De Gegevensbeschermingsautoriteit (GBA) heeft maatregelen opgelegd aan vervoersorganisatie De Lijn. Volgens de privacy-waakhond is er sprake van schending van de GDPR-wetgeving rond de verwerking van persoonsgebonden data. De Vlaamse aanbieder van openbaar vervoer moet aanpassingen doorvoeren om de privacy van reizigers te maximaliseren.
De overtredingen betreffen voornamelijk het niet naleven van de principes van gegevensbescherming ‘by design’ en ‘by default’, evenals het gebrek aan transparantie over de verwerking van zogenaamde Mobib-validatiegegevens van reizigers. De GDPR-wetgeving verplicht organisaties om persoonsgegevens op een veilige en transparante manier te verwerken. In dit geval stelt de GBA vast dat De Lijn niet voldeed aan de verplichting om gegevens die niet langer noodzakelijk zijn, tijdig te anonimiseren of te pseudonimiseren. Dit principe is, zo benadrukt de privacy-waakhond, cruciaal om de privacy van betrokkenen te waarborgen en te voorkomen dat gevoelige informatie langer dan nodig wordt bewaard.
Artikel 25
De Geschillenkamer van de GBA eist nu dat De Lijn de gegevensverwerkingssystemen aanpast, zodat ze voldoen aan de vereisten van artikel 25 van de GDPR. Dit artikel legt vast dat gegevensbescherming geïntegreerd moet worden in de ontwerpfase van systemen en dat standaardinstellingen de privacy van gebruikers moeten respecteren. De Lijn krijgt geen boete, maar moet de aanpassingen wel binnen één jaar doorvoeren.
