Onderstaand artikel van Aurélie Van der Perre en Femke Van Den Steen (Privanot) verscheen eerder in Tijdschrift Notarieel Management, nr. 2021/2. Interesse in het volledige nummer? Bekijk hier de inhoudsopgave in preview of raadpleeg de abonnementsvoorwaarden!

Kan de notaris op grond van zijn verplichtingen uit hoofde van de Algemene Verordening Gegevensbescherming (EU) 2016/679 (GDPR) aansprakelijk worden gesteld voor onrechtmatige zoekopdrachten door een van zijn medewerkers in authentieke gegevensbronnen? Welke preventieve en repressieve maatregelen moet de notaris nemen met betrekking tot de GDPR en de toepasselijke sectorale wetgeving, zoals de wet van 8 augustus 1983 tot regeling van een Rijksregister van natuurlijke personen?

Deze vragen zijn enorm belangrijk in het notariaat, rekening houdend met het feit dat via de website van de FOD Binnenlandse Zaken alle burgers online kunnen controleren welke instanties hun persoonlijke gegevens geraadpleegd hebben tijdens de voorbije zes maanden. In dit kader is het dan ook noodzakelijk meer waakzaamheid te bieden ten aanzien van zoekopdrachten in het Rijksregister, ook al blijven de in acht te nemen beginselen in het algemeen voor alle authentieke bronnen gelijk.

Onrechtmatige opzoeking

Een onrechtmatige opzoeking betekent dat er een opzoeking is uitgevoerd voor niet-professionele en/of niet gerechtvaardigde doeleinden. In de notariële context, kunnen we aannemen dat dit een opzoeking is, die gebeurd is zonder dat dit noodzakelijk was in het kader van een lopend dossier.

In de volgende casus bijvoorbeeld is er een onrechtmatige opzoeking gebeurd in het Rijksregister:

“Een notaris heeft de erfgenamen opgezocht van haar huurster, die al maanden de huur niet heeft betaald. Zij heeft deze erfgenamen gecontacteerd om de resterende huur te kunnen innen.”

Ongeacht of een medewerker deze opzoeking uitvoert of de notaris zelf, is dit een ongeoorloofde toegang tot het Rijksregister. Indien de notaris of een medewerker daarentegen deze opzoeking had verricht in het kader van het afhandelen van de nalatenschap en specifiek voor een akte van erfopvolging, waarvoor zij waren aangesteld, was dit geen ongeoorloofde opzoeking geweest.

De voormelde wet van 8 augustus 1983 regelt een strikte toegang naar het Rijksregister.Deze wet bepaalt dat er steeds een machtiging aangevraagd moet worden aan de bevoegde overheidsinstelling (FOD Binnenlandse Zaken) of er een wettelijk kader moet bestaan om gegevens van het Rijksregister te kunnen raadplegen. Zo zijn de notarissen (en hun medewerkers) gemachtigd om toegang te hebben tot het Rijksregister, zoals omschreven is in het KB van 11 september 1986, voor het vervullen van de taken die tot hun bevoegdheid behoren, met andere woorden een dossier te behandelen. In deze casus wordt dan ook niet voldaan aan deze voorwaarden.

Inbreuk en de strafrechtelijke aansprakelijkheid

Een opzoeking, die gebeurt buiten een lopend dossier in het kantoor, vormt een inbreuk op de beginselen inzake de verwerking van persoonsgegevens (art. 6 GDPR). De opzoeking evenals het doeleinde van de opzoeking kan niet als rechtmatig worden beschouwd.

In het kader van de GDPR is men daarnaast ook strafrechtelijk aansprakelijk voor het onrechtmatig verwerken van gegevens. De nationale wetgever bepaalt hierbij de strafmaat (art. 84 GDPR). In artikel 222 van de wet van 30 juli 2018, wordt de strafmaat omschreven voor een onrechtmatige verwerking als een geldboete van tweehonderdvijftig euro tot vijftienduizend euro.

Bovendien is het misbruik van de toegang tot het Rijksregister ook een strafbaar feit. Volgens artikel 13 van de voormelde wet van 8 augustus 1983, kan iedere persoon die een onrechtmatige opzoeking uitvoert, gestraft worden met een gevangenisstraf van zes maanden tot tien jaar en een geldboete van tweeduizend euro tot veertigduizend euro. De strafrechtelijke aansprakelijkheid is persoonlijk, wat betekent dat een medewerker, die een onrechtmatige opzoeking heeft gedaan, strafrechtelijk vervolgbaar is.

