In een aantal recente beslissingen heeft de Gegevensbeschermingsautoriteit eraan herinnerd dat het Rijksregisternummer onderworpen is aan zeer strikte regels, zowel voor de raadpleging van de databank van het Rijksregister, als voor een “eenvoudig” gebruik van het Rijksregisternummer.
Het Rijksregisternummer geniet in België een bijzondere bescherming. De verwerking van het Rijkregisternummer is in principe verboden. De wet van 8 augustus 1983 tot regeling van een Rijksregister van natuurlijke personen bepaalt onder welke voorwaarden het Rijksregisternummer mag worden gebruikt.
Overeenkomstig artikel 8 van deze wet moet er een machtiging worden verkregen van het Sectoraal Comité van het Rijksregister (onderdeel van de Gegevensbeschermingsautoriteit) of van de dienst Rijksregister van de FOD Binnenlandse Zaken.
Die machtiging is evenwel niet vereist wanneer het Rijksregisternummer uitsluitend wordt gebruikt voor de identificatie en authenticatie van een natuurlijk persoon in de context van een informaticatoepassing die wordt aangeboden door bepaalde specifiek bij wet genoemde organen of instellingen, zoals de RSZ (bijvoorbeeld in het kader van de DIMONA-verplichtingen). Dit wil echter niet zeggen dat het Rijksregisternummer later voor andere doeleinden kan worden gebruikt.
Dergelijk gebruik zou immers in strijd zijn met de verplichtingen die voortvloeien uit bovengenoemde wet, alsook met de verplichtingen die voortvloeien uit de GDPR, en in het bijzonder met de principes van rechtmatigheid en minimale gegevensverwerking.
In het kader van deze twee principes moet de verwerkingsverantwoordelijke enerzijds beschikken over een wettelijke basis voor elke verwerking van persoonsgegevens die hij/zij uitvoert en anderzijds de hoeveelheid verzamelde persoonsgegevens beperken tot hetgeen nodig is voor het nagestreefde doel.
De Gegevensbeschermingsautoriteit heeft recent in twee zaken de betrokken verwerkingsverantwoordelijken een berisping gegeven wegens niet-naleving van deze principes (beslissing n° 48/2021 van 8 april 2021 en beslissing n° 54/2021 van 22 april 2021).
De eerste van deze twee beslissingen betrof een notaris die als voormalig werkgever van een werkneemster, het Rijksregister (waartoe hij in functie van zijn beroep toegang had en waarvoor hij over een speciale machtiging beschikte) had geconsulteerd om haar adres te controleren teneinde haar de ecocheques te kunnen afleveren die haar na het einde van haar arbeidsovereenkomst nog verschuldigd waren. De Gegevensbeschermingsautoriteit wijst er in het bijzonder op dat de machtiging waarover een notaris beschikt om toegang te krijgen tot de databank van het Rijksregister hem louter is toegekend voor het uitvoeren van taken die behoren tot zijn bevoegdheden en dat de wettelijk geregelde toegang tot het Rijksregister niet van haar doel mag worden afgewend.
De tweede beslissing ging over een kinderbijslagfonds (dat eveneens beschikte over een bijzondere machtiging om het Rijksregister te raadplegen) dat, om het bedrag van de kinderbijslag voor een van zijn leden vast te stellen, de gegevens van het lid in het Rijksregister had geraadpleegd. Daarbij had het fonds toegang verkregen tot gegevens betreffende de gezinssamenstelling en het verleden van het lid, en zo kennis genomen van persoonsgegevens van personen die deel hadden uitgemaakt van het gezin van het lid, waaronder diens vader, klager. De Gegevensbeschermingsautoriteit was van oordeel dat de raadpleging in dit geval verder ging dan strikt noodzakelijk was, en merkte op dat de raadpleging van de volledige geschiedenis van het lid zonder enige tijdslimiet (en dus vanaf de geboorte) niet proportioneel was om haar wettelijke verplichtingen te kunnen naleven en om het bedrag van de kinderbijslag vast te stellen dat op een bepaald moment aan het lid verschuldigd was. In dit geval wees de Gegevensbeschermingsautoriteit er ook op dat zij niet bevoegd is om zich uit te spreken over de eventuele vergoeding van de schade aan de klager berokkend, zelfs niet in geval van vastgestelde inbreuken.
In een derde zaak m.b.t. een huurgeschil, had een advocaat van de verhuurder (die eveneens beschikte over een bijzondere machtiging om het Rijksregister te consulteren in het kader van zijn beroep) in het kader van een gerechtelijke procedure een uittreksel uit het Rijksregister overgemaakt, hoewel de daarin opgenomen informatie niet relevant was. De Gegevensbeschermingsautoriteit merkte op dat, hoewel de vraag over de noodzakelijkheid van de overgemaakte persoonsgegevens de moeite waard was om te bespreken en dat het tot de verantwoordelijkheid van de advocaat behoorde om uitsluitend gegevens over te maken die strikt noodzakelijk zijn, de klager in de mogelijkheid was geweest om zich voor de vrederechter te verzetten tegen de overmaking van dit stuk en de wering ervan te vorderen. Aangezien de vrederechter intussen een beslissing had genomen rekening houdend met het betwiste stuk, besloot de Gegevensbeschermingsautoriteit dat ze niet bevoegd was om die beslissing te hervormen en bijgevolg dat de zaak zonder gevolg moest worden geklasseerd, aangezien haar jurisdictie een andere rechterlijke beslissing niet kan doorkruisen (beslissing nr. 51/2021 van 15 april 2021).
Het is nuttig om in herinnering te brengen dat de Gegevensbeschermingsautoriteit in een eerdere beslissing (beslissing nr. 06/2019 van 17 september 2019) had besloten om een administratieve geldboete van 10.000 EUR op te leggen aan een handelaar die als enige middel voor het aanmaken van een klantenkaart het lezen van de elektronische identiteitskaart voorstelde, hetgeen de kennisname van onder meer het Rijksregisternummer tot gevolg had. De handelaar die hier niet mee akkoord ging, is vervolgens in beroep gegaan bij het Marktenhof die de beslissing bij een arrest van 19 februari 2020 (A.R. nr. 2019/AR/1600) heeft vernietigd, aangezien de opgelegde sanctie niet voldoende was gemotiveerd. De Gegevensbeschermingsautoriteit heeft echter aangekondigd een cassatieberoep te hebben ingesteld tegen de beslissing van het Marktenhof, aangezien ze, indien zich opnieuw een gelijkaardige zaak zou voordoen, ze haar beslissing anders zou motiveren (waarbij de vaststelling van een inbreuk wel behouden zou blijven).
Actiepunt
De werkgever mag het Rijksregisternummer alleen gebruiken onder strikte voorwaarden, die in de wet betreffende het Rijksregister zijn vastgelegd. Dit is bv. het geval voor de verplichtingen ten aanzien van de RSZ.
Indien toegestaan, moet dit gebruik dan wel gebeuren rekening houdend met de in de GDPR ontwikkelde principes.
Gelet op deze principes is het gebruik van het Rijksregisternummer van werknemers voor andere dan de wettelijk toegestane doeleinden (in het kader van de uitzonderingen op het verwerkingsverbod), bijvoorbeeld om werknemers intern te identificeren (als "dienstnummer") of door het Rijksregisternummer op evaluatiedocumenten te vermelden, o.i. in strijd met zowel de wet tot regeling van een Rijksregister van natuurlijke personen als met de GDPR.