Het voert niet alleen een aantal horizontale ondersteunende taken uit (zoals het beheer van personele middelen, begroting en IT-aanvragen, enz; 2° het beheren van elke juridische aangelegenheid met betrekking tot het beheer en de werking van de GBA; en 3° het beheren van de interne en externe communicatie), maar heeft ook een aantal belangrijke uitvoerende taken, zoals onder meer:

  • het toezien op de maatschappelijke, economische en technologische ontwikkelingen die een impact hebben op de bescherming van de persoonsgegevens;
  • het geven van advies in het kader van een gegevensbeschermingseffectbeoordeling aan een verwerkingsverantwoordelijke
  • het goedkeuren van de gedragscodes (incl. het zorgen voor de accreditatie van een orgaan voor het toezicht op gedragscodes);
  • het bevorderen van de invoering van certificeringsmechanismen en het goedkeuren van de criteria voor certificering;
  • het goedkeuren van de modelcontractbepalingen en de bindende ondernemingsregels

Voor 2020 zet het Algemeen Secretariaat graag volgende realisaties in de kijker :


Effectbeoordeling – procedure en formulier

Alvorens een verwerking te starten, gaat de verwerkingsverantwoordelijke na of de verwerking al dan niet een hoog risico inhoudt voor de grondrechten en fundamentele vrijheden van de betrokkenen. In dat geval moet een gegevensbeschermingseffectbeoordeling (DPIA) worden uitgevoerd voordat met de verwerking wordt begonnen.

Indien, ondanks alle maatregelen die zijn genomen om de rechten en vrijheden van de betrokkenen te beschermen, de uitkomst van de DPIA is dat er een hoog restrisico blijft bestaan, moet de verwerkingsverantwoordelijke de GBA raadplegen alvorens met zijn verwerking te beginnen. De DPIA en, in voorkomend geval, de voorafgaande raadpleging, zijn dus nalevingsinstrumenten (verantwoordingsplicht) waarin de AVG voorziet.Om de verwerkingsverantwoordelijken actief te ondersteunen bij deze nalevingsverplichting, stelt de GBA op haar website hulpmiddelen ter beschikking. Naast gedetailleerde informatie en een te downloaden DPIA-gids, is er ook een formulier voor een voorafgaande raadpleging. De vragen die het bevat en de verschillende elementen die nodig zijn voor het indienen van een verzoek om raadpleging zijn bedoeld om de stappen te vergemakkelijken die de verwerkingsverantwoordelijken nemen in het kader van deze raadpleging, maar ook in het kader van hun analyse van het hoge restrisico en, meer in het algemeen, bij de controle op de verwerking van persoonsgegevens.


Behandeling datalekken

Organisaties moeten een ernstig gegevenslek, binnen de 72 uur, melden bij de GBA. De melding van gegevenslekken gebeurt via een elektronisch formulier, dat in juli is vereenvoudigd. Het vernieuwd elektronisch formulier beperkt de administratieve last van de melder en bevat enkel nog de velden die nodig zijn voor de beoordeling door de GBA. Het formulier zorgt ervoor dat de melder weet welke informatie hij dient te bezorgen en maakt daarnaast ook deel uit van een systematische en efficiënte opvolging van meldingen door de GBA. Bij controle en opvolging van de meldingen is er onder meer sterke aandacht voor tijdige en gepaste corrigerende maatregelen en het juist en tijdig informeren van betrokkenen.
Het is voor organisaties soms een uitdