Precies een jaar geleden lanceerde de FOD Financiën een nieuwe versie van de databank met fiscale regelgeving. FisconetPlus kreeg een personaliseerde interface, waarbij gebruikers bijvoorbeeld hun favoriete publicaties kunnen opslaan of automatische waarschuwingen kunnen krijgen bij wijziging aan een bepaald domein van de fiscaliteit.

De keerzijde van de medaille: een verplichte authenticatiedrempel voor iedereen die openbare informatie wilde opvragen. Voorheen was de databank, die de enige officiële bron in België is die de fiscale en juridische informatie bevat in de verschillende landstalen, vrij toegankelijk. De nieuwe databank draait sinds vorig jaar op een sharepoint van Microsoft in de G-Cloud, waardoor iedereen plots verplicht moest inloggen met een e-mailadres van Microsoft.

Dat leidde tot ongerustheid bij fiscalisten die hun persoonsgegevens niet aan het Amerikaanse bedrijf willen schenken. Sommigen gebruikten een valse naam om in te loggen. Anderen, waaronder VUB-professor Michel Maus, dienden een klacht in bij de Gegevensbeschermingsautoriteit (GBA), de vroegere Privacycommissie.

De GBA heeft de inlogprocedure van de overheidsdienst nu getoetst aan de GDPR, de Europese privacywetgeving die sinds mei vorig jaar in voege is. "De creatie van deze Microsoft-account houdt duidelijk een verwerking van persoonsgegevens in. Bij de creatie van deze account dienen namelijk persoonsgegevens zoals emailadres, land, geboortedatum en telefoonnummer te worden verstrekt", merkt de GBA op in een advies. Die gegevens, samen met "interesses gerelateerd aan de browseractiviteit", gebruikt Microsoft standaard om relevantere advertenties te tonen, tenzij de gebruiker er zelf aan denkt om die twee opties uit te vinken.

De twee instellingen in het privacydashboard van Microsoft die standaard staan ingeschakeld. © GBA

Het oordeel van de Gegevensbeschermingsautoriteit is dan ook niet mals. "Het verplicht maken door overheden van het gebruik van een Microsoft-account om toegang te krijgen tot een toepassing die enkel openbare informatie, en geen persoonsgegevens ontsluit, is in strijd met de GDPR."

Het advies kan een precedent vormen voor andere overheidsdiensten die met privébedrijven in zee willen gaan waarbij persoonsgegevens moeten worden vrijgegeven. "Indien de verwerkingsverantwoordelijke ervoor kiest om de toegang tot een overheidsdienst afhankelijk te maken van het aanvaarden van de standaardvoorwaarden van een privaat platform van een verwerker (bv. Microsoft, Facebook,...), is er geen sprake van een geldige toestemming", staat er.

Correctie : 'op een sharepoint van Microsoft in de G-Cloud' werd om 23u aan het artikel toegevoegd.