Overheden moeten bij het ter beschikkingstellen van die diensten voldoen aan de wettelijke verplichtingen die de Algemene Verordening Gegevensbescherming1 (hierna AVG) oplegt. En daar wringt meer dan eens het schoentje, te meer wanneer de toegang tot een overheidsdienst de identificatie van de betrokkene en de tussenkomst van externe dienstverleners vereist.
Voorbeelden waarin voormelde problematiek zich voordoet zijn legio en waren reeds het onderwerp van diverse aanbevelingen en adviezen van zowel de Gegevensbeschermingsautoriteit (hierna GBA) als de Vlaamse Toezichtcommissie (hierna VTC), maar evenzeer van toezichthoudende autoriteiten uit buurlanden. Daarbij valt te denken aan de betrokkenheid van private dienstverleners (bv. Microsoft, Google, Amazon Web Services) bij o.m. het beheer van publieke databanken, de uitbating van openbare onderwijsinstellingen en de verdeling van vaccinaties in het kader van de COVID-19-bestrijding. Recent ook maakte het (verplicht) gebruik van een Microsoft-account voor de toegang tot een overheidstoepassing het voorwerp uit van een formele klacht en procedure voor de Geschillenkamer van de GBA.
De problematiek op het vlak van gegevensbescherming is tweeledig en betreft:
- de rechtmatigheid van een identificatieplicht voor toegang tot overheidsdiensten;
- de betrokkenheid van private dienstverleners bij het verlenen van overheidsdiensten.
De rechtmatigheid van een identificatieplicht
In Aanbeveling nr. 01/2019 van 6 februari 2019 wees de GBA er al op dat het invoeren van een identificatieplicht voor toegang tot overheidsdiensten uitsluitend kan worden opgelegd als er sprake is van een duidelijke wettelijke basis en het bewijs van een “noodzaak in een democratische samenleving”.
Dat een dergelijke noodzaak niet voor alle overheidstoepassingen voorhanden is, bevestigt ook de Geschillenkamer van de GBA. Die oordeelt dat de toegang tot het overheidsportaal Fisconetplus niet afhankelijk mag worden gesteld van het prijsgeven van persoonsgegevens, aangezien die toepassing enkel openbare informatie ontsluit, en geen persoons gegevens.
Zo hanteert de GBA een onderscheid tussen toepassingen die toegang geven tot openbare overheidsinformatie (bv. raadplegen van regelgeving of documentatie) en toepassingen die toegang bieden tot een gepersonaliseerde dienst (bv. raadplegen van belastingaangifte via Tax-on-web of inschrijven op vaccinatiereservelijst via QVAX). Waar in het eerste geval geen afdoende reden bestaat om de identificatie van burgers via technieken zoals het aanmaken van een account en/of gebruik van cookies toe te laten, bestaat er in het tweede geval wel degelijk een noodzaak voor een overheid om de betrokkene een identificatie- en authenticatieplicht op te leggen.
De beoordeling gebeurt in concreto, waarbij de overheidsdienst op zorgvuldige en gedocumenteerde wijze evalueert in welke context haar dienstverlening kadert en of identificatie van de betrokkene gerechtvaardigd is. Zo ja, dan verdient het aanbeveling om gebruik te maken van de federale authenticatiedienst (FAS) of de daarin geïntegreerde authenticatiemiddelen (bv. identiteitsapp Itsme), eerder dan een systeem van gebruikers- en toegangsbeheer (bv. Microsoft-account) waarbij niet dezelfde waarborgen inzake gegevensbescherming zijn ingebouwd.