De Belgische Gegevensbeschermingsautoriteit heeft een boete opgelegd aan een stichting die onderzoek deed naar desinformatie. Naast de stichting zelf kreeg ook een onderzoeker persoonlijk een boete. Tijdens het onderzoek werden openbare tweets geanalyseerd.
De boete komt voor rekening van EU Disinfo, een ngo die onderzoek doet naar nepnieuws binnen Europa. De Gegevensbeschermingsautoriteit geeft de stichting een boete van 2700 euro voor het overtreden van de AVG. Ook krijgt een van de onderzoekers persoonlijk een boete van 1200 euro. Bij de hoogte van het bedrag zegt de GBA rekening te hebben gehouden met proportionaliteit; de stichting had geen winstoogmerk en dus weinig geld.
Disinfo deed onderzoek naar een Franse nieuwsgebeurtenis rondom een ambtenaar die in verschillende schandalen betrokken was. Disinfo verzamelde tweets om het nieuwsnarratief rondom de zaak-Benalla te onderzoeken. In totaal werden 55.000 Twitter-accounts geanalyseerd. Daarnaast werden ruwe gegevens over die accounts online gezet als onderdeel van het onderzoek.
De GBA concludeert dat dat in strijd is met de AVG, ook al gaat het om openbare tweets. "Het feit dat persoonsgegevens openbaar beschikbaar zijn op sociale netwerken betekent niet dat zij de bescherming van de AVG verliezen", schrijft de privacytoezichthouder. De stichting mocht de gegevens wel verzamelen zonder de betrokken personen achter de tweets in te lichten dat dat gebeurde. Daarvoor voerde Disinfo aan dat de studie een journalistiek karakter had. Onder de AVG geldt er dan een uitzonderingsregel voor die toestemmingsvraag, onder bepaalde voorwaarden.
De stichting had echter de gegevens niet zomaar mogen publiceren. De data was niet voldoende gepseudonimiseerd en er was geen rechtsgrond om de gegevens te publiceren. "De toestemming [van betrokkenen] was ook vereist voor de publicatie van dergelijke niet-gepseudonimiseerde gevoelige gegevens", schrijft de GBA. Naast het gebrek aan pseudonimisering, hekelt de GBA ook het feit dat er geen andere beveiligingsmaatregelen werden genomen, zoals toegangscontrole voor de bestanden.
Bij zeker 3300 van de geanalyseerde accounts was er sprake van extra gevoelige gegevens. Het ging om accounts waarvan de politieke voorkeur van de zenders mee was te achterhalen. Dat zijn onder de AVG 'bijzondere persoonsgegevens' waarvoor extra strenge regels gelden. Ook was informatie over religieuze overtuigingen, etnische afkomst en seksuele geaardheid af te leiden uit de data.
De uitspraak is om twee redenen opvallend. Aan de ene kant omdat de GBA daarmee extra benadrukt dat ook openbare bronnen vallen onder de bescherming van de AVG, en aan de andere kant omdat een van de onderzoekers persoonlijk aansprakelijk wordt gesteld. Dat kan onder de AVG, maar in Nederland wordt dat meestal niet gedaan en wordt alleen een organisatie of bedrijf een boete opgelegd. In België zijn er wel eerder boetes opgelegd aan particulieren.