De Gegevensbeschermingsautoriteit, kortweg GBA, uit forse kritiek op een verplichting van de Federale Overheidsdienst (FOD) Financiën. Die besliste namelijk, in 2018, dat burgers verplicht zijn een Microsoft-account te gebruiken als ze toegang willen tot informatie die nochtans geacht wordt openbaar te zijn. GBA stelt dat deze aanpak in strijd is met de Algemene Verordening Gegevensbescherming, beter bekend als GDPR. Wij, Piraten, roepen de verschillende FOD’s op om zo snel mogelijk te voldoen aan hun verplichting de privacy van de burgers te respecteren. Zo zullen ze trouwens ook financiële sancties door de GBA vermijden.
Achtergrondinformatie
Zoals je weet, ligt privacy nauw aan het hart van heel wat Piraten. Al in april 2018 heeft één van ons een klacht gestuurd naar de GBA omdat FisconetPlus, een database van de FOD Financiën, enkel toegankelijk was na het aanmaken van een Microsoftaccount. In juni hebben twee andere Piraten een afspraak gemaakt met de FOD. Ze zijn toen persoonlijk naar de kantoren geweest om inzage te krijgen in het contract tussen de FOD en het bedrijf dat Microsoftgerelateerde diensten aanbood. Zo wilden ze nagaan hoe in dit contract gespecifieerd kon zijn dat een oplossing om publiek beschikbare documenten te raadplegen, toch het aanmaken van een account kon vereisen. Ze merkten dat de specificaties het aanmaken van een account niet als dé oplossing, maar als één van de mogelijke opties zag. Nu weten we al langer dat de FOD reeds vóór dit contract gebruik maakte van de Microsoftcloud; die werkwijze maakte het de FOD onmogelijk de documenten zonder meer publiek toegankelijk te maken. Om die reden vragen we ons af of het contract wel echt was opgesteld met als doel de burger ten dienste te staan volgens de regels van de wet. We zouden kunnen speculeren dat het eerder zo was dat ze van meet af aan werken met een Microsoftaccount in het achterhoofd hadden…
De GBA kreeg in 2018 niet enkel vanuit de Piratenpartij klachten over FisconetPlus. Ook elders waren er burgers die er, volkomen terecht, zeer verbaasd over waren dat ze nu plots verplicht waren een Microsoftaccount aan te maken als ze toegang wilden tot deze database met nochtans openbare informatie. Met name roept de keuze voor Microsoft veel vragen op wat privacy betreft.
De GBA heeft op dit probleem gereageerd met een aanbeveling. Die beperkt zich niet tot Fisconet; ze richt zich daarmee tot alle FOD’s die een soortgelijk systeem (zouden) overwegen. Je kan de volledige aanbeveling online lezen. We geven alvast een korte samenvatting.
Onze samenvatting
We kunnen de aanbeveling door de GBA als volgt samenvatten.
- De FOD koppelt de toegang tot zijn platform aan de verplichting een Microsoftaccount aan te maken. Dit houdt in dat burgers persoonlijke gegevens moeten meedelen, die dus beschermd zijn door de GDPR. Nochtans moet, uiteraard, ook de FOD rekening houden met de GDPR.
- Eén van de beginselen, beschreven in de GDPR, is dat verzamelen van gegevens alleen mag als dat nódig is. Het platform, echter, geeft alleen toegang tot openbare informatie (zoals een database met wetgeving). Om dat mogelijk te maken, is het alleszins niet noodzakelijk dat je een account moet aanmaken en daarbij je telefoonnummer, e-mailadres of geboortedatum aanlevert.
- Het privacybeleid van Microsoft is niet in overeenstemming met de principes van de GDPR. De standaardinstellingen van Microsoft impliceren namelijk dat gebruik kan worden gemaakt van gegevens ‘betreffende het surfen en zoekgewoonten en andere online activiteiten met betrekking tot de Microsoftaccount van de betrokken gebruiker’.
- GBA vestigt er de aandacht op dat deze identificatieplicht geen wettelijke basis heeft. Maar bovendien ziet die daartoe, voor verschillende toepassingen, ook ‘geen noodzaak in een democratische samenleving’.
- Aan gebruikers vragen naar toestemming voor het volgen van een niet privacyvriendelijke weg, levert geen geldige rechtvaardiging op (“Ze hebben toch hun toestemming gegeven?”) als gebruikers, die willen kiezen voor een privacyvriendelijke weg, daarvoor ‘gestraft’ worden omdat die piste minder gebruiksvriendelijk is.
