I maj 2023 ansökte en person om en tjänst på en skola i Belgien, men blev inte anställd. Beslutet om att personen inte fick tjänsten publicerades på Smartschool, en digital plattform för skolan, och var synlig för cirka 150 anställda. Skolledningen skickade ut ett meddelande där de beklagade att konfidentiell information blivit offentlig och påpekade att rektorn inte deltagit i bedömningen av kandidaten. Den sökande fick dock ett mejl från rektorn som kommenterade personens personliga brev, vilket indikerade att brevet hade vidarebefordrats till rektorn under urvalsprocessen. På grund av detta lämnade den sökande in ett klagomål till den belgiska dataskyddsmyndigheten om att ansökningsbrevet skickats till en tredje part.
Myndigheten fastslog att publiceringen av avslagsbeslutet på Smartschool gjorde det tillgängligt för obehöriga och utgjorde ett brott mot konfidentialiteten. Myndigheten misstänkte att den sökandes CV och personliga brev hade skickats till personer som inte deltog i urvalsprocessen. Även om myndigheten inte kunde bekräfta exakt vilka som var involverade, noterade de att rektorn inte deltog i bedömningen, vilket styrkte den klagandens påstående.
Myndigheten utfärdade en preliminär varning mot skolan. Detta för att skolan har brutit mot laglighetsprincipen genom att publicera avslagsbeslutet för fel mottagare utan rättslig grund och för att ha brutit mot integritets- och konfidentialitetsprincipen enligt GDPR genom att skicka den sökandes personuppgifter till fel mottagare. Incidenten visar även att skolan inte har vidtagit nödvändiga tekniska och organisatoriska åtgärder.