Preventieve en repressieve maatregelen die door de notaris moeten worden genomen

De notaris moet de opzoekingen in authentieke bronnen beperken tot dossier gerelateerde opzoekingen. Ook dient de notaris ervoor te zorgen dat zijn medewerkers enkel opzoekingen verrichten met datzelfde doeleinde. Een preventieve maatregel, die de notaris in acht moet nemen hiervoor, is zich ervan vergewissen dat de instructieve bijzonderheden met betrekking tot de verwerking van persoonsgegevens en de opzoeking in authentieke bronnen schriftelijk aan zijn medewerkers zijn meegedeeld. De nodige clausules zijn opgenomen in het model van arbeidsreglement van het Sociaal Secretariaat van de Notarissen, dat beschikbaar is op het e-notariaatportaal. Zo staat in punt 2 van bijlage VII van het model van arbeidsreglement onder meer dat:

“De werknemer erkent het vertrouwelijke karakter van de gegevens die verwerkt worden in het kader van zijn opdracht en in het bijzonder van de gegevens van het Rijksregister, de Kruispuntbank van de Sociale Zekerheid, het Kadaster, het Bestand van berichten van beslag, het Centraal register van testamenten en huwelijksovereenkomsten, het Register van mandaat- en bestuurdersovereenkomsten en van alle andere gegevens die voortkomen uit de nationale officiële bronnen of de officiële bronnen van de lokale bevoegdheden. De werknemer erkent eveneens het vertrouwelijke karakter van het identificatienummer van het Rijksregister.

Hij verbindt zich ertoe de officiële bronnen slechts te raadplegen wanneer dit strikt noodzakelijk blijkt in het kader van zijn professionele opdracht. Elke toegang die niet noodzakelijk zou zijn, houdt een strafrechtelijke overtreding in hoofde van de werknemer in. (…)”

Een andere fundamentele preventieve maatregel, die de notaris moet nemen en die in toenemende mate door de gegevensbeschermingsautoriteit wordt gecontroleerd (met name in het notariaat), is ervoor te zorgen dat zij haar verplichting tot transparantie en informatieverstrekking aan de betrokkene is nagekomen. De burger moet ervan op de hoogte zijn dat de notaris (en zijn medewerkers) in het kader van zijn functie als openbaar ambtenaar verplicht is de nodige opzoekingen in authentieke bronnen te verrichten. De informatie wordt normaal proactief verstrekt, door een beleid inzake de bescherming van persoonsgegevens persoonlijk op papier en/of via elektronische weg (bv. via een hyperlink, die zichtbaar is voor de betrokken persoon, opgenomen in de e-mail-handtekening van de notaris en van zijn medewerkers) over te maken.

Merk op dat qua repressieve maatregelen, de notaris verplicht is om elke door een medewerker uitgevoerde onrechtmatige opzoeking, te melden aan de Gegevensbeschermingsautoriteit. Dergelijke zoekactie wordt immers beschouwd als een inbreuk op de persoonsgegevens. De melding van dergelijke inbreuk moet gebeuren binnen de 72 uur na kennisname van de inbreuk.

Conclusie en advies

Om onrechtmatige opzoekingen van gegevens in authentieke bronnen te voorkomen en om aansprakelijkheid te vermijden , zorgt de notaris er preventief best voor dat er een privacybeleid voor de burgers beschikbaar is volgens de vooraf bepaalde modaliteiten en dat de nodige instructies schriftelijk zijn meegedeeld aan de medewerkers van het kantoor. Indien er toch een onrechtmatige opzoeking wordt uitgevoerd, dient de notaris om de gevolgen zoveel mogelijk te beperken de gegevensbeschermingsautoriteit in kennis te stellen van de inbreuk, omdat dit een wettelijke verplichting van de notaris is, maar ook omdat deze kennisgeving de bereidheid van de notaris om met de autoriteit samen te werken impliceert.

Aurélie Van der Perre, privanot manager
Femke Van Den Steen, legal advisor ICT-law, Data protection officer bij Privanot