praktijk die het voorwerp uitmaakt van de litigieuze klacht. Het betreft hier o.a. de vraag naar het al dan niet van toepassing zijn van de voornoemde aanbeveling. 4. De verweerder communiceerde dezelfde dag nog, en vroeg de klager om de hyperlink in kwestie te verduidelijken. De klager bezorgde de exacte hyperlink aan de verweerder op 3 oktober 2019. De klager voorzag bijkomend enkele schermopnames om zijn standpunt te staven. 1 Wanneer in de voorliggende beslissing over ‘Microsoft’ wordt gesproken, is dit de rechtspersoon Microsoft Corporation met zetel One Microsoft Way, Redmond (WA 98052-6399) in de Verenigde Staten van Amerika, met een Belgische gerelateerde vestiging Luchthaven Brussel Nationaal ZN, Gebouw 1K, 1930 Zaventem en ondernemingsnummer in de Kruistpuntbank voor ondernemingen: 0437.910.359. 2 Kenniscentrum Gegevensbeschermingsautoriteit, Aanbeveling 1/2019, Beschikbaar via: https://www.gegevensbeschermingsautoriteit.be/publications/aanbeveling-nr.-01-2019.pdf Beslissing ten gronde 82/2020- 3/48 5. Op 15 oktober 2019, na raadpleging van de “Dienst voor Informatieveiligheid en Bescherming van de Persoonlijke Levenssfeer” van de verweerder, liet de verweerder weten dat er gewerkt werd aan een nieuwe ICT-toepassing. De doelstelling was te komen tot een systeem om via MyMinfin toegang te verlenen tot het openbaar gedeelte van Fisconetplus. Identificatie en authenticatie zou dan gebeuren via de federale authenticatieservice “FAS” waardoor het aanmaken van een Microsoft-account niet langer een vereiste zou zijn. Dit systeem zou begin 2020 operationeel moeten zijn. In tussentijd, zo stelde de verweerder, was er een overgangsoplossing ingevoerd sinds 31 januari 2019 waarbij de gebruiker de mogelijkheid had om toegang te krijgen tot deze documentatie met een anonieme account, aangemaakt via een derde dienstenaanbieder, namelijk Microsoft. 6. Op 29 oktober 2019 wordt de klacht ontvankelijk verklaard door de Eerstelijnsdienst en aanhangig gemaakt bij de Geschillenkamer. Het onderzoek van de Inspectiedienst 7. Op 29 november 2019 heeft de Geschillenkamer een onderzoek gevraagd bij de Inspectiedienst. In haar verzoek overeenkomstig artikel 94, 1° WOG stelt de Geschillenkamer het volgende: “De geschillenkamer heeft […] vastgesteld dat er onduidelijkheid is omtrent de stelling van de FOD Financiën dat het bij wijze van overgangsregeling mogelijk is om toegang te krijgen tot de documentatie met een anonieme account aangemaakt door Microsoft zonder verzameling van persoonlijke gegevens, meer bepaald in hoeverre het al dan niet mogelijk is dat die account wordt aangemaakt door Microsoft zonder verzameling van persoonlijke gegevens, meer bepaald in hoeverre het al dan niet mogelijk is dat die account daadwerkelijk anoniem is. “ 8. Nadat het dossier hierna bij de Inspectiedienst aanhangig was gemaakt op grond van artikel 63, 2° WOG, schrijft de Inspectiedienst op 5 december 2019 rechtstreeks naar de voorzitter van het directiecomité van de verweerder om enkele bijkomende inlichtingen te bekomen. Het betreft de volgende vragen (schermafbeelding van de brief van de Inspectiedienst): Beslissing ten gronde 82/2020- 4/48 9. Op 10 januari 2020 ontvangt de Inspectiedienst van de GBA een geschreven reactie van de Verweerder. De antwoorden van de verweerder luiden als volgt: “ (Vraag 1) “Bij ontvangst van de aanbeveling van de Gegevensbeschermingsautoriteit, heeft de FOD Financiën in een eerste fase 1. via het portaal MyMinfin toegang verschaft tot een basiszoekmotor, zonder identificatie van de gebruiker (inwerkingtreding in het eerste trimester 2019), 2. een anonieme toegang verschaft via een anonieme account (inwerkingtreding in het tweede trimester 2019). In een tweede fase wordt het project opgestart voor de ontwikkeling van een versie die de openbare inhoud van Fisconetplus onder MyMinfin plaatst. Deze definitieve versie, waarvoor men geen anonieme account nodig heeft maar die een authenticatie door middel van een FAS-identificatie mogelijk maakt, zal alle andere huidige oplossingen voor het externe publiek van Fisconetplus vervangen, dit wil zeggen de Fisconetplus-versies met Microsoft-account, de eenvoudige zoekmotor via MyMinfin en de versie met anonieme Microsoft-account.” (Vraag 2) “Er zijn verschillende gevallen mogelijk: Beslissing ten gronde 82/2020- 5/48 1. De gebruiker heeft de toegang tot het portaal al geopend (via een geregistreerde account of de anonieme oplossing).In dat geval zal klikken op een link rechtstreeks toegang geven tot het document 2. De gebruiker heeft nog met de toegang tot het portaal geopend, hij ontvangt een bericht waarin wordt gevraagd zich te identificeren. Ofwel heeft de gebruiker een account en identificeert hij zich. Hij heeft toegang tot de documenten , Ofwel heeft de gebruiker geen account of wenst hij geen account aan te maken, de gebruiker kan de URL kopiëren en de mogelijkheid van een anonieme toegang via MyMinFin zoals vermeld in antwoord 2 gebruiken 3. De gebruiker kan ook de titel van het document dat hij wenst te raadplegen noteren en de zoekmotor die via MyMinfin toegankelijk is, gebruiken.” (Vraag 3 en 4) “Begin januari 2019 werd er een anonieme toegang voorzien tot FisconetPlus. De essentie hiervan is dat er geen persoonlijke gegevens meer worden gevraagd van de persoon die toegang wenst te krijgen tot de applicatie. Bijgevolg kan er ook geen probleem optreden bij de verwerking van gegevens die er niet zijn. Het verwijst naar antwoord 2 voor wat betreft het inhoud van de anonieme Microsoft-account.” (Vraag 5) “De beslissing om een nieuwe technische omgeving te bouwen om toegang te verkrijgen tot Fisconet, zonder dat men gebruik hoeft te maken van een Microsoft-account, werd intern genomen door de FOD Financiën op 14 januari 2019 (na voorbereidende vergaderingen in december2018). Dit besluit werd in aanwezigheid van de DPO, gezamenlijk aangenomen door de Voorzitter van het Directiecomité, de Directeur van de ICTondersteuningsdienst en de Directeur belast met de leiding van de Algemene Administratie voor Beleidsexpertise en-ondersteuning. Het besluit werd dezelfde dag aan Microsoft medegedeeld. Aangezien de tijdelijke en definitieve technische oplossingen werden genomen in overeenstemming met aanbeveling nr. 91/2019 van 6 februari 2019, was het met nodig om een verdere aanbeveling aan de Voorzitter van het Directiecomité te richten. Daarentegen werden midden februari 2019 (de 12 e , 13 e , 19 e en 21 e ) e-mails uitgewisseld tussen de Voorzitter van het Directiecomité en de DPO betreffende de bovengenoemde (nr 91/2019) aanbeveling. De aanbeveling werd gecommuniceerd met de beslissing om de toegang tot Fisconet aan te passen. Bovendien heeft de DPO de Voorzitter van het Directiecomité per email geïnformeerd op 23 en 24 oktober 2019, enerzijds, van de verzoeken van de [klager] en anderzijds van de klacht van de [klager] bij de Gegevensbeschermingsautoriteit. “ 10. Op 17 januari 2020 richt de Inspectiedienst een brief specifiek aan de functionaris voor gegevensbescherming (hierna: FG) van de verweerder met enkele vragen. Hierbij wordt door de Inspectiedienst gesteld dat er geen concreet antwoord werd gegeven op de vragen 3, 4 en 5. De Beslissing ten gronde 82/2020- 6/48 FG van de verweerder wordt aangespoord om deze antwoorden over te maken alsook om stukken over te maken die het standpunt van verweerder dat “de (tijdelijke) oplossingen in overeenstemming zijn met aanbeveling 1/2019” staven. 11. Op 4 februari 2020 verschaft de FG van de verweerder een antwoord aan de Inspectiedienst. De kernelementen uit dat antwoord kunnen worden samengevat als volgt: - Wat betreft vraag 3 en 4: “de ICT Support Service heeft bevestigd dat de gebruiker op geen enkel moment informatie over zichzelf geeft, Microsoft heeft dan ook geen persoonlijke of privé-informatie. ICT heeft mij geen kopieën van documenten, e-mails, . met Microsoft verstrekt.” 3 - Wat betreft vraag 5 stelt de FG van de verweerder: “Ik heb zelf het ontwerp van het antwoord op vraag 5 gemaakt en ik acht het een concreet antwoord. Ik kan geen documenten verstrekken die niet bestaan.“ 4 - Wat betreft de aanbeveling van de GBA stelt de verweerder dat de interne beslissing van de verweerder (m.b.t. het overschakelen van Microsoft tools naar een intern ontwikkelde oplossing) dateert van 14 januari 2019. Dit is vóór de aanbeveling van de GBA die dateert van 6 februari 2019. - De FG van de verweerder stelt dat deze nieuwe oplossingen compatibel zijn met de aanbeveling. De voorgaand gebruikte techniek was dit echter niet. De FG stelt: “Tijdens de analyse van het tweede ontwerp van de aanbeveling die de GBA op 7 februari 2019 aan de FOD Financiën voorlegde, stelde ik vast dat de eerder gebruikte technische oplossing niet verenigbaar was met dit ontwerp, maar dat de beslissingen i.v.m. de aanpassingen die de FOD Financiën nam, in overeenstemming waren met de aanbeveling”. 5 Meer bepaald valt dit binnen de grenzen van §2, 3 en 4, punt 15 van de aanbeveling. - Vervolgens stelt de FG dat: “Aangezien deze nieuwe technische oplossingen budgettaire (meer dan 180.000 euro) en personele middelen vereisen, werden twee tijdelijke oplossingen zo snel mogelijk geïmplementeerd, namelijk een eenvoudige raadpleging via MyMinfin, en een raadpleging via het aanmaken van een anonieme account bij Microsoft. De geconsolideerde versie van de raadpleging via MyMinfin zonder authenticatie werd eind januari 2020 in productie genomen. De versie met authenticatie is gepland voor eind maart 2020. Er is geen 3 Originele tekst: « le Service d'encadrement ICT a confirmé qu’à aucun moment l'utilisateur ne donne une quelconque information sur lui-méme, Microsoft ne dispose donc pas d’information personnelle ou privée ICT ne m’a pas fourni de copie de documents, mails, . avec Microsoft ». 4 Originele tekst « J'ai moi-meme fait le projet de reponse a la question 5 et j’estime qu’il y est repondu concretement. Je ne peux fournir des documents qui n'existent pas 5 Originele tekst: « Lors de l'analyse du deuxième projet de recommandation soumis par l'APD au SPF Finances le 7 février 2019, j'ai effectivement constate que la solution technique utilisée auparavant n'était pas compatible avec ce projet mais que les décisions d'adaptation prises par le SPF Finances allaient, elles, dans le sens de la recommandation » Beslissing ten gronde 82/2020- 7/48 evaluatie van de voorgestelde tijdelijke oplossingen uitgevoerd. Een evaluatie kan plaatsvinden na de uitvoering van de 2 aangeboden definitieve toegangsoplossingen.”6 - Tot slot volgt een korte uiteenzetting omtrent de onafhankelijkheid van de FG en hoe die gepositioneerd is bij de verweerder. 12. De Inspectiedienst gaat vervolgens over tot het uitvoeren van enkele technische vaststellingen. Het technisch onderzoeksrapport volgt op 28 april 2020, het verslag van het onderzoek op 11 mei 2020. De Inspectiedienst deed een reeks van vaststellingen in de periode tussen 7 april en 20 april 2020. Het verslag van de Inspectiedienst 13. Het verslag van het onderzoek van de Inspectiedienst wordt overgemaakt aan de Geschillenkamer op 11 mei 2020 overeenkomstig artikel 91, §2WOG. 14. De eerste twee vaststellingen (vaststelling 1 en 2) gemaakt door de inspectiedienst betreffen het bestaan van drie toegangsmogelijkheden tot de dienst FiscnonetPlus via twee websites. Er zouden drie manieren (geweest) zijn om toegang te krijgen tot FisconetPlus: - Toegang via de website www.myminfin.be met authenticatie via de FAS (Het federale authenticatiesysteem); - Toegang via de website www.myminfin.be zonder authenticatie (het openbaar gedeelte van Fisconetplus); - Toegang via de algemene website van de FOD Financiën met een persoonlijke Microsoft account (“Sharepoint Online toegang”). De Inspectiedienst kaart hierbij aan dat het om een complex toegangsschema gaat. 15. In vaststellingen 3 en 4 neemt de Inspectiedienst de kwalificatie als verwerkingsverantwoordelijke, in de zin van art. 4, 7) AVG, van de verweerder onder de loep. Hier besluit de Inspectiedienst dat de verweerder verwerkingsverantwoordelijke is voor de verwerkingen die plaatsvinden via het geïntegreerde Microsoft-platform op haar website. 6 Originele tekst : « Ces nouvelles solutions techniques nécessitant des moyens budgétaires (dépassant les 180.000 €) et humains, deux solutions temporaires ont été mises en œuvre le plus rapidement possible à savoir - une consultation simple via MyMinfin , - une consultation via la création d’un compte anonyme chez Microsoft. La version consolidée de consultation via MyMinfin sans authentification a été mise en production fin janvier 2020 La version avec authentification est prévue pour fin mars 2020. Il n'y a pas eu d’évaluation des solutions temporaires proposées Une évaluation pourra avoir lieu après la mise en œuvre des 2 solutions définitives d'accès offertes ». Beslissing ten gronde 82/2020- 8/48 16. Vaststellingen 5 t.e.m. 7 van het onderzoeksverslag hebben betrekking op het gebruik van cookies. Deze vaststellingen sluiten aan bij enkele bevindingen in het technisch rapport. Het technisch rapport onderzocht in eerste instantie de website met volgende url: https://eservices.minfin.fgov.be/myminfin-web/pages/fisconet. Deze website maakt op het moment van de technische vaststellingen gebruik van een cookie-banner die stelt dat als een gebruiker verder surft, die laatste het gebruik van cookies aanvaardt (zgn. “further browsing”). Er moet een duidelijke verklaring of actieve handeling zijn van de gebruiker om een vrije, specifieke, duidelijke en ondubbelzinnige toestemming te krijgen in het licht van de AVG. Niet alleen de techniek van “further browsing”, maar ook het cookiebeleid van de verweerder doet vragen rijzen bij de Inspectiedienst. Zij stelt hierbij het volgende vast: “In het beleid is er geen onderscheid tussen de verschillende soorten cookies of ‘traceurs’. [Het is] onmogelijk voor de [betrokkene] om informatie omtrent de verschillende cookies te verkrijgen, maar ook omtrent cookies waarvoor [de betrokkene] het recht heeft om zijn toestemming te geven (niet-essentiële cookies).”7 Uit een vergelijking tussen de in het cookiebeleid opgesomde cookies en de cookies geladen bij het openen van de website, blijkt dat de eerste niet volledig (exhaustief) is en niet volledig correct. Daarnaast beschouwt het technisch rapport ook de website met url: https://finances.belgium.be/fr/E-services/fisconetplus. Ook hier stelt de Inspectiedienst een situatie inzake cookies vast die volgens haar problematisch is in het licht van de AVG. Er bestaat immers een discrepantie tussen de in het cookiebeleid opgesomde cookies en de cookies effectief geladen bij het openen van de website. Het verslag van het onderzoek van de inspectiedienst formuleert drie problemen i.v.m. cookiegebruik door de verweerder. - Ten eerste gaat de verweerder uit van ‘further browsing’ als geldige toestemming voor het gebruik van cookies op beide websites, ook al zijn die cookies niet noodzakelijk voor de goede werking van de website(s). Dit ‘further browsen’ wordt door de verweerder in haar ‘cookiebanner’ echter wel als een rechtsgeldige toestemming beschouwd. Dergelijk verder gebruik is echter niet hetzelfde als toestemming. - Ten tweede stelt de Inspectiedienst een gevolg hiervan vast: aangezien er geen rechtsgeldige toestemming wordt gevraagd voor het plaatsen van cookies, kan dit ook niet bewezen worden, 7 Vrije vertaling van het Franstalige technisch verslag: “Dans la politique, il n’y a aucune différentiation entre les différents types de cookies ou traceurs. Impossible pour l’utilisateur d’avoir l’information sur les différents cookies, mais aussi sur les cookies pour lesquels il a droit d’exprimer son consentement. (Cookies non strictement nécessaire)”. Beslissing ten gronde 82/2020- 9/48 waardoor de verantwoordingsplicht niet wordt nageleefd. Dit is problematisch in het licht van art. 5, lid 2 en art. 7, lid 1 AVG. - Ten derde worden websitebezoekers niet geïnformeerd hoe een gegeven toestemming kan worden ingetrokken en is er geen mechanisme om de toestemming in te trekken. Deze vaststelling geldt opnieuw voor beide websites. Hierbij wordt verwezen naar Art. 7, lid 3 AVG en ook naar beslissing 12/2019 van de Geschillenkamer. 8 17. Vaststellingen 8 t.e.m. 11 van het onderzoeksverslag omvatten enkele bevindingen inzake de anonimiteit van de betreffende gebruikersaccounts en het eerlijkheidsbeginsel. Zo zal een bezoeker van de website “https://finances.belgium.be/fr/E-services/fisconetplus” de keuze krijgen om een persoonlijke account te maken waarbij de daar voorziene informatie de indruk wekt dat hij een “anonieme account” kan aanmaken. 18. Het technisch onderzoek heeft daarentegen uitgewezen dat er geen sprake zou zijn van een ‘anonieme account’. Indien de gebruiker de optie “een vlugge opzoeking (anoniem)” kiest, komt hij terug op de website www.myminfin.be. Het enige werkende alternatief op de tweede website is volgens de Inspectiedienst een account bij Microsoft te gebruiken. Bovendien verwijst het cookiebeleid op de algemene website van de FOD Financiën naar het gebruik van de zogezegd statistische cookies van google analytics (types “_ga” “_gat” en “_gid”) die worden gebruikt om gebruikers van elkaar te onderscheiden zodat volgens het technisch onderzoeksrapport geen sprake kan zijn van anonieme accounts. 9 19. Vervolgens stelt de Inspectiedienst (vaststelling 8) vast dat de informatie die de verweerder op 15 juni 2018 verschafte aan de GBA in verband met de onmogelijkheid van anonieme aanmelding op het Sharepoint platform van Microsoft niet strookt met de voormelde informatie die de verweerder verschaft op haar website www.financien.belgium.be aan de gebruikers en de vaststellingen in het technisch verslag. Bovendien worden de bezoekers van de website van de verweerder niet correct geïnformeerd over het feit dat Microsoft geen anonieme toegangen op haar Sharepoint Online platform toelaat, zoals eerder meegedeeld aan de GBA (vaststelling 9 verslag Inspectiedienst). 20. Daarnaast is de Microsoft-account niet werkelijk anoniem omwille van cookies geplaatst door de verweerder (vaststelling 10). Op die manier zijn de bewoordingen “een vlugge opzoeking (anoniem)” niet werkelijk ‘anoniem’ waardoor zij een verkeerde voorstelling van de zaak geven naar de gebruiker toe (vaststelling 11). 8 Beslissing van de Geschillenkamer 12/2019 van 17 december 2019. Beslissing ten gronde 82/2020- 10/48 21. De Inspectiedienst meent dat de combinatie van deze elementen tot de conclusie leidt dat de verweerder de betrokkenen continu onjuist informatie verschaft. Hierdoor zou de verweerder het eerlijkheidsbeginsel ex artikel 5, lid 1, punt a) AVG schenden. 22. In vaststelling 13 stelt de Inspectiedienst dat er een schending is van het doelbindingsbeginsel (artikel 5, lid 1, punt b) en artikel 32 AVG). De Inspectiedienst stelt immers vast dat de verweerder meer persoonsgegevens dan noodzakelijk levert aan Microsoft, waaronder het persoonlijk emailadres (hetgeen Microsoft gebruikt om de uitnodigingsmail te sturen) en de betrokkene hier niet over verwittigt. 23. In vaststelling 14 meent de Inspectiedienst dat de verweerder de informatieplicht in de zin van artikel 13, lid 1, punt f) AVG schendt. Blijkens de vaststellingen in het technisch onderzoeksrapport van de Inspectiedienst is er verkeer van en naar Microsoft, wat niet transparant is ter kennis gebracht van de gebruiker. Het gaat onder meer om de authenticatiegegevens en het e-mailadres van de betrokkene en diens profielgegevens (de naam en voornaam van de betrokkene). Deze gegevensstromen worden verborgen voor de gebruiker. 24. Vaststelling 15 betreft de transparantieplicht die rust op de verweerder alsook de verplichting om de gebruiker op begrijpelijke wijze, in duidelijke en eenvoudige taal, te informeren (respectievelijk art. 5, lid 1, punt a) en art. 12, lid 1, AVG). De Inspectiedienst stelt in de eerste plaats vast dat er sprake is van een onduidelijke gebruikershandleiding over de drie toegangsmogelijkheden. Evenmin zou het op basis van de beschikbare informatie duidelijk zijn voor de gebruiker wat het verschil is tussen die drie toegangsmogelijkheden. Ook los van de handleiding zijn de keuzes voor de gebruiker niet eenvoudig en duidelijk uitgelegd. De Inspectiedienst benadrukt in het onderzoeksverslag dat de informatie te gefragmenteerd en verspreid is waardoor de toegangsprocedure als een ‘informatiedoolhoof’ kan worden gezien. Tot slot wijst de Inspectiedienst ook op de bevinding dat bij de keuze voor de tweede website de persoonsgegevens van betrokkenen worden doorgestuurd naar Microsoft. Er bestaat dus wel degelijk een verschil tussen beide websites, zo de Inspectiedienst. 25. De Inspectiedienst stelt in het onderzoeksverslag dat de verweerder de verantwoordingsplicht ex art. 5, lid 2 AVG niet naleeft. In het verslag van de Inspectiedienst wordt hieromtrent het volgende gesteld: “De Inspectiedienst stelde de FOD Financiën derhalve bij schrijven van 5 december 2019 de vraag welke waarborgen Microsoft haar verschafte in dat verband, en of hiervan een bewijs kon worden voorgelegd (stuk 7). Initieel kreeg zij geen antwoord op deze vraag. Pas na een rappel kreeg zij het antwoord van de functionaris dat haar geen stukken werden meegedeeld door de ICT dienst, hetgeen geen rechtstreeks antwoord op de vraag is (pagina 1 van stuk 12). De Inspectiedienst beschouwt dit antwoord als een aanwijzing van een miskenning van de Beslissing ten gronde 82/2020- 11/48 medewerkingsplicht (weigeren van antwoord, artikel 31 AVG), en een bewijs van een schending van de verantwoordingsplicht (artikel 5.2 AVG).”. 26. Vaststelling 16 betreft de vaststellingen van de Inspectiedienst omtrent de naleving van het principe van minimale gegevensverwerking overeenkomstig art. 5, lid 1, punt c) AVG door de verweerder. De Inspectiedienst stelt vast dat de GBA in haar Aanbeveling 01/2019 erop gewezen heeft dat een identificatieplicht enkel kan worden opgelegd als er sprake is van het bewijs van een noodzaak en een duidelijke rechtsgrond onder artikel 6 AVG (randnummers 10 en 11 van de voormelde aanbeveling). Vervolgens concludeert de Inspectiedienst dat de verweerder niet voldoet aan deze aanbeveling omwille van de volgende redenen: 1. Er is onduidelijkheid over het eindscenario voor toegang tot FisconetPlus. Bijgevolg is het moeilijk om de proportionaliteit hiervan te beoordelen. 2. Het vervangen van de drie verschillende toegangsmogelijkheden door één enkele, nl. het FAS authenticatiesysteem, is niet conform randnr. 10 van aanbeveling 01/2019. 3. Het vervangen van de drie verschillende toegangsmogelijkheden door twee opties mag niet leiden tot een verkeerde voorstelling van de zaak. Zo moet de verweerder aandacht hebben voor het feit dat hij die twee opties niet zomaar mag voorstellen als alternatieven (één anoniem, één niet-anoniem), terwijl de facto de gebruiker (via het gebruik van cookies) steeds wordt geïdentificeerd (ongeacht de optie die hij/zij kiest). 4. De toegang tot de Microsoft Cloud diensten dient te gebeuren via een Microsoft-account en is, op zich, niet noodzakelijk. 5. De noodzaak om tegelijkertijd te blijven werken met twee verschillende authenticatiediensten (via de FAS en via Microsoft) is niet voorhanden. 6. Het gedurende meer dan een jaar na de publicatie van de aanbeveling van de GBA nog blijven werken met de dienst van Microsoft kan men evenmin blijven uitleggen als een tijdelijke “overgangssituatie”, nu deze reeds meer dan een jaar lang aansleept. De Inspectiedienst meent dat het beginsel van minimale gegevensverwerking alsook het proportionaliteitsbeginsel geschonden is. 27. Vaststelling 17 - In het licht van art. 25 AVG, stelt de Inspectiedienst dat de verweerder de meest privacy-vriendelijke keuze (directe toegang tot de Fisconetplus kennisdatabase zonder authenticatie) niet op duidelijke wijze en als standaardkeuze aanbiedt.. Om die reden is er volgens de Inspectiedienst een inbreuk op artikel 25 omtrent gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Beslissing ten gronde 82/2020- 12/48 28. Vaststellingen 18 en 19 van het onderzoeksverslag hebben betrekking op het niet uitvoeren van een gegevensbeschermingseffectbeoordeling overeenkomstig art. 35 AVG door de verweerder (in het Engels beter bekend als een ‘data protection impact assessment’, en daarom hierna afgekort als DPIA). De FG van de verweerder stelt in dit verband ten aanzien van de Inspectiedienst: “Na onderzoek lijkt het ons dat er geen gegevensbeschermingseffectbeoordeling (DPIA) dient te worden uitgevoerd, daar het niet waarschijnlijk is dat de behandeling in kwestie een groot risico inhoudt voor de rechten en vrijheden van de betrokken personen, gezien de aard, zijn reikwijdte en zijn context.” De FG meent met andere woorden dat de relevante voorwaarden die nopen tot het uitvoeren van zo’n DPIA niet vervuld zijn. De Inspectiedienst stelt op basis van haar eigen analyse, alsook op basis van de aanbeveling 01/2019 van de GBA, dat er voor de litigieuze verwerkingen (het aanmaken van een Microsoftaccount voor toegang tot Fisconet Plus) een DPIA had moeten plaatsvinden. 29. Vaststellingen 20 en 21 hebben betrekking op de positie van de FG van de verweerder (art. 38, lid1 AVG en art. 39 AVG). De Inspectiedienst stelt vast dat de verweerder een inbreuk heeft gepleegd op artikel 38, lid1 AVG , aangezien haar FG niet tijdig werd betrokken bij de aanpassing van de Fisconetplus-dienst (Vaststelling 20). Ook verwijst de Inspectiedienst naar de correspondentie tussen haar en de verweerder, hieruit blijkt geen duidelijk onderscheiden standpunt (advies, standpunt, …) te bestaan tussen dat van de FG en het antwoord van het voorzitterschap van de verweerder (Vaststelling 21). 30. In licht van art. 31 AVG en art. 66 § 2 WOG, rechtsbepalingen die de verplichting tot medewerking van de verwerkingsverantwoordelijke uiteenzetten, stelt de Inspectiedienst in het onderzoeksverslag dat de verweerder dient samen te werken met de toezichthoudende autoriteit bij het vervullen van haar taken. Dit impliceert dat de antwoorden die worden gegeven aan de GBA terdege moeten worden onderzocht en niet manifest onwaar en potentieel misleidend mogen zijn. De Inspectiedienst ontving op sommige van zijn vragen in eerste instantie geen antwoord, in tweede instantie een manifest onjuist antwoord, wat zij dan ook problematisch acht in het licht van de medewerkingsplicht. 31. Op 18 mei richt de Inspectiedienst een bevel tot voorlopige opschorting aan de verweerder overeenkomstig artikel 70 WOG. Hierbij wordt de verweerder aangemaand om FisconetPlus, specifiek de toegang hiertoe via het Gcloudbelgium.sharepoint.com platform van Microsoft, op te schorten. De maatregel geldt voor een duur van 3 maanden vanaf de datum van ontvangst van het aangetekend schrijven. Er werd geen beroep tegen deze voorlopige maatregel ingesteld overeenkomstig artikel 71, lid 1 WOG door de verweerder. Beslissing ten gronde 82/2020- 13/48 32. Op 2 juni 2020 deelt de Voorzitter van het Directiecomité van de verweerder aan de Inspectiedienst mee dat de toegang tot FisconetPlus via het Gcloudbelgium.sharepoint.com platform vanaf 29 mei 2020 werd gedeactiveerd en dat voortaan de toegang nog enkel mogelijk is via het MyMinfin portaal. De procedure voor de geschillenkamer 33. Op 11 mei 2020 maakt de Inspectiedienst het dossier over aan de Geschillenkamer. 34. Op 4 juni 2020 worden de partijen op de hoogte gebracht van de beslissing van de Geschillenkamer om het dossier ten gronde te behandelen overeenkomstig artikel 98 e.v. WOG. In de brief aan de partijen worden de conclusietermijnen vastgelegd waarbinnen de conclusies met verweermiddelen moeten worden neergelegd. De raadslieden van de verweerder verzoeken een verlenging van de conclusietermijnen op 3 juli 2020, waarna de Geschillenkamer overging tot het opnieuw vastleggen van de conclusietermijnen op een latere datum, gezien zij het verzoek van de verweerder daartoe redelijk achtte. 35. Op vrijdag 14 augustus 2020 maakte de verweerder haar conclusie van antwoord over. Door een technisch probleem bereikte het e-mailbericht met de conclusie en haar bijlagen de Geschillenkamer niet tijdig. De klager ontving de conclusie wél op 14 augustus 2020. 36. Gezien de klager tijdig kennis kon nemen van de conclusie en stukken van de verweerder, en op basis hiervan zelf een repliekconclusie kon indienen, was het niet noodzakelijk de termijnen voor conclusies te heropenen. De Geschillenkamer heeft bij de vaststelling van het technisch probleem, de conclusie van antwoord van de verweerder opgevraagd, en vervolgens ontvangen en toegevoegd aan het dossier op 7 oktober 2020. De conclusie van de klager 37. Op 4 september 2020 legt de klager zijn conclusie neer. De klager is de voormalige voorzitter van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (hierna: CBPL). en later de GBA. 38. De klager stelt dat hij beoogt de toegang tot overheidsinformatie te vrijwaren van de tussenkomst van een derde dienstenaanbieder. De klager stelt dat dit ondertussen het geval is, waardoor dit doel bereikt is. Desalniettemin was de situatie niet dezelfde op het moment van het neerleggen Beslissing ten gronde 82/2020- 14/48 van de klacht. Hiertoe verwijst de klager naar enkele elementen en bewijsstukken in het dossier en meer bepaald ook naar de eigen klacht en de schermafbeeldingen die hij heeft toegevoegd. 39. Inhoudelijk berust de klacht op een inbreuk op de aanbeveling 01/2019 van de GBA, zo stelt de klager. 40. De klager benadrukt dat de klacht niet steunt op enige kennis die de klager zou hebben, in hoofde van zijn functie als gewezen voorzitter van de De CBPL is de rechtsvoorganger van de GBA.10 De klager behoudt zich het recht voor om zich te verweren tegen deze beschuldiging van het overtreden van vertrouwelijkheidsverplichting ex artikel 48 § 1 WOG. 41. De klager meent dat de verweerder daarenboven artikel 25, lid 2 AVG niet naleeft, door het niet duidelijk aanbieden van het alternatieve mechanisme van het anonieme account. De conclusie van de verweerder 42. Op 25 september 2020 volgt de conclusie van repliek van de verweerder. De verweerder vraagt aan de Geschillenkamer om de klacht te seponeren, en minstens als ongegrond te verklaren. De verweerder vraagt aan de Geschillenkamer om de bijkomende vaststellingen van de Inspectiedienst (die buiten de omvang van de klacht vallen) – en ieder rechtsgevolg ervan – als onontvankelijk, of minstens ongegrond, te verklaren. 43. De conclusie van de verweerder vangt aan met een voorstelling van de partijen. De verweerder benadrukt hierbij dat de klager voorzitter was van de CBPL en directeur van het Kenniscentrum van de Gegevensbeschermingsautoriteit, in de periode vóór het indienen van de klacht. 44. De verweerder licht ook de Fisconetplus-dienst toe. Dit is een portaal ondergebracht in de Federale G-Cloud, ontwikkeld via SharePoint Online, een digitale tool in beheer van Microsoft. Die laatste vereist voor de toegang tot haar platform het aanmaken van een gebruikersaccount. Anonieme toegang werd door Microsoft verboden. In aanloop van het gebruik van dit platform werd de verweerder gecontacteerd door de GBA, in navolging waarvan eerst een tussentijdse en later een definitieve oplossing werd aangenomen. 45. De tussentijdse oplossing bestaat uit drie toegangsmogelijkheden: 10 Vergelijk artikel 3, lid 2 WOG. Beslissing ten gronde 82/2020- 15/48 A. Toegang via de basiszoekmotor van FisconetPlus via Myminfin.be, zonder enige authenticatie: de gebruiker klikt op een link waardoor hij op een pagina terechtkomt waar hij eenvoudige opzoekingen kan doen. B. (Vanaf 31 januari 2019) toegang tot FisconetPlus via een anonieme account: de verweerder stelt dat deze optie benadrukt werd op de website, zodanig dat de gebruiker geleid wordt naar de meest privacy vriendelijke optie. De gebruiker klikt op “anonieme gebruiker maken” en ontvangt vervolgens een gebruikersnaam en willekeuring paswoord dat hij zelf dient te bewaren. De gebruiker dient hierbij zelf geen persoonsgegevens in te voeren. C. Toegang via een Microsoft account. De verweerder illustreert de toegangsopties middels de volgende schematische voorstelling11: 46. Daarnaast wijst de verweerder erop dat er in de voorgenomen definitieve oplossing in elk geval geen probleem bestaat, daar die oplossing de volledige integratie van de informatie op een eigen platform impliceert, zonder de tussenkomst van enige derde dienstenaanbieder. De verweerder stelt in dit verband: “De voorzitter van de verweerder informeerde de Autoriteit ook duidelijk vanaf de eerste contacten dat de bovenvermelde ontwikkelingen geleidelijk aan dienden te worden uitgevoerd, afhankelijk van de beschikbare middelen en de verschillende betrokken directies. Aangezien men op heden nog steeds geen volwaardige regering heeft, waardoor budgetten veel moeilijker en trager kunnen worden bekomen, en men ook met de Covid-19 crisis is geconfronteerd, nemen deze ontwikkelingen meer tijd in beslag dan oorspronkelijk voorzien. Ook op technisch vlak is het niet zo eenvoudig om op zeer korte termijn de bovenvermelde definitieve en meest wenselijke oplossing te implementeren. Zij rekenen hiervoor 9 à 12 maanden”. 47. Na een overzicht van de voorafgaande procedure komt de verweerder tot haar inhoudelijke argumenten. Hieronder volgt een weergave van de 22 middelen die de verweerder aanhaalt: 11 Extract uit de conclusie van repliek van de verweerder Beslissing ten gronde 82/2020- 16/48 48. “MIDDEL 1: “OBSUCRI LIBELLI” EN ONONTVANKELIJKHEID VAN DE RECHTSVORDERINGEN” De verweerder stelt dat door de Geschillenkamer slechts voor het eerst meer dan zes maanden na het instellen van de klacht aan de verweerder verzocht werd om haar verweermiddelen kenbaar te maken, hoewel er intussen onder meer een voorlopige maatregel door de Inspectiedienst werd genomen ten aanzien van de verweerder overeenkomstig artikel 70 WOG. De verweerder vindt het “compleet onduidelijk welke handelingen [haar] precies ten laste worden gelegd”. 49. “MIDDEL 2: DE AUTORITEIT SCHOND ARTIKEL 54.2 AVG EN ARTIKEL 48, §1 GBA-WET DOORDAT HAAR LEDEN NIET DE VERPLICHTING RESPECTEERDEN OM HET VERTROUWELIJKE KARAKTER TE BEWAREN VAN DE FEITEN, HANDELINGEN OF INLICHTINGEN WAARVAN ZIJ UIT HOOFDE VAN HUN FUNCTIE KENNIS NEMEN” De verweerder stelt dat “uit het dossier klaar en duidelijk blijkt dat de Klager feiten en elementen uit het dossier heeft gebruikt waarvan hij eerder kennis nam in zijn hoedanigheid van Voorzitter van de Autoriteit en directeur van het Kenniscentrum.” De klager heeft volgens de verweerder bijzondere voorkennis over elementen in het dossier en gebruikt die voorkennis om later als burger klacht in te dienen. De verweerder verwijst te dezen onder meer naar artikel 48, §1 WOG en artikel 54, lid 2 AVG en meent dat er een schending van deze rechtsbepalingen in hoofde van de klager kan worden vastgesteld. 50. “MIDDEL 3: EEN AANBEVELING HEEFT GEEN WETTELIJKE KRACHT - MISKENNING VAN BEVOEGDHEDEN EN TAAKVERDELING BINNEN DE AUTORITEIT” De verweerder verduidelijkt haar aangedragen middel als volgt: “door enerzijds een Aanbeveling [1/2019] uit te schrijven in zijn hoedanigheid van directeur van het Kenniscentrum en, anderzijds door een klacht in te dienen wegens niet naleving van diezelfde Aanbeveling, heeft de Klager verschillende rechtsbeginselen en de taken die specifiek aan het Kenniscentrum zijn toevertrouwd, geschonden.” De verweerder meent daarnaast dat het niet de bedoeling is om een specifieke situatie te regelen via een aanbeveling, niettegenstaande de advies- en aanbevelingsbevoegdheden van de GBA. Bovendien heeft een aanbeveling geen bindende juridische kracht. 51. “MIDDEL 4: ONEERLIJKE PROCESVOERING, SCHENDING VAN DE RECHTEN VAN VERDEDIGING EN ONPARTIJDIGHEID” Beslissing ten gronde 82/2020- 17/48 De verweerder stelt dat haar rechten van verdediging systematisch miskend worden. De verweerder wijst erop dat de klager de voormalige voorzitter van de GBA is, wat de rechtmatigheid van de procedure en onpartijdigheid van de leden van de Geschillenkamer in het gedrang brengt. De verweerder wijst ook op de nieuwe website van de Gegevensbeschermingsautoriteit, die werd gelanceerd gedurende de procedure, en die een heel aantal publicaties die relevant zouden zijn voor het verweer ontoegankelijk heeft gemaakt, wat ervoor zorgt dat de “gelijkheid van wapens andermaal [werd] aangetast.” 52. “MIDDEL 5: DE AUTORITEIT SCHOND DE BEGINSELEN VAN BEHOORLIJK BESTUUR ALSMEDE HET RECHTSZEKERHEIDSBEGINSEL” Sinds maart 2018 was de GBA op de hoogte van het nieuwe FisconetPlus portaal, zo de verweerder. Uiteindelijk vonden er in december 2018 ook vergaderingen plaats tussen de verweerder en de GBA. Er werden op dat moment geen bezwaren gemaakt betreffende de tussentijdse en definitieve oplossingen. Desondanks legt de inspectiedienst plots op 20 mei 2020 een bevel tot voorlopige opschorting betreffende de toegang tot Fisconetplus op aan de verweerder. De raadslieden van de verweerder stellen dat er onvoldoende tijd werd gegeven om een nieuw systeem te ontwikkelen. Er vond geen voorafgaand overleg plaats met de verweerder, er werden geen termijnen toegekend aan de verweerder. 53. “MIDDEL 6: BEWIJSLAST” Er werd geen proces-verbaal in de zin van artikel 67 WOG opgemaakt door de Inspectiedienst. De verweerder stelt dat de vaststellingen van de Inspectiedienst geen bijzondere bewijskracht (kunnen) genieten en wijst erop dat de verweerder het tegenbewijs van de betwiste vaststellingen met ieder rechtsmiddel kunnen aanbrengen. 54. “MIDDEL 7: DE AUTORITEIT SCHOND ARTIKEL 63 WOG DOORDAT DE INSPECTIEDIENST EEN ONDERZOEK UITVOERDE VOOR ASPECTEN DIE NIET BIJ HAAR AANHANGIG WAREN GEMAAKT” De verweerder verwijst te dezen naar het verzoek van de Geschillenkamer ten aanzien van de Inspectiedienst, overeenkomstig artikel 94, 1° WOG, dat veel beperkter was dan het uiteindelijke onderzoek dat en de uiteindelijke vaststellingen die de Inspectiedienst deed, zoals weergegeven in het voorgaand besproken verslag. Beslissing ten gronde 82/2020- 18/48 55. “MIDDEL 8: DE AUTORITEIT SCHOND ARTIKEL 96, §1 WOG DOORDAT HET VERZOEK VAN DE GESCHILLENKAMER OM EEN ONDERZOEK DOOR DE INSPECTIEDIENST TE LATEN VERRICHTEN NIET BINNEN DE DERTIG DAGEN NADAT DE KLACHT AANHANGIG WERD GEMAAKT BIJ DE GESCHILLENKAMER DOOR DE EERSTELIJNSDIENST AAN DE INSPECTEUR-GENERAAL VAN DE INSPECTIEDIENST WERD OVERGEMAAKT” Dit verzoek werd overgemaakt na 31 dagen, wat later is dan de in de wet voorziene termijn, stelt de verweerder. Bijgevolg dient het Inspectieverslag, alsmede de stukken in bijlage bij het Inspectieverslag, uit de debatten te worden geweerd, aldus de verweerder. 56. “MIDDEL 9: DE KLACHT IS ONONTVANKELIJK EN MINSTENS ONGEGROND” De klacht heeft betrekking op het feit dat de brochure slechts kan worden geraadpleegd via het aanmaken van een Microsoft account. De verweerder werpt op dat de Inspectiedienst in haar verslag gesteld heeft dat het bezwaar van de klager “niet bewezen” werd. Het feit dat schermafbeeldingen aangeleverd door de klager wijzen op de mogelijkheid om een Microsoftaccount aan te maken, impliceert immers niet dat er een verplichting bestaat om een Microsoftaccount aan te maken. Daarnaast stelt de verweerder dat het principe dat de toegang tot overheidsinformatie zou moeten gevrijwaard worden van de tussenkomst van derde dienstenaanbieders, niet kan gelezen worden in de AVG. 57. “MIDDEL 10: DE TOEGANG TOT DE FISCONETPLUS-DIENST VOLGT GEEN COMPLEX TOEGANGSSCHEMA” Het Inspectieverslag concludeert dat als men de toegang tot alle keuzes op FisconetPlus en MyMinfin schematisch voorstelt, men een complex toegangsschema krijgt.12 Bijgevolg zou de toegang tot de Fisconetplus-dienst een complex toegangsschema volgen dat niet transparant is voor de gebruiker. De verweerder betwist dit en stelt dat zij de transparantieplicht correct heeft nageleefd. 58. “MIDDEL 11: DE VERWEERDER IS VERWERKINGSVERANTWOORDELIJKE, HETZIJ ALLEEN, HETZIJ GEZAMENLIJK VOOR BEPAALDE VERWERKINGEN VAN PERSOONSGEGEVENS – 12 De verweerder verwijst te dezen naar het Technisch Onderzoeksverslag van de Inspectiedienst, blz.5. Beslissing ten gronde 82/2020- 19/48 MICROSOFT IS VERWERKINGSVERANTWOORDELIJKE VOOR BEPAALDE VERWERKINGEN VAN PERSOONSGEGEVENS” De contractuele afspraken tussen de verweerder en Microsoft, voor wat betreft de Sharepoint Online Cloud toepassing van Microsoft, kwalificeren de verweerder als verwerkingsverantwoordelijke en Microsoft als verwerker, zo stelt de verweerder. Desalniettemin meent de verweerder dat enkele preciseringen dienen te worden aangebracht, specifiek wat betreft de authenticatie via de Microsoft account. Ten eerste wijst de verweerder op het feit dat ten tijde van de keuze om FisconetPlus onder te brengen op de Sharepoint Online Cloud van Microsoft het niet vereist was om met een Microsoft account in te loggen om toegang te krijgen tot de Sharepoint Online Cloud toepassing. Die keuze is nadien wereldwijd, omwille van veiligheidsredenen, door Microsoft gemaakt en structureel geïmplementeerd. Dit is niet de keuze van verweerder. Ten tweede bevestigde Microsoft aan de verweerder dat voor iedere authenticatie die via het Microsoft account verloopt, Microsoft handelt als een verwerkingsverantwoordelijke. De verweerder stelt zich op het standpunt dat dit een separate verwerkingsverantwoordelijkheid betreft, waarbij Microsoft voor een aantal aspecten verantwoordelijk is en de verweerder voor een aantal aspecten. Zo zou verweerder niet verantwoordelijk zijn voor de authenticatiemethode die Microsoft voorschrijft. 59. “MIDDEL 12: DE INFORMATIE IN DE COOKIE POLICY IS VOLLEDIG, TRANSPARANT EN CORRECT” De Inspectiedienst stelt dat het cookiebeleid niet volledig en niet (volledig) correct is. Er zouden in realiteit cookies worden geplaatst die niet in het cookiebeleid staan. De verweerder benadrukt dat het slechts om één onvermelde cookie gaat; het gaat om een veiligheidscookie (session cookie). 60. “MIDDEL 13: VOOR DE COOKIES DIE WORDEN GEPLAATST DOOR DE VERWEERDER IS GEEN TOESTEMMING NODIG – VOOR ZOVER NODIG WERD TOESTEMMING RECHTSGELDIG BEKOMEN” De verweerder stelt dat alle cookies die de verweerder via haar website plaatst - ook de cookies die door de Inspectiedienst werden vastgesteld - essentiële of functionele cookies zijn. Bijgevolg is er geen vereiste om toestemming te vragen van betrokkenen op grond van art. 129 Beslissing ten gronde 82/2020- 20/48 Wet betreffende de Elektronische Communicatie (als uitvoering van art. 5.3 e-privacyrichtlijn).13 Voor zover er toch een toestemming vereist zou zijn, wordt deze rechtsgeldig verkregen door de verweerder. De cookie-banner vraagt immers de toestemming van de betrokkene door het klikken op “Ja, ik ben akkoord” en verduidelijkt dat de betrokkene zijn/haar toestemming geeft door actief verder te surfen op de website. Dit betreft aldus wel degelijk een uitdrukkelijke en actieve toestemming. De raadslieden van de verweerder stellen dan ook dat de vaststellingen 5 en 6 van het inspectieverslag niet correct zijn. 61. “MIDDEL 14: DE INSPECTIEDIENST LEVERT GEEN BEWIJS DAT DE ANONIEME ACCOUNT VIA FISCONETPLUS NIET ANONIEM WAS” De verweerder werpt op dat de Inspectiedienst op verschillende plaatsen in haar verslag aanhaalt “dat de ‘anonieme’ account niet werkelijk anoniem was, zonder deze bewering werkelijk aan te tonen.” De verweerder verwijst hierbij naar de analyse van de Inspectiedienst, waarbij die laatste vaststelt dat het plaatsen van cookies door Microsoft na het inloggen via een gebruikersaccount, impliceert dat het gebruik van het account niet werkelijk anoniem is. Een analyse door de Inspectiedienst van het “anonieme” account heeft echter niet plaatsgevonden, stelt de verweerder. De verweerder stelt bovendien in dit kader dat enkele vaststellingen van de Inspectiedienst niet correct zijn. Het verslag van de Inspectiedienst bevat geen technische analyse van het anonieme account en daarenboven is niet aangeduid door de Inspectiedienst welke cookies persoonsgegevens bevatten, of geassocieerd worden met een identificator, zoals een IP-adres. 62. “MIDDEL 15: DE COOKIE POLICY VOORZIET WEL DEGELIJK IN UITLEG OVER HOE EEN GEGEVEN TOESTEMMING KAN WORDEN INGETROKKEN EN IN EEN MECHANISME OM TOESTEMMING IN TE TREKKEN” Volgens de Inspectiedienst zouden beide websites geen uitleg bevatten aangaande de (intrekking van de) toestemming voor het gebruik van cookies. De verweerder stelt dat geen toestemming dient te worden bekomen van de betrokkene voor het plaatsen van essentiële en functionele cookies. De verweerder voorziet wel uitleg omtrent hoe cookies verwijderd kunnen worden. 63. “MIDDEL 16: GEEN SCHENDING VAN DE BEGINSELEN VAN DE AVG” 13 Wet betreffende de Elektronische Communicatie van 13 juni 2005, B.S. 20 juni 2005 (WEC); Richtlijn (EU) 2002/58/EG van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, P.B. EU L/37 (e-privacyrichtlijn). Beslissing ten gronde 82/2020- 21/48 De raadslieden van de verweerder stellen dat de verklaringen van de verweerder verkeerd worden voorgesteld in het verslag . Bijgevolg is volgens de verweerder het eerlijkheidsbeginsel vervat in artikel 5, lid 1, punt a) AVG niet geschonden en zijn verschillende vaststellingen van de Inspectiedienst niet correct. De vaststellingen van de Inspectiedienst over de naleving van het finaliteitsbeginsel (artikel 5, lid 1, punt b) AVG) en de afdoende beveiliging van persoonsgegevens (artikel 32 AVG) zijn niet correct en gaan uit van verkeerde veronderstellingen. Ook verwijst de verweerder naar de Gebruikershandleiding voor haar website om te argumenteren dat – in tegenstelling tot wat de Inspectiedienst vaststelde – de informatieplicht overeenkomstig artikel 13, lid 1 AVG wel degelijk werd nageleefd. Te dezen wordt gesteld door de verweerder dat de ontvangers van persoonsgegevens duidelijk werden aangegeven, en dat er geen persoonsgegevens werden doorgegeven buiten de Unie. 64. “MIDDEL 17: GEEN SCHENDING VAN DE MEDEWERKINGSPLICHT” De verweerder stelt dat zij haar plichten in de zin van artikel 31 AVG en artikel 66 WOG terdege heeft nageleefd. 65. “MIDDEL 18: GEEN SCHENDING VAN MINIMALE GEGEVENSVERWERKINGSPLICHT” De verweerder wijst erop dat het inloggen tot het Fisconetplus portaal voor gebruikers als voordeel gepersonaliseerde diensten (zoals het bewaren en categoriseren van documenten) had. 66. “MIDDEL 19: GEEN SCHENDING VAN DE BEGINSELEN VAN GEGEVENSBESCHERMING DOOR ONTWERP EN GEGEVENSBESCHERMING DOOR STANDAARD INSTELLINGEN” De verweerder herhaalt dat ten tijde van haar keuze voor het Sharepoint Platform van Microsoft voor de ontwikkeling, het inloggen middels een gebruikersaccount niet vereist was, en dat dit een keuze was van Microsoft, en dat een inbreuk op artikel 25 AVG haar dan ook niet kan verweten worden. 67. “MIDDEL 20: ER WAS GEEN NOODZAAK TOT HET UITVOEREN VAN EEN GEGEVENSBESCHERMINGSEFFECTENBEOORDELING” Beslissing ten gronde 82/2020- 22/48 Volgens de verweerder is er “geen sprake van een ‘waarschijnlijk hoog risico’ ” in de zin van artikel 35 AVG en evenmin valt de verwerking onder één van de situaties van artikel 35 AVG. Daarnaast wijst de verweerder erop dat de verwerking eveneens niet voorkomt op de lijst van verwerkingen die een DPIA behoeven, opgesteld door de Gegevensbeschermingsautoriteit. 68. “MIDDEL 21: FUNCTIONARIS” De verweerder stelt dat de positie van de FG voldoende onafhankelijk is binnen het organisatiemodel van de verweerder, overeenkomstig artikel 37 en 38 AVG, en dat zij haar taken in de zin van artikel 39 AVG steeds terdege heeft uitgevoerd. De verweerder wijst er ook op dat de Inspectiedienst zelf verwarring zou gecreëerd hebben door eerst de Voorzitter van het Directiecomité aan te schrijven. De FG werd in eerste instantie niet rechtstreeks aangeschreven en antwoordde dus ook niet rechtstreeks op de vragen van de Inspectiedienst. 69. “MIDDEL 22: ONDERSCHIKTE ORDE: MILDE TOEPASSING” In ondergeschikte orde verzoekt de verweerder aan de Geschillenkamer om een milde toepassing te maken van haar bevoegdheden. De verweerder vraagt in hoofdorde: 1. De Klacht te seponeren in toepassing van artikel 100, §1, 1° WOG, of minstens de klacht ongegrond te verklaren; 2. De Bijkomende Vaststellingen – en ieder rechtsgevolg ervan – als onontvankelijk, minstens ongegrond, te verklaren, en bijgevolg in toepassing van artikel 100, §1, 2° WOG, de buitenvervolginstelling te bevelen In ondergeschikte orde vraagt de verweerder: 1. In toepassing van artikel 100, §1, 3° WOG, de opschorting van de uitspraak te bevelen. In meer ondergeschikte orde vraagt de verweerder: 1. In toepassing van artikel 100, §1, 5° WOG, waarschuwingen en berispingen te formuleren. De hoorzitting Beslissing ten gronde 82/2020- 23/48 70. Bij Ministerieel Besluit van 28 oktober 2020 houdende dringende maatregelen om de verspreiding van het coronavirus COVID - 19 te beperken (B.S. 28/10/2020) werd door de federale overheid besloten tot een aantal dwingende maatregelen die het onmogelijk maakten om een hoorzitting met alle partijen in de gebruikelijke opstelling te laten plaatsvinden. De Geschillenkamer bood de partijen daarom de mogelijkheid om de hoorzitting te laten plaatsvinden via elektronische weg. Beide partijen bevestigden hun aanwezigheid ter hoorzitting vooraf overeenkomstig artikel 51 Reglement van Interne Orde van de Gegevensbeschermingsautoriteit. 71. De hoorzitting vond plaats op 16 november 2020. Beide partijen waren aanwezig. 72. Er werd een proces-verbaal van de hoorzitting opgemaakt, dat als enige doel heeft aanvullingen en preciseringen met betrekking tot de eerder neergelegde conclusies weer te geven. Zoals steeds kregen de partijen ook de mogelijkheid feitelijke opmerkingen te formuleren bij het procesverbaal, zonder dat dit een heropening van de debatten inhoudt. De verweerder maakte zulke opmerkingen over, die als bijlage bij het proces-verbaal aan het dossier werden toegevoegd. 2. Motivering 2.1. De bevoegdheid van de Inspectiedienst en de Geschillenkamer en de omvang van het dossier 2.1.1. Het verzoek van de verweerder om stukken uit de debatten te weren 73. Op 29 oktober 2019 heeft de Eerstelijnsdienst de klacht ontvankelijk verklaard en overgemaakt aan de Geschillenkamer, ingevolge artikel 62, § 1 WOG. Op 24 november 2019 heeft de Geschillenkamer besloten dat een onderzoek van de Inspectiedienst noodzakelijk was, in toepassing van artikel 94, 1° en artikel 63, 2° WOG. Op 29 november 2019 werd het verzoek tot het verrichten van een onderzoek overeenkomstig artikel 96, §1 WOG overgemaakt aan de Inspectiedienst. 74. In middel 8 van haar repliekconclusie stelt de verweerder dat het verslag van de Inspectiedienst, alsmede de stukken in bijlage bij het verslag, uit de debatten dienen te worden geweerd, ingevolge het laattijdig overmaken door de Geschillenkamer van het verzoek ten aanzien van de Inspectiedienst om een onderzoek te voeren. De klacht werd immers aanhangig gemaakt door de Eerstelijnsdienst op 29 oktober 2019, 31 dagen vóór het verzoek in de zin van artikel 96, §1 WOG. Beslissing ten gronde 82/2020- 24/48 De Geschillenkamer beschouwt de termijn bedoeld in artikel 96, §1 WOG, waarvan de overschrijding niet bestraft wordt met enige sanctie in de rechtsnorm zelf, als een termijn van orde. De overschrijding van de termijn maakt op zichzelf niet de nietigheid van de navolgende acties van een bestuurlijke overheid uit.14 De Geschillenkamer ziet dan ook geen noodzaak om het verslag van de Inspectiedienst, alsook de stukken aangedragen door de Inspectiedienst, te weren uit de debatten en bijgevolg niet te overwegen in de beraadslaging voor het nemen van voorliggende beslissing temeer omdat de overschrijding van de termijn (in casu net 1 dag) geen door het recht beschermd belang van de verweerder schaadt. 75. Louter voor de rechtsbescherming van betrokkenen (burgers), en meer bepaald rekening houdende met het recht van betrokkenen om klacht in te dienen overeenkomstig artikel 77, lid 1 AVG en de aan de toezichthoudende autoriteit toegewezen taken en bevoegdheden overeenkomstig artikel 57 en 58 AVG om die klacht te behandelen, kan daarenboven niet worden aanvaard dat een nationale procedurele bepaling die een termijn van orde vooropstelt, die taken en bevoegdheden van de toezichthoudende autoriteit ter zake ontneemt.15 2.1.2. De middelen van de verweerder inzake “obscuri libelli”, de “onontvankelijkheid van rechtsvorderingen” en de onderzoeksbevoegdheden van de Inspectiedienst in een dossier met een klacht 76. De Inspectiedienst doet in navolging van haar onderzoek en in haar verslag inderdaad een aantal vaststellingen die betrekking hebben op dezelfde verweerder (als verwerkingsverantwoordelijke) als die vermeld in de klacht, waar die vaststellingen geen – of op zijn minst niet altijd – rechtstreekse betrekking hebben op het voorwerp van de klacht. 77. In het eerste middel van haar repliekconclusie, argumenteert de verweerder dat de klacht betrekking heeft op één aspect, maar de Inspectiedienst tal van aspecten onderzoekt, waardoor het voor de verweerder “bijgevolg compleet onduidelijk [is] welke handelingen aan [de verweerder] precies ten laste worden gelegd”. In het zevende middel van haar repliekconclusie, stelt de verweerder dat “de autoriteit artikel 63 WOG [schond] doordat de Inspectiedienst een onderzoek uitvoerde voor aspecten die niet bij haar aanhangig werden gemaakt”. 14 Vergelijk Cass. Arrest van 27 juni 2019 (beschikbaar via juportal.be): “Ce délai, qui n’est assorti d’aucune sanction, est un délai d’orde dont le dépassement n’a pas pour conséquence de rendre l’amende administrative illégale.” 15 Omtrent de rechtsbescherming van burgers op basis van het Unierecht en de principes van ‘directe werking’ en ‘primauteit’, zie o.m. Arrest HvJEU van 5 februari 1963, NV Algemene Transport- en Expeditie Onderneming van Gend & Loos t. Nederlandse Administratie der Belastingen, C-26-62, ECLI:EU:C:1963:1; Arrest HvJEU van 15 juli 1964, Flaminio Costa t. E.N.E.L., C-6-64, ECLI:EU:C:1964:66; zie ook de rechtsleer dienaangaande: C. BARNARD, The Substantive Law of the EU: The Four Freedoms, Oxford (5de ed.), 2016, 17. Beslissing ten gronde 82/2020- 25/48 78. Nu het dossier overeenkomstig artikel 63, 2° WOG aanhangig werd gemaakt door de Geschillenkamer bij de Inspectiedienst, heeft die laatste uiteraard de bevoegdheid om de verwerkingen die verband houden met het voorwerp van de klacht verder te onderzoeken. Het kan daarbij worden onderstreept dat het loutere feit dat de klacht betrekking heeft op de toegang tot een specifieke brochure, dit de onderzoeksbevoegdheden van de Inspectiedienst (artikelen 64 tot en met 90 WOG) niet kan beperken tot een loutere vaststelling van de accuraatheid van de klacht. De onderzoeksbevoegdheden moeten immers dienend zijn om de naleving van de bepalingen inzake persoonsgegevensbescherming te onderzoeken. Het onderzoek moet om die reden op zijn minst ook kunnen ingaan op elementen die accessoir zijn aan het voorwerp van de klacht. 79. De Geschillenkamer wijst er daarnaast op dat wanneer de Inspectiedienst in de loop van een onderzoek naar een klacht vaststelt dat er ernstige aanwijzingen zijn van het bestaan van een praktijk die aanleiding kan geven tot een inbreuk op de grondbeginselen van de bescherming van persoonsgegevens, de Inspectiedienst overeenkomstig artikel 63, 6° WOG uit eigen beweging nieuwe elementen kan onderzoeken. De Geschillenkamer wijst er echter op dat in de onderhavige zaak alle vaststellingen van de Inspectiedienst rechtstreeks of onrechtstreeks verband houden met het voorwerp van de klacht, en alle vaststellingen deel uitmaken van één dossier, dat bij de Inspectiedienst aanhangig werd gemaakt op basis van artikel 63, 2° WOG. 80. Er kan te dezen ook niet worden aangedragen dat de omvang van het dossier voor de verweerder onduidelijk was, nu de beslissing van de Geschillenkamer d.d. 4 juni 2020 met de uitnodiging aan beide partijen om verweermiddelen in te dienen overeenkomstig artikel 98 en 99 WOG, duidelijk verwijst naar de klacht én de vaststellingen van de Inspectiedienst.16 81. Het verzoek van de Geschillenkamer ten aanzien van de Inspectiedienst, beperkt dus geenszins de omvang van het onderzoek en onderzoeksmogelijkheden van die laatste. Dit blijkt duidelijk uit de wettekst. Om die reden kan het argument dat wordt gepuurd uit middel 1 van de repliekconclusie van de verweerder niet worden aanvaard. Daarnevens wijst de Geschillenkamer er voor de volledigheid op dat de WOG nergens in de mogelijkheid voorziet om een klacht – na het ontvankelijk verklaren ervan door de Eerstelijnsdienst – als het ware a posteriori “onontvankelijk” te verklaren.17 16 In de brief aan de verweerder wordt onder meer letterlijk vermeld: “Op basis van de klacht en de vaststellingen gedaan door de Inspectiedienst beslist de Geschillenkamer over te gaan tot een behandeling ten gronde.” 17 De Geschillenkamer heeft anderzijds wel de bevoegdheid om te beslissen dat er geen inbreuk kan worden vastgesteld, en op grond van artikel 100, §1, 2° WOG de buitenvervolgingstelling bevelen, of de klacht seponeren overeenkomstig artikel 95, §1, 1° of artikel 100, §1, 1° WOG (naargelang het stadium van de procedure waarin het dossier zich bevindt). Beslissing ten gronde 82/2020- 26/48 2.2. De onafhankelijkheid en integriteit van de medewerkers en leden van de Gegevensbeschermingsautoriteit in het geheel, en de Geschillenkamer in het bijzonder (artikel 54, lid 2 AVG en artikel 48, §1 WOG) 82. In het tweede middel van haar repliekconclusie stelt de verweerder dat de GBA zelf artikel 54, lid 2 AVG en artikel 48, §1 WOG schond “doordat haar leden niet de verplichting respecteerden om het vertrouwelijke karakter te bewaren van de feiten, handelingen of inlichtingen waarvan zij uit hoofde van hun functie kennis nemen”. 83. Ter staving van dit argument verwijst de verweerder naar communicatie – die de verweerder zelf bijvoegt – tussen de verweerder en de klager in zijn hoedanigheid van voorzitter en directeur van de GBA (en voordien als voorzitter van de CBPL), en in het bijzonder naar een brief die dateert van 15 juni 2018. Daarenboven wordt er op gewezen dat de Aanbeveling 1/2019 waarop de klager diens klacht stoelt, door de klager in zijn hoedanigheid van directeur bij het Kenniscentrum werd ondertekend. 84. De Geschillenkamer wenst er vooreerst op te wijzen dat de GBA, de Geschillenkamer incluis, op transparante en integere manier haar taken uitvoert, met als minimumdrempel de wettelijke integriteitsplicht, vervat in artikel 54, lid 2 AVG en artikel 48, §1 WOG, de rechtsbepalingen waar de verweerder naar verwijst. De verweerder haalt onterecht aan dat er sprake is van oneerlijke procesvoering, schending van de rechten van verdediging en onpartijdigheid.18 85. De Geschillenkamer onderstreept onder meer het vast beleid dat zij hanteert inzake de publicatie van haar beslissingen – al dan niet met weglating van de identificatiegegevens en met voorbehoud van de beslissingsbevoegdheid van de zetelende leden om de beslissing in een individueel dossier al dan niet te publiceren – waarbij de Geschillenkamer waar mogelijk haar werkzaamheden en beslissingen na het afsluiten van dossiers op transparante wijze publiek maakt voor burgers.19 Ook de voorliggende beslissing zal om die reden worden gepubliceerd (infra). 86. Bij het nemen van de beslissing wordt met alle stukken in het dossier rekening gehouden, en de Geschillenkamer beperkt zich bij de beoordeling van het dossier dus geenszins tot de belastende 18 Meer bepaald in middel 4 van de repliekconclusie van de verweerder. 19 De Geschillenkamer beslist geval per geval om beslissingen bekend te maken overeenkomstig artikel 95, §1, 8° en artikel 100, §1, 16° WOG; afhankelijk van het stadium van de procedure waar het dossier zich in bevindt. Beslissing ten gronde 82/2020- 27/48 elementen.20 Bij de inhoudelijke beoordeling van het dossier en de beraadslagingen die de voorliggende beslissing voorafgingen werd steeds rekening gehouden met de argumenten en verweermiddelen van de verweerder, alsook met de antwoorden en stukken die door de verweerder aan de Inspectiedienst werden verschaft en die integraal tot het dossier behoren. 87. De klager is op dit moment geen lid of personeelslid van de GBA en is niet betrokken bij de inhoudelijke activiteiten van de autoriteit, en was dit ook niet op het moment van de klacht. Hij diende een klacht in via zijn privé e-mailadres. Er moet abstractie worden gemaakt tussen de (al dan niet voormalige) professionele hoedanigheid van de klager, naast diens hoedanigheid van burger van de Europese Unie en van het Koninkrijk België. Nergens in de Europese of nationale wetgeving wordt de klager het recht ontnomen om overeenkomstig artikel 77 AVG klacht in te dienen bij een toezichthoudende autoriteit, in casu de GBA, omdat hij zelf betrokken is of was bij de werking van die autoriteit. Dit geldt a fortiori voor personen die in een (recent) verleden werkzaam waren bij de GBA, maar dit niet langer zijn. 88. Daarnaast is het geenszins zo dat de klager “dus ‘rechter en partij’ bij eenzelfde geschil” uitmaakt, zoals de verweerder in haar repliekconclusie argumenteert.21 De door de Kamer van Volksvertegenwoordigers benoemde leden van de Geschillenkamer beslissen in elk dossier waar zij zetelen onafhankelijk en autonoom, in overeenstemming met artikel 52 AVG en artikel 43 e.v. WOG. 89. De leden benadrukken dat er geen enkele externe invloed op hen werd uitgeoefend bij de behandeling van dit dossier, noch aanvaardden de leden bij de behandeling van dit dossier enige instructie van wie dan ook.22 Er kan ook worden onderstreept dat de zetelende leden in dit dossier niet op hetzelfde moment werknemer of benoemd lid waren in de periode waarin de klager (als leidinggevende) activiteiten voor de CBPL of de GBA uitoefende. 90. De verweerder stelt in diens repliekconclusie: “De Klager maakt duidelijk gebruik van zijn bijzondere voorkennis van het dossier (…). In de Klacht wordt inderdaad nergens expliciet verwezen naar vertrouwelijke elementen van het dossier, maar het is echter wel duidelijk dat de voorkennis van het dossier van de Klager een doorslaggevende rol heeft gespeeld voor de Klager om een klacht neer te leggen.”. 20 Middel 4 repliekconclusie verweerder: “het dossier werd uitsluitend ten laste van [de verweerder] gevoerd, zonder dat de verschillende verslagen aantonen dat [de verweerder] steevast heeft meegewerkt met de Autoriteit in dit dossier.” 21 Middel 2 repliekconclusie verweerder. 22 Vergelijk artikel 52, lid 2 AVG en artikel 43, lid 1 WOG. Beslissing ten gronde 82/2020- 28/48 91. Er kan worden benadrukt dat de klager in zijn klacht of in andere stadia van de behandeling van het dossier bij de GBA, geen onrechtmatig bewijs heeft voorgelegd, en meer nog, zich uitsluitend heeft gestoeld op publiek beschikbare documenten. De brief van 15 juni 2018 waar de verweerder naar verwijst, wordt door die verweerder zelf aangedragen en is niet voorgelegd door de klager om zijn rechten als burger uit te oefenen. 92. Uiteraard is het zo dat de klager als voormalig voorzitter en directeur van de CBPL, resp. GBA, een zekere expertise heeft op het vlak van de bescherming van de persoonsgegevens en in die zin potentieel relevante publieke documenten heeft kunnen identificeren en aandragen. Het loutere feit dat een burger de wet- en regelgeving ter zake goed beheerst omwille van zijn professionele activiteiten, en aanwendt om diens rechten als burger uit te oefenen, betekent echter niet ipso facto dat die persoon zijn rechten misbruikt of integriteitsplichten (die voortvloeien uit zijn professionele activiteiten) schendt. 93. De Geschillenkamer ziet dientengevolge geen enkele reden waarom een inbreuk op artikel 54, lid 2 of artikel 48, §1 WOG zou zijn begaan door de klager of de GBA zelf; het argument in het tweede middel van de repliekconclusie van de verweerder kan dus niet worden weerhouden. 2.3. De verwerkingsverantwoordelijke(n) in de zin van artikel 4, punt 7) AVG 94. De Geschillenkamer gaat over tot het aanduiden van de verwerkingsverantwoordelijke voor de verwerkingen die betrekking hebben op het voorwerp van de klacht en de vaststellingen van de Inspectiedienst in haar verslag. Overeenkomstig artikel 4, punt 7 AVG is de verwerkingsverantwoordelijke: “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstelling van en de middelen voor deze verwerking in het Unierecht of het lidstatelijk recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen” 95. In haar verslag stelt de Inspectiedienst dat de verweerder de verwerkingsverantwoordelijke is voor het volledige beheer van de ‘Fisconetplus-dienst’, met inbegrip van de login middels een Microsoft gebruikersaccount (zowel via een anoniem, als via een ‘normaal’ gebruikersaccount). De Inspectiedienst stelt dat de verantwoordelijkheid van de verweerder “een combinatie van diverse Beslissing ten gronde 82/2020- 29/48 keuzes [omvat] aangaande het aanbieden van diverse toegangsmogelijkheden die al dan niet een verwerking van persoonsgegevens inhouden, met name” (schermafbeelding zonder overname van vermelde voetnoten): 96. De verweerder stelt in haar elfde middel echter dat zij voor een aantal verwerkingen van persoonsgegevens, genoemd in het dossier, niet als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7 AVG kan gezien worden: “De [verweerder] betwist niet dat zij verantwoordelijk is voor de keuze om Fisconetplus onder te brengen in de Sharepoint Online cloud toepassing van Microsoft […] De [verweerder] heeft geenszins enige keuze gemaakt om: voor de authenticatiedienst (onder meer) beroep te blijven doen op Microsoft; de authenticatiedienst al dan niet op de infrastructuur van Microsoft te herbergen. Deze keuzes zijn enkel en alleen door Microsoft gemaakt en de [verweerder] had geen andere keuze dan op dat moment (voorlopig) verder te gaan met Microsoft.”. 97. De verweerder is van mening dat “Microsoft verwerkingsverantwoordelijke is voor wat betreft iedere authenticatie die via de Microsoft account verloopt en dus ook voor iedere authenticatie via de Microsoft account in het kader van Fisconetplus.” De verweerder verwijst hierbij naar de positie van Microsoft als “verwerker” in de zin van artikel 28 AVG, waarbij Microsoft verwerkingsverantwoordelijke wordt overeenkomstig artikel 28, lid 10 AVG voor de verwerking die de authenticatie via een Microsoft account noodzaakt. 98. Het Hof van Justitie heeft bevestigd dat voor de identificatie van de verwerkingsverantwoordelijke(n) er een feitelijke beoordeling moet zijn welke natuurlijke persoon of rechtspersoon, resp. natuurlijke personen of rechtspersonen, “het doel” en “de middelen” van de verwerking vaststellen, waarbij ter bescherming van betrokkenen een ruime definitie aan het begrip wordt gegeven.23 Het Hof heeft eveneens geoordeeld dat een natuurlijke persoon die om 23 Arrest HvJEU van 13 mei 2014, Google Spain en Google, C-131/12, ECLI:EU:C:2014:317, par. 34; Arrest HvJEU van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, ECLI:EU:C:2018:388, par. 28. Beslissing ten gronde 82/2020- 30/48 hem moverende redenen invloed uitoefent op de verwerking van persoonsgegevens en daardoor deelneemt aan de vaststelling van het doel van en de middelen voor deze verwerking, kan geacht worden een verwerkingsverantwoordelijke te zijn.24 99. Ook werd bevestigd door het Hof van Justitie dat het mogelijk is dat, in het kader van een verwerking met gezamenlijke verwerkingsverantwoordelijken, niet alle bewerkingen die door de respectievelijke verwerkingsverantwoordelijken met de persoonsgegevens worden uitgevoerd, de verantwoordelijkheid van elke verwerkingsverantwoordelijke betreffen.25 Dit is met name het geval wanneer het een specifieke verwerkingsverantwoordelijke is die het doel en de middelen vaststelt voor een specifieke bewerking. Dit wil zeggen dat die bewerking voldoende onderscheiden is van de verwerking waarvoor een andere verwerkingsverantwoordelijke (mede) het doel en de middelen voor de persoonsgegevensverwerkingen vaststelt. 100. In het voorliggende geval is de inlogprocedure via Microsoft (zowel via een ‘anoniem’ als een ‘gewoon’ gebruikersaccount) noodzakelijk voor het gebruik van Fisconetplus en haar mogelijkheden tot personalisatie (zoals het bewaren van documenten door gebruikers). Wanneer in de opeenvolgende stappen – gefaciliteerd via een website van de verweerder – persoonsgegevens verwerkt worden, hangen deze verwerkingen sterk samen met het door de verweerder bepaalde doel van de website in het geheel en de daar aangeboden Fisconetplusdienst in het bijzonder. 101. Daarnaast is het de verweerder zelf die contractuele afspraken heeft gemaakt voor de huisvesting van de Fisconetplus-dienst middels de Sharepoint Online dienst van Microsoft, waarbij die laatste het gebruik van een (al dan niet ‘anoniem’) gebruikersaccount vereist voor het gebruik van haar diensten. Het is dus de verweerder die voor de diensten en (digitale) producten van Microsoft kiest en op die manier de middelen voor de verwerking vaststelt. 102. Het doet daarbij niet ter zake dat het bij het aangaan van de verbintenissen tussen de verweerder en Microsoft niet noodzakelijk was om een (al dan niet ‘anoniem’) gebruikersaccount te gebruiken om het Sharepoint Online platform te kunnen gebruiken. Dit is een contractuele aangelegenheid tussen de verweerder en Microsoft, die geen afbreuk doet aan de wettelijke verplichtingen van verwerkingsverantwoordelijken bij de verwerking van persoonsgegevens. De authenticatie via het (al dan niet ‘anonieme’) gebruikersaccount is immers noodzakelijk voor het gebruik van de website van de verweerder, waardoor de verwerking onlosmakelijk met de website en diens eigenaar is verbonden. 24 Arrest HvJEU van 10 juli 2018, Jehovan todistajat, C-25/17, ECLI:EU:C:2018:551, par. 65. 25 Cfr. HvJEU Arrest van 29 juli 2019, Fashion ID GmbH & Co KG t. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, par. 76. Beslissing ten gronde 82/2020- 31/48 103. Voor de verwerking van persoonsgegevens bij het gebruik van de Fisconetplus-dienst op het Sharepoint Online, met de authenticatie via een gebruikersaccount van Microsoft incluis, is de verweerder dus wel degelijk onverkort verwerkingsverantwoordelijke in de zin van artikel 4, punt 7 AVG. 104. Dit houdt ook in dat de verweerder haar verantwoordelijkheden in de zin van artikel 5, lid 2 en artikel 24 AVG met betrekking tot de naleving van de bepalingen in de AVG dient na te komen. Dit geldt ook in het geval Microsoft voor de authenticatie eveneens verwerkingsverantwoordelijke is en waarbij Microsoft en de verweerder gezamenlijke verwerkingsverantwoordelijken uitmaken, overeenkomstig artikel 26 AVG. 26 2.4. De naleving van de beginselen inzake de verwerking van persoonsgegevens (artikel 5 AVG) en gegevensbescherming door ontwerp en standaardinstellingen (artikel 25 AVG) 2.4.1. De vereiste van het naleven van de beginselen inzake de verwerking van persoonsgegevens in het licht van artikel 25 AVG 105. De Geschillenkamer heeft alle elementen van het dossier in haar beraadslaging meegenomen, en besluit dat de kern van de problematiek die aanleiding gaf tot de klacht, terug te leiden valt tot de naleving van het beginsel inzake de behoorlijkheid en transparantie van de verwerking in de zin van artikel 5, lid 1, punt a) AVG enerzijds, en de naleving van het beginsel inzake minimale gegevensverwerking – vervat in artikel 5, lid 1, punt c) AVG – anderzijds. 106. De Inspectiedienst stelt terecht een aantal andere problemen vast, die bijvoorbeeld leiden tot de vaststelling “dat de [verweerder] bij de transfer van persoonsgegevens aan Microsoft toelaat om meer mee te delen dan noodzakelijk en hierbij het finaliteitsbeginsel niet respecteert”, alsook de vaststelling met betrekking tot de beveiliging van persoonsgegevens wanneer deze door Microsoft worden verwerkt.27 De Geschillenkamer beschouwt deze problemen echter als volgend uit de initiële problemen bij – en, zoals verder gemotiveerd, inbreuken op – de in de in het vorige randnummer genoemde bepalingen, zowel bij het vaststellen van de verwerkingsmiddelen als de verwerking zelf. 26 Vergelijk artikel 26, lid 3 AVG: “ongeacht de voorwaarde van de in lid 1 bedoelde regeling, kan de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.” 27 Vaststelling 13 verslag Inspectiedienst. Beslissing ten gronde 82/2020- 32/48 107. In de strikte lezing van de AVG moet er een verwerking zijn van persoonsgegevens, vooraleer een inbreuk op artikel 5 AVG kan worden vastgesteld. In theorie is het immers mogelijk dat er geen enkele betrokkene zich via een gebruikersaccount en met het invoeren van persoonsgegevens authentiseert om toegang te krijgen tot Fisconetplus, waardoor er geen verwerking van persoonsgegevens is en dus ook geen inbreuk op de bepalingen inzake de bescherming van persoonsgegevens kan worden vastgesteld.28 108. Te dezen blijkt de klager, louter op basis van de stukken die hij heeft voorgelegd, zich niet te hebben ingelogd middels een gebruikersaccount. De schermafbeeldingen geven immers enkel het inlogscherm weer, en niet het gebruik van Fisconetplus nadat de klager zich reeds authentiseerde. 109. In die zin kan niet worden aanvaard in het licht van de bevoegdheden van de toezichthoudende autoriteiten,29 alsook in het licht van het belang van persoonsgegevensbescherming,30 dat de rechtsbescherming van burgers via de Gegevensbeschermingsautoriteit enkel mogelijk zou zijn wanneer een daadwerkelijke verwerking aanleiding geeft tot een inbreuk, en niet wanneer een betrokkene een bepaalde verwerking als praktijk weigert omdat zij of hij dit niet in overeenstemming met het waarborgen van de eigen rechten beschouwt. 110. De Europese wetgever heeft om die reden ook voorzien in een artikel 25 AVG, die de verwerkingsverantwoordelijke verplicht bepaalde maatregelen te nemen om zich te conformeren aan de bepalingen die vervat liggen in de AVG, voor eventuele en/of toekomstige persoonsgegevensverwerkingen, en met name “bij de bepaling van de verwerkingsmiddelen”.31 Artikel 25 AVG specificeert de algemene verplichting van een verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen (de “verantwoordingsplicht”, zoals vastgelegd in artikel 24 AVG). 111. De Geschillenkamer beschouwt de naleving van de beginselen inzake persoonsgegevensverwerking vervat in artikel 5 AVG, dan ook in het licht van de verplichtingen in hoofde van een verwerkingsverantwoordelijke op grond van artikel 25 AVG, hetgeen luidt: 28 Vergelijk mutatis mutandis de motivering bij de vernietiging van een beslissing van de Geschillenkamer door het Marktenhof, waar de Geschillenkamer in die beslissing een inbreuk op artikel 5, lid 1, punt c) AVG vaststelde: Arrest Hof van Beroep (Kamer 19A) van 19 februari 2019, X t. GBA, rolnr. 2018/AR/1600, 27: “Er werd door de klaagster in casu geen EID-kaart aangeboden en er is dus geen enkele verwerking van haar gegevens gebeurd. Derhalve toont de GBA geen daadwerkelijke inbreuk in verband met persoonsgegevens aan.” ‘ (de Geschillenkamer onderlijnt). 29 Specifiek artikel 58 AVG en de nationale uitvoeringsbepalingen in de WOG. 30 De bescherming van persoonsgegevens ligt vervat in artikel 8 van het Handvest van de grondrechten van de Europese Unie. 31 Voor toelichting omtrent de link tussen artikel 25 en de beginselen inzake de verwerking van persoonsgegevens, zie Richtsnoeren Comité voor Gegevensbescherming (EDPB) 4/2019 van 20 oktober 2020 omtrent gegevensbescherming door ontwerp en standaardinstellingen (v. 2.0.), beschikbaar via: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_ en.pdf. Beslissing ten gronde 82/2020- 33/48 “1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen. 2. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt. 3. Een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme kan worden gebruikt als element om aan te tonen dat aan de voorschriften van de leden 1 en 2 van dit artikel is voldaan.” (de Geschillenkamer onderlijnt) 2.4.2. De rol van Microsoft als derde dienstenaanbieder en Aanbeveling 1/2019 112. De verweerder heeft in haar repliekconclusie duidelijk gemaakt dat aan betrokkenen bij het gebruik van Fisconetplus steeds de keuze werd gelaten te kiezen om zich te authentiseren middels een eigen Microsoft-account (dat persoonsgegevens bevat), of via een anoniem Microsoftaccount, hetgeen in beginsel geen persoonsgegevens bevat – maar waar de Inspectiedienst wijst op het plaatsen van verschillende cookies die afbreuk zouden doen aan de anonieme waarde van het gebruikersaccount.32 113. De verweerder wijst er in haar negende middel op dat nergens uit de lezing van de bepalingen van de AVG blijkt dat de toegang tot overheidsinformatie gevrijwaard moet worden van de tussenkomst van een derde dienstenaanbieder, zolang de AVG wordt nageleefd. De Geschillenkamer beschouwt dat dit geen getrouwe weergave is van de situatie op het ogenblik 32 Voor een uiteenzetting omtrent het gebruik van cookies door de verweerder, zie infra onderdeel 2.6. Beslissing ten gronde 82/2020- 34/48 van de klacht, waar bij de de facto meest gebruiksvriendelijke toegangsoptie tot Fisconetplus de persoonsgegevens van betrokkenen actief door de derde dienstenaanbieder worden verzameld en verder verwerkt, teneinde toegang te krijgen tot het platform van de verweerder. Dit is met name het geval bij het gebruik van een nieuw of reeds bestaand (eigen) Microsoft gebruikersaccount. 114. De rechtsbasis voor het probleem waarom de tussenkomst van met name die dienstenaanbieder als problematisch kan worden beschouwd in bepaalde gevallen, ligt inderdaad niet vervat in aanbevelingen – zoals de verweerder terecht opmerkt – maar wel in de wetgeving zelf. De Geschillenkamer wijst er echter op dat de interpretatie van de wetgeving een onderzoek vereist van feitelijke elementen, en een toepassing van de wetgeving op die elementen, onder de verantwoordelijkheid van de verwerkingsverantwoordelijke bij het bepalen van de verwerkingsmiddelen (artikel 25, lid 1 AVG). 115. In een voortdurend veranderende en complexe digitale omgeving waarbinnen persoonsgegevens worden verwerkt, is er daarom een adviserende rol voor de toezichthoudende autoriteiten voorzien door de wetgever, bijvoorbeeld om te kunnen inspelen op maatschappelijke vragen en noden, alsook bepaalde tendensen. De Geschillenkamer wijst te dezen op de wettelijk vastgelegde bevoegdheden in artikel 58, lid 3 AVG en de concreet geregelde rol dienaangaande voor het Kenniscentrum van de GBA in artikel 23 e.v. WOG. 116. In Aanbeveling 1/2019 van 6 februari 2019 heeft het Kenniscentrum inderdaad een aanbeveling betreffende het opleggen van de verplichte aanmaak van een gebruikersaccount bij Microsoft voor het raadplegen van toepassingen van overheidsdiensten verstrekt, in overeenstemming met de voornoemde rechtsbepalingen. Die aanbeveling verduidelijkt hetgeen de wetgeving vereist in hoofde van onder meer de verweerder als overheidsdienst, zonder op zichzelf bindend te zijn voor de verweerder. 117. De Geschillenkamer onderstreept dat zij in voorliggende beslissing sanctionerend optreedt ten aanzien van de verweerder op basis van de wetgeving, maar ook dat die wetgeving werd verduidelijkt in een aanbeveling van het Kenniscentrum, waardoor bezwaarlijk kan gesteld worden dat de concrete interpretatie van de wetgeving onduidelijk zou geweest zijn. De verweerder lijkt dit overigens zelf te bevestigen, gezien zij maatregelen noodzakelijk acht na het kennis nemen van de Aanbeveling 1/2019 en in haar repliekconclusie stelt: “Na kennisname van de Aanbeveling heeft de FOD Financiën maatregelen genomen om de inhoud van deze Aanbeveling na te leven. Zo werd er besloten om in een eerste fase een tussentijdse oplossing te implementeren die later zou worden gevolgd door een definitieve oplossing.”. 33 33 Repliekconclusie verweerder, rn. 15. Beslissing ten gronde 82/2020- 35/48 118. De Aanbeveling 1/2019 verstrekt verwerkingsverantwoordelijken een aanbeveling omtrent de interpretatie van de wettelijke norm. In haar derde middel van haar repliekconclusie stelt de verweerder terecht dat een aanbeveling geen wettelijke kracht heeft. Niettemin is een aanbeveling als vorm van soft law een geaccepteerd instrument om houvast te geven, waar de wettelijke norm ruimte laat. Daar komt bij dat de verweerder de juistheid van de uitleg van de wettelijke norm in de aanbeveling in casu niet in twijfel trekt. 2.4.3. De inbreuk op artikel 5, lid 1, punt a) j° artikel 25 AVG 119. De Geschillenkamer stelt vast dat de verzameling en het structureren van bepaalde documentatie door betrokkenen via een website van de overheidsdienst die (mede) toezicht houdt op de fiscale wet- en regelgeving, gevoelig kan zijn wanneer dit geassocieerd wordt met een burger (als betrokkene). Zo kan er gedacht worden aan het verzamelen van bepaalde informatie door de betrokkene in het kader van diens verweer in een procedure bij die overheidsdienst. In de onderhavige situatie zou de verweerder uit bepaalde opzoekingen door geïdentificeerde burgers informatie kunnen afleiden die zij tegen de betrokken burger zou kunnen gebruiken, in de vaststelling van de te betalen belasting. 120. Het is vanzelfsprekend dat de persoonsgegevens van de betrokkene die geassocieerd worden met zulke informatie, op een behoorlijke en transparante wijze dienen te worden verwerkt. 121. Daarnaast wijst de Geschillenkamer erop dat de verweerder wel degelijk informatie aanbiedt op een manier die geen gebruik van een (al dan niet ‘anoniem’) gebruikersaccount van Microsoft vereist, namelijk via de “basiszoekmotor van Fisconetplus via Myminfin.be”. De Geschillenkamer merkt echter op dat het niet is omdat er een (overigens met minder functionaliteiten omgeven) optie bestaat waarbij geen of minder persoonsgegevens worden verwerkt, de toegangsmogelijkheden waar wél persoonsgegevens worden verzameld en verder verwerkt minder bescherming onder de AVG zouden genieten. 122. Wel betekent de mogelijke toegang tot de informatie via de basiszoekmotor zónder het inloggen via een gebruikersaccount, dat er geen sprake kan zijn van een inbreuk op artikel 6, lid 1 AVG, gezien de toegang tot de informatie an sich niet uitgesloten is zonder het aanwenden van een gebruikersaccount van Microsoft. Het vrije karakter van de toestemming bij het gebruik van het Microsoft gebruikersaccount is te dezen daarom niet problematisch. Beslissing ten gronde 82/2020- 36/48 123. In haar onderzoek naar aanleiding van het opstellen van Aanbeveling 1/2019 heeft het Kenniscentrum gewezen op enkele aspecten die eigen zijn aan het gebruik van Microsoft gebruikersaccount, waarbij bijvoorbeeld gegevens over surf- en zoekactiviteit en andere online activiteiten die gerelateerd zijn aan het Microsoft account van de betrokken gebruiker verder worden gebruikt door Microsoft.34 124. Wanneer de meest gebruiksvriendelijke optie van de toegang tot Fisconetplus gebeurt middels het gebruik van een (al dan niet ‘anoniem’) gebruikersaccount van Microsoft, kan niet gesteld worden dat de persoonsgegevens van betrokkenen op transparante en behoorlijke wijze worden verwerkt, noch dat bij het bepalen van de verwerkingsmiddelen voldoende technische en organisatorische maatregelen werden genomen om die beginselen te waarborgen, in de zin van artikel 5, lid 1, punt a) j° artikel 25, lid 1 AVG. Dit is het geval nu een toegangsmogelijkheid waarbij een Microsoft gebruikersaccount wordt vereist, impliceert dat persoonsgegevens van betrokkenen niet op een behoorlijke wijze kunnen worden verwerkt. Daarnaast legt de verweerder op onvoldoende transparante wijze aan (potentiële) betrokkenen uit op welke manier de persoonsgegevens van de betrokkenen, en de geassocieerde informatie die verwerkt wordt via Fisconetplus op een Sharepoint Online platform, verder door Microsoft gebruikt worden, niet gebruikt worden, dan wel gebruikt zouden kunnen worden voor het verder verfijnen of commercialiseren van Microsofts eigen diensten en (digitale) producten. De inbreuk op artikel 5, lid 1, punt c) j° artikel 25 AVG 125. De Geschillenkamer wees er reeds op dat de omstandigheden waarbinnen de verweerder de informatie op haar website aanbiedt, een zekere gevoeligheid impliceren, en daarom de nodige (voor-)zorg bij de behandeling van geassocieerde persoonsgegevens vereisen. De Geschillenkamer stelt vervolgens vast dat de mogelijkheid dat een anoniem gebruikersaccount van Microsoft kan aangewend worden om gebruik te maken van Fisconetplus, waar dat account met willekeurig toegewezen inloggegevens op zijn minst in theorie minder persoonsgegevens verzamelt en verder verwerkt, per definitie bewijst dat de toegangsoptie waarbij persoonsgegevens worden verwerkt van een nieuw of reeds bestaand Microsoft account, meer persoonsgegevens verwerkt dan strikt noodzakelijk in de zin van artikel 5, lid 1, punt c) AVG. 126. Om de voorgaande reden begaat de verweerder een inbreuk op het beginsel van minimale gegevensverwerking vervat in artikel 5, lid 1, punt c) j° artikel 25, lid 1 AVG, door aan de betrokkenen een toegangsmogelijkheid – overigens de facto de meest gebruiksvriendelijke toegangsmogelijkheid – aan te bieden, waarbij de verwerking van persoonsgegevens niet noodzakelijk is voor de doeleinden (d.i. toegang tot Fisconetplus) waarvoor zij worden verwerkt, 34 Aanbeveling 1/2019, rn. 8. Beslissing ten gronde 82/2020- 37/48 en met de tussenkomst van en verwerking van die persoonsgegevens door een derde dienstenaanbieder, met name Microsoft. 2.5. Het verrichten van een Gegevensbeschermingseffectbeoordeling (DPIA, artikel 35 AVG) 127. De Inspectiedienst wijst in haar verslag op de noodzaak om een DPIA te verrichten. Volgens de argumentatie van de verweerder kan “geconcludeerd worden dat er geen noodzaak was tot het uitvoeren van een [DPIA] door de [verweerder] als verwerkingsverantwoordelijke met betrekking tot de website van Fisconetplus”. 35 128. Artikel 35 AVG luidt als volgt: 1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden. 2. Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling diens advies in. 3. Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen: a) een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen; b) grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of c) stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. 35 Repliekconclusie verweerder, rn. 191. Beslissing ten gronde 82/2020- 38/48 4. De toezichthoudende autoriteit stelt een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling overeenkomstig lid 1 verplicht is, en maakt deze openbaar. De toezichthoudende autoriteit deelt die lijsten mee aan het in artikel 68 bedoelde Comité. 5. De toezichthoudende autoriteit kan ook een lijst opstellen en openbaar maken van het soort verwerking waarvoor geen gegevensbeschermingseffectbeoordeling is vereist. De toezichthoudende autoriteit deelt deze lijst mee aan het Comité. 6. Wanneer de in de leden 4 en 5 bedoelde lijsten betrekking hebben op verwerkingen met betrekking tot het aanbieden van goederen of diensten aan betrokkenen of op het observeren van hun gedrag in verschillende lidstaten, of op verwerkingen die het vrije verkeer van persoonsgegevens in de Unie wezenlijk kunnen beïnvloeden, past de bevoegde toezichthoudende autoriteit voorafgaand aan de vaststelling van die lijsten het in artikel 63 bedoelde coherentiemechanisme toe. 7. De beoordeling bevat ten minste: a) een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkings-verantwoordelijke worden behartigd; b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden; c) een beoordeling van de in lid 1 bedoelde risico's voor de rechten en vrijheden van betrokkenen; en d) de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie. 8. Bij het beoordelen van het effect van de door een verwerkingsverantwoordelijke of verwerker verrichte verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de in artikel 40 bedoelde goedgekeurde gedragscodes naar behoren in aanmerking genomen. 9. De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening over de voorgenomen verwerking, met inachtneming Beslissing ten gronde 82/2020- 39/48 van de bescherming van commerciële of algemene belangen of de beveiliging van verwerkingen. 10.Wanneer verwerking uit hoofde van artikel 6, lid 1, onder c) of e), haar rechtsgrond heeft in het Unierecht of in het recht van de lidstaat dat op de verwerkingsverantwoordelijke van toepassing is, de specifieke verwerking of geheel van verwerkingen in kwestie daarbij wordt geregeld, en er reeds als onderdeel van een algemene effectbeoordeling in het kader van de vaststelling van deze rechtsgrond een gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de leden 1 tot en met 7 niet van toepassing, tenzij de lidstaten het noodzakelijk achten om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren. 11.Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhouden. 129. De Geschillenkamer is van oordeel dat er bij het verwerken van persoonsgegevens door de verweerder voor een toegangsmogelijkheid tot Fisconetplus met de vereiste van het aanwenden van een Microsoft gebruikersaccount wel degelijk sprake is van een “hoog risico” voor “de rechten en vrijheden van natuurlijke personen” zoals bedoeld in artikel 35, lid 1 AVG. Er zijn een aantal elementen opgeworpen door de Inspectiedienst die leiden tot dit besluit van de Geschillenkamer (verslag van de Inspectiedienst): “a) De Fisconetplus-dienst is ondergebracht in de federale G-cloud, die zelf ontwikkeld is op het Microsoft platform dat eigendom is van Microsoft (pagina 28 van stuk 13 en stuk 14). De eigenaar van gcloudbelgium.sharepoint.com blijkt volgens het technisch verslag Microsoft Corporation (afbeeldingen 18 en 19 van stuk 13). Het technisch onderzoek van de GBA wijst ook op het probleem dat de Fisconetplus-dienst wordt aangeboden op de infrastructuur van Microsoft (opmerking bij afbeelding 18 van stuk 13). Dergelijke “hybride cloud” technologie aangeboden door derde partijen buiten de EU heeft bijzondere risico’s gekoppeld aan elementen 36 die overheden zorgvuldig dienen te bestuderen, met behulp van het afsluiten van bijkomende contractuele waarborgen en het toepassen van aangepaste standaarden die werden ontwikkeld voor cloud technologie zoals ISO/IEC 17788:2014 en ISO/IEC 17789:2014. 36 “de locatie van de back-ups, de opsplitsing van onderdelen van de verwerking die niet binnen EU blijven (opsplitsing tussen bewaren in EU en verwerken buiten de EU) of delen van het platform die onderliggend wel buiten België staan, de toegang van Microsoft tot de data, het eigenaarschap van de encryptiesleutels, het gebrek aan autonomie van de FOD Financiën bij het gebruiken van een standaardoplossing van Microsoft, de toegang door overheidsorganen in de VS indien Microsoft gevat zou worden door een subpoena, de ongekende locatie en bewaringstermijn van deze oplossingen” Beslissing ten gronde 82/2020- 40/48 Voor zover de inspectiedienst kon nagaan heeft de FOD Financiën op dat vlak geen bijkomende waarborgen toegepast (zie het gebrek aan een concreet antwoord dienaangaande vermeld onder de verantwoordingsplicht hiervoor). […] c) Er is door de doorgifte van informatie aan (opslag bij) Microsoft sprake van bewerkingen die op zich een verlies aan controle voor de betrokkene op zijn persoonsgegevens tot gevolg hebben en een verminderde mogelijkheid om de rechten onder de AVG uit te oefenen ingevolge een gebrek aan transparantie en onjuiste informatie (aangaande de mogelijkheid om een “anonieme account” af te sluiten”) die de FOD Financiën hierover verschaft over de werkelijke verrichtingen door Microsoft met de persoonsgegevens van de Fisconetplus gebruikers met een persoonlijke account. Het voorgaande wordt ook geïllustreerd door de zeer breed verwoorde voorwaarden van de gratis Microsoft account 37 waaronder de gebruiker Microsoft een “wereldwijde en royaltyvrije intellectuele eigendomslicentie voor het gebruik van zijn inhoud” geeft (derhalve dus ook zijn persoonsgegevens). Er is geen indicatie dat de FOD Financiën het derdenpartijenrisico op Microsoft heeft onderzocht, of beperkt met contractuele waarborgen. d) De FOD Financiën doet continu beroep op een derde partij om de (authenticatie)dienst te leveren wat in combinatie met andere criteria een verhoogde impact heeft op het risico op inbreuken in verband met persoonsgegevens voor de betrokkene 38 (zie pagina 28 van stuk 13). e) In het technisch onderzoeksrapport […] is aangetoond dat gebruikers van de Fisconetplusdienst (via het Sharepoint platform) worden geprofileerd door een private onderneming 37 “https://www.microsoft.com/nl-be/servicesagreement/ bevat de bepaling “Voor zover noodzakelijk om de Diensten aan u en anderen te leveren (mogelijk met inbegrip van het wijzigen van de afmetingen, vorm of indeling van Uw Inhoud om deze beter te kunnen opslaan of weer te geven aan u), om u en de Diensten te beschermen en om de producten en diensten van Microsoft te verbeteren, verleent u Microsoft een wereldwijde en royaltyvrije intellectuele eigendomslicentie voor het gebruik van Uw Inhoud, bijvoorbeeld, om kopieën te maken van Uw Inhoud of om Uw Inhoud te bewaren, verzenden, anders in te delen, te distribueren via communicatiemiddelen en weer te geven op de Diensten. Indien u Uw Inhoud publiceert in onderdelen van de Dienst waar deze online onbeperkt toegankelijk wordt weergegeven, kan Uw Inhoud worden opgenomen in demonstaties of materialen ter promotie van de Dienst. Sommige Diensten worden ondersteund door advertenties. Instellingen voor de wijze waarop Microsoft advertenties persoonlijk afstemt zijn beschikbaar op de pagina Beveiliging en privacy van de Microsoftwebsite voor accountbeheer. We maken geen gebruik van wat u zegt in e-mail, chat, videogesprekken of voicemail, of in uw documenten, foto's of andere persoonlijke bestanden om gericht te kunnen adverteren. Ons advertentiebeleid wordt in detail beschreven in de Privacyverklaring“ 38 “Zie pagina 7 van de opinie van de EDPB 05/2018 gepubliceerd op https://edpb.europa.eu/sites/edpb/files/files/file1/2018- 09-25-opinion_2018_art._64_de_sas_dpia_list_en.pdf. » Beslissing ten gronde 82/2020- 41/48 die de authenticatiedienst aanbiedt. De informatie die de betrokkene heeft gegeven aan Microsoft voor de creatie van een outlook mailaccount wordt gebruikt om een Fisconetplus account aan te maken. Indien de gebruiker via de tweede website een profiel aanmaakt, wijst het technisch onderzoeksverslag uit dat sprake is van een gepersonaliseerd profiel gekoppeld aan een persoonlijk mailadres van de betrokkene (tekst bij afbeelding 12 van stuk 13). De account die hierbij wordt aangemaakt is wel degelijk een Microsoft account. Er worden ook authenticatieprotocollen van Microsoft gebruikt (tekst bij afbeeldingen 16 en 17 van stuk 13). De FOD Financiën heeft geen enkele controle over de wijze waarop verder wordt omgegaan door Microsoft met deze profielinformatie. f) In het voorgaande geval (aanloggen via het Sharepoint Online platform) is blijkens het technisch onderzoeksrapport […] ook sprake van het matchen en samenvoegen van datasets door Microsoft. Als de betrokkene aanlogt via het Sharepoint platform met zijn Microsoft mailadres, koppelt Microsoft dit aan gegevens die de betrokkene niet heeft verstrekt aan de FOD Financiën maar aan de eigen gegevens waarover Microsoft beschikt (de naam, locatie en geboortedatum van de betrokkene). g) Er is een cumulatie van het gebrek aan transparantie bij de elkaar opeenvolgende gegevens-stromen (zie de vaststellingen van de gebrekkige transparantie bij de FOD Financiën en Microsoft).” 130. Om de voorgaande reden had de verweerder dus wel degelijk een DPIA moeten uitvoeren voor de verwerking van persoonsgegevens gekoppeld aan de opties voor toegang tot de Fisconetplusdienst met authenticatie gelet op de kenmerken van de verwerking, ook gezien het ontbreken van aangetoonde specifieke waarborgen voorzien door de verweerder ter bescherming van de persoonsgegevens van betrokkenen. 131. Meer bepaald is er door het gebruik van de authenticatiemethode via een derde onderneming (de gebruikersaccounts van Microsoft), die als verwerkingsverantwoordelijke zonder concrete instructies van de verweerder de persoonsgegevensverwerkingen middels de gebruikersaccounts via Fisconetplus technisch kan verbinden met persoonsgegevensverwerkingen die niets te maken hebben met de website van de verweerder, dan wel de activiteiten van de verweerder, sprake van de in het artikel 35, lid 1, punt a) AVG bedoelde “systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking” waarop besluiten worden gebaseerd die de natuurlijke persoon “wezenlijk treffen”. 132. De Geschillenkamer stelt dan ook een overtreding van artikel 34 AVG vast. Beslissing ten gronde 82/2020- 42/48 2.6. Het plaatsen van cookies via Fisconetplus en gegevensbescherming door ontwerp en standaardinstellingen (artikelen 4, 6, 7 en 25 AVG; artikel 5 eprivacyrichtlijn) 133. De Inspectiedienst kwam tot de vaststelling dat de verweerder ‘further browsing’ (‘verder surfen’) op beide websites beschouwt als toestemming voor het gebruik van cookies, ook als die cookies niet noodzakelijk zijn voor de goede werking van de website. 134. Aan de ene kant wijst de Inspectiedienst op het feit dat ‘verder gebruik’ niet hetzelfde is als toestemming geven onder de AVG. Aan de andere kant stelt de Inspectiedienst vast dat het cookiebeleid van de verweerder tekort schiet: “In het beleid is er geen onderscheid tussen de verschillende soorten cookies of ‘traceurs’. [Het is] onmogelijk voor de [betrokkene] om informatie omtrent de verschillende cookies te verkrijgen, maar ook omtrent cookies waarvoor [de betrokkene] het recht heeft om zijn toestemming te geven (niet-essentiële cookies).”.39 Bovendien blijkt uit een vergelijking tussen de in het cookiebeleid opgesomde cookies en de bij het openen van de website geladen cookies, dat de opsomming in het cookiebeleid niet volledig (exhaustief) is en niet volledig correct is. 135. De Inspectiedienst stelt vast dat de verweerder gebruikt maakt van verschillende zogenaamde ‘session’-cookies (figuur 4 technisch verslag). Dergelijke ‘session’-cookies zijn ‘non-persistent’ cookies wat betekent dat zij enkel aanwezig zijn tijdens de sessie, d.w.z. zolang de webbrowser geopend is. Zij blijven niet voortbestaan over verschillende sessies heen. Het feit dat een cookie slechts tijdelijk wordt opgeslagen staat evenwel niet gelijk aan het feit dat deze cookie louter technisch en noodzakelijk zou zijn. 136. De Geschillenkamer beschouwt de problematiek in verband met cookies naargelang de verschillende toegangsmogelijkheden tot FisconetPlus. Aan de ene kant zijn er cookies die door de verweerder zelf geplaatst zijn, aan de andere kant is er een toegangsmogelijkheid via Microsoft, waar er cookies door Microsoft geplaatst werden. 137. Wat de eerste toegangsmogelijkheid betreft, stelt de Inspectiedienst vast dat er dertien cookies actief zijn. De Geschillenkamer is van mening dat deze praktijk van de verweerder niet sanctioneerbaar is, daar er feitelijke grondslag ontbreekt in de vaststellingen van de Inspectiedienst omtrent de al dan niet-essentiële aard van die cookies. Daarom wenst de 39 Vrije vertaling van het Franstalige technisch verslag: “Dans la politique, il n’y a aucune différentiation entre les différents types de cookies ou traceurs. Impossible pour l’utilisateur d’avoir l’information sur les différents cookies, mais aussi sur les cookies pour lesquels il a droit d’exprimer son consentement. (Cookies non strictement nécessaire)”. Beslissing ten gronde 82/2020- 43/48 Geschillenkamer er prima facie en op basis van de verweermiddelen in de conclusies van de verweerder van uit te gaan dat deze dertien cookies effectief technisch noodzakelijke cookies betreffen, en dat ze om die reden essentieel zijn. In toepassing van artikel 5, lid 3 e-privacyrichtlijn geldt het toestemmingsvereiste niet voor dit type cookies. 138. De Geschillenkamer benadrukt echter wel het belang van een wettelijk correct cookiebeleid. Teneinde correcte informatie te verschaffen aan de eindgebruiker, en zo bovendien transparantie te bekomen, mag er geen discrepantie bestaan tussen de in het cookiebeleid opgesomde cookies en de in realiteit geplaatste cookies, hetgeen in casu het geval bleek gezien het ontbreken van de vermelding van één cookie, hetgeen ook wordt erkend door de verweerder in haar repliekconclusie. 139. Wat de tweede toegangsmogelijkheid betreft (via Microsoft) verwijst de Geschillenkamer naar onderdeel 3.3. van de voorliggende beslissing. Daar werd uiteengezet dat de verweerder wel degelijk als (mede)verwerkingsverantwoordelijke moet beschouwd worden samen met Microsoft, voor de verwerkingen uitgevoerd door die laatste op de website van de verweerder, waar de verweerder gebruik maakt van het authenticatieproces van Microsoft. Dit is niet anders voor het plaatsen van cookies en de daarbij horende verwerking van persoonsgegevens. 140. De samenhang tussen de toegang tot de dienst van de verweerder en de inlogfaciliteiten van Microsoft is immers zo sterk dat de verweerder mede verantwoordelijk is voor de cookies die bij de gebruiker geplaatst worden door Microsoft. De verweerder maakte bovendien een bewuste keuze om samen te werken met Microsoft. 141. Uit de vaststellingen van de Inspectiedienst40 blijkt dat Microsoft 54 cookies plaatst bij de eindgebruiker, waaronder ook niet louter ‘essentiële’ cookies. Het onderliggende onderzoek van de Inspectiedienst is technisch en uitgebreid (het technisch rapport alleen al omvat 42 bladzijden) van aard, en de Geschillenkamer verwijst in onderhavige beslissing dan ook louter in grote lijnen naar hetgeen aldaar wordt vastgesteld. 142. De Geschillenkamer verwijst in het bijzonder naar het technisch verslag waar de Inspectiedienst stelt dat de cookies die bij de authenticatie met het Microsoft gebruikersaccount worden geplaatst (zowel het ‘anoniem’ als het ‘normaal’ gebruikersaccount), niet alle essentiële cookies betreffen, en verwijst naar het type “ANON” en “NAP”, waarvan het onderzoek van de Inspectiedienst uitwijst dat de cookies aangewend worden voor marketing, personalisatie en operationele doeleinden van 40 Technisch Rapport pg. 33-38. Beslissing ten gronde 82/2020- 44/48 Microsoft.41 Bovendien kunnen de cookies ook een heel aantal persoonsgegevens zoals leeftijd, taal, postcode e.d. linken aan het Microsoft profiel. 143. De Geschillenkamer stelt vast dat het hier wel degelijk gaat om cookies die 1) niet essentieel zijn en 2) persoonsgegevens verzamelen (aldus verwerken in de zin dan de AVG). Het gebruik van dergelijke cookies is onderworpen aan een informatieplicht (artikel 10 e-privacyrichtlijn en artikel 13 AVG) en een toestemming gegeven door de eindgebruiker (artikel 5, lid 3 e-privacyrichtlijn en artikelen 6 en 7 j° 4, punt 11 AVG). 144. De Geschillenkamer brengt in herinnering dat verder gebruik (of zgn. ‘further browsing’) niet gelijk kan gesteld worden met geven van een geldige toestemming onder de AVG en de eprivacyrichtlijn. Dit laatste vereist immers o.b.v. artikelen 4, punt 11; 6, lid 1, punt a) en 7 AVG, alsmede op basis van artikel 5, lid 3 e-privacyrichtlijn, een vrije, specifieke, duidelijke, ondubbelzinnige en actieve toestemming. 145. Zo’n toestemming voldoet niet aan de wettelijke voorwaarden wanneer de betrokkene na het zien van een melding over het gebruik van cookies op een website diens gebruik van die website verder zet. 42 In de door de Inspectiedienst vastgestelde situatie waarbij de verweerder berust op ‘further browsing’ in plaats van een volwaardige cookie-banner met een rechtmatige toestemming, stelt de Geschillenkamer – gezien het ontbreken van de mogelijkheid tot een rechtsgeldige toestemming op het moment van het bepalen van de verwerkingsmiddelen – een inbreuk vast op artikelen 6, 7 juncto 4, punt 11 en 25, lid 1 AVG. 2.7. De andere vaststellingen van de Inspectiedienst (artikelen 31, 38 en 39 AVG) 146. De Inspectiedienst stelt onder meer dat de verweerder artikel 38 en artikel 39 schendt, omwille van het “niet tijdig betrekken” van de FG “bij de aanpassing van de Fisconetplus-dienst” alsook wegens het ontbreken van een “duidelijk onderscheiden standpunt” tussen dat van de FG en “het voorzitterschap van de [verweerder].” 41 Zie technisch verslag 37-38: “Par contre, ceux déposés indirectement par la partie tierce, ne le sont pas tous. En effet, nous y trouvons entre autres les cookies « ANON » ; « NAP » ; pour lesquels nous avons la confirmations que ce sont des cookies marketing, et de tracking: ANON : Contains the ANID, a unique identifier derived from your Microsoft account, which is used for advertising, personalization, and operational purposes. It is also used to preserve your choice to opt out of interest-based advertising from Microsoft if you have chosen to associate the opt-out with your Microsoft account; NAP : Contains an encrypted version of your country, postal code, age, gender, language and occupation, if known, based on your Microsoft account profile”. 42 Zie Beslissing van de Geschillenkamer 12/2019 van 17 december 2019; Arrest HvJEU van 1 oktober 2019, Planet49 GmbH, C-673/17, ECLI:EU:C:2019:801. Beslissing ten gronde 82/2020- 45/48 147. Naar het oordeel van de Geschillenkamer hangen de onduidelijkheden die zijn ontstaan bij de antwoorden van de verweerder, respectievelijk de FG, nauw samen met de inbreuken die de verweerder begaat in het licht van artikel 5, lid 1, punten a) en c) AVG. In die zin leiden de vaststellingen van de Inspectiedienst inzake artikel 38 en artikel 39 AVG naar het oordeel van de Geschillenkamer niet tot bijkomende inbreuken op de wetgeving in hoofde van de verweerder. 148. Voor wat betreft de naleving van de medewerkingsplicht vervat in artikel 31 AVG, oordeelt de Geschillenkamer eveneens dat er zich geen inbreuk voordoet, nu de verweerder terecht aanhaalt dat ook het recht van verdediging en het verbod op zelf-incriminatie moeten worden meegenomen in de afweging met de medewerkingsplicht.43 Wanneer een verwerkingsverantwoordelijke informatie verschaft omtrent haar interpretatie van een feitelijke of juridische situatie, waar de Inspectiedienst of een ander orgaan van de GBA niet mee akkoord is, kan dit niet als een bijkomende inbreuk ingevolge artikel 31 AVG worden gezien. 43 Repliekconclusie verweerder, rn. 155. Beslissing ten gronde 82/2020- 46/48 3. Inbreuken op de AVG en de verzoeken van de klager 149. De Geschillenkamer acht inbreuken op de volgende bepalingen door de verweerder bewezen: a. artikel 5, lid 1, punt a), j° artikel 25, lid 1 AVG, gezien de verweerder twee toegangsmogelijkheden, met meer functionaliteiten dan de toegangsmogelijkheid waar geen persoonsgegevens worden verwerkt, aanbood op haar website Fisconetplus middels de authenticatie via een derde dienstenaanbieder, Microsoft, waarbij persoonsgegevens werden verwerkt, waar dit om redenen uiteengezet in de voorgaande motivering, niet kan gezien worden als een behoorlijke en transparante verwerking van persoonsgegevens op het moment van de bepaling van de verwerkingsmiddelen; b. artikel 5, lid 1, punt c), j° artikel 25, lid 1 AVG, gezien de verweerder een toegangsmogelijkheid aanbood op haar website Fisconetplus waarbij de betrokkene gebruik kon maken van een bestaand of nieuw gebruikersaccount van Microsoft (een niet ‘anoniem’ gebruikersaccount), waarbij persoonsgegevensverwerkingen noodzakelijk voor de authenticatie werden gebruikt door Microsoft, hetgeen niet beantwoordt aan het principe van minimale gegevensverwerking, op het moment van het bepalen van de verwerkingsmiddelen; c. artikel 35 AVG, gezien de verweerder een DPIA had moeten verrichten voor het gebruik van de gebruikersaccounts van Microsoft via haar website Fisconetplus, nu het gebruik van die derde dienstenaanbieder een waarschijnlijk hoog risico inhield voor de rechten en vrijheden van natuurlijke personen; d. artikelen 6, lid 1 en 7, j° 4, punt 11) en 25, lid 1 AVG, gezien er door het gebruik van Microsoft gebruikersaccounts door de verweerder op haar website Fisconetplus, nietessentiële cookies werden geplaatst waar geen rechtsgeldige toestemming voor werd verkregen, gezien de banner op de voornoemde website ook toestemming middels ‘further browsing’ toeliet, op het moment van het bepalen van de verwerkingsmiddelen. 150. Gezien de verweerder in haar verweermiddelen ten opzichte van de Geschillenkamer heeft aangegeven dat, ingevolge de voorlopige maatregel van de Inspectiedienst op grond van artikel 70 WOG en waartegen de verweerder niet bij de Geschillenkamer in beroep ging, de website op heden niet langer een authenticatiemogelijkheid middels de Microsoft gebruikersaccounts aanbiedt, acht de Geschillenkamer het niet noodzakelijk de verweerder tot het in overeenstemming brengen van de verwerkingen te bevelen, maar zal de Geschillenkamer de verweerder enkel berispen. Ingevolge artikel 220, §1, tweede lid van de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (B.S. 5 september 2018) is de Geschillenkamer niet bevoegd een geldboete in de zin van artikel 83 AVG op te leggen aan overheidsorganen. Beslissing ten gronde 82/2020- 47/48 151. Gelet op het belang van transparantie met betrekking tot de besluitvorming van de Geschillenkamer, wordt deze beslissing gepubliceerd op grond van artikel 100, §1, 16° WOG op de website van de Gegevensbeschermingsautoriteit, waarbij de directe identificatiegegevens van de genoemde partijen en natuurlijke personen mede zullen worden bekend gemaakt, gezien de persoon van de klager, de specifieke bevoegdheden van verweerder en het belang van transparantie hieromtrent ten overstaan van de buitenwereld. De Geschillenkamer wijst er voor de volledigheid op dat de klager en de verweerder zich – na een vraag hieromtrent op de hoorzitting – hiermee akkoord hebben verklaard, of althans geen argumenten hebben aangedragen waarom de publicatie van de beslissing zonder weglating van hun directe identificatiegegevens bijzonder nadelig zou zijn in hun respectieve hoofde. Beslissing ten gronde 82/2020- 48/48 OM DEZE REDENEN, beslist de Geschillenkamer van de Gegevensbeschermingsautoriteit, na beraadslaging, om de verweerder: - overeenkomstig artikel 100, §1, 5° WOG en artikel 58, lid 2, punt b) AVG te berispen omwille van de inbreuken op artikelen 5, lid 1, punt a) en c); 6, lid 1; 7; 25, lid 1 en 35 AVG. Tegen deze beslissing kan op grond van art. 108, §1 WOG, beroep worden aangetekend binnen een termijn van dertig dagen, vanaf de kennisgeving, bij het Marktenhof, met de Gegevensbeschermingsautoriteit als verweerder. (get.) Hielke Hijmans Voorzitter van de Geschillenkamer