- Het beïnvloeden van de keuze van gebruikers, zodat die ertoe neigen te kiezen voor een privacyonvriendelijke optie (vaak de standaardinstelling), kan de toestemming van de gebruiker ongeldig maken.
- Ook kan de overheid niet verwijzen naar de toestemming die de gebruiker gaf, als die verplicht wordt de algemene gebruiksvoorwaarden van een onderaannemer (bijvoorbeeld Microsoft, Facebook,…) te aanvaarden om toegang te krijgen tot een openbare dienst.
- Diensten zoals die van Microsoft gebruiken, is niet noodzakelijk voor dat doel (toegang geven tot openbare informatie). Er bestaan ook andere oplossingen, bijvoorbeeld niet identificeerbare accounts.
- De openbare diensten moeten altijd de vrije toegang tot de officiële bronnen van de wetgeving garanderen. Ze mogen geen voorwaarden stellen die een inmenging in het privéleven impliceren en/of risico’s met zich meebrengen voor de rechten en vrijheden van de personen die deze bronnen willen raadplegen.
- De overheid moet zich goed bewust zijn van de implicaties die werken met particuliere bedrijven met zich kan meebrengen. Zo vraagt de GBA bijvoorbeeld dat de overheidsdiensten heel goed nadenken omtrent de keuzes die ze maken omtrent ‘social media buttons op websites, besturingssystemen en zoekmachines, gegevensopslag door Microsoft’.
Ons standpunt
Wij zijn blij met deze aanbeveling van de GBA. Die ondersteunt twee elementen van het discours dat we al vele jaren voeren:
- Respect voor de privacy van burgers is essentieel in een democratie. De overheid mag die in geen geval verwaarlozen. Ook niet onder het voorwendsel dat dit gebeurt omdat er beroep is gedaan op een onderaannemer.
- De burgers moeten op vlotte en gebruiksvriendelijke wijze toegang hebben tot openbare informatie. Dat is een grondwettelijk recht en een fundament van elke democratie. De overheid kan zo’n toegang dus niet laten afhangen van een contract met een onderneming, en al zeker niet als daarbij een bedrijf is betrokken dat ervoor bekend staat grondrechten, zoals eerbied voor het privéleven, te negeren.
De FOD Financiën heeft gekozen voor Microsoft om aan openbare dienstverlening te doen, in dit geval om een nochtans heel fundamenteel recht mogelijk te maken: inzage in wetgeving. Daarmee heeft ze gekozen voor een piste die het haar makkelijk maakte en die ze goedkoop vond. Dat ze daarmee tegelijk tornt aan de privacy van de burgers, bleek haar niet te deren. Wij, Piraten, zien het anders. Wij vinden dat een openbare dienst, die tenslotte met geld van de burgers wordt gefinancierd, respect moet tonen voor de privacy van de burgers, én dat die gebaseerd moet zijn op vrije software: dat vergroot de mogelijkheden van de burgers controle uit te oefenen, en bovendien zou de achterliggende code dan voor iedereen vrij beschikbaar zijn, wat in algemene belang is.
Daarom vragen wij de FOD zo snel mogelijk opnieuw te handelen in overeenkomst met de wetgeving, dus ook met de wetten die het privéleven van de burgers beschermen. We blijven deze kwestie op de voet volgen en zullen zeker opnieuw aankloppen bij de GBA zodat ze kan ingrijpen, desnoods met sancties, als deze ernstige schendingen aanhouden.
Extra info
Vorig jaar is binnen de Piratenpartij een coördinatiegroep rond Fisconet opgericht. Je kan je bij deze groep aansluiten en er actief aan deelnemen. Je kan er, samen met ons, onder meer het dossier omtrent de schending van de privacy blijven opvolgen. Surf daarvoor naar https://framavox.org/g/RA07dPKX/
Nuttig om weten is ook dat de Piratenpartij actief is op Mastodon, een open-source alternatief voor Twitter. Daar hebben we onder meer een account waarop we regelmatig informatie omtrent dit dossier ’tooten’ (zo heet dat op Mastodon 🙂 ). Je vindt deze account hier: https://mastodon.pirateparty.be/@fiscomoinsnet
Tevens hebben we een wikipagina waar we informatie over dit onderwerp verzamelen.
Al dan niet voorlopig zijn de meeste personen die actief zijn op de Fisconet-gerelateerde accounts en platformen, Franstalig. Maar het is zeker en vast geen probleem als je het Frans niet goed beheerst. Piraten die elkaars taal niet goed kennen, spreken namelijk, ook in België, heel vaak Engels met elkaar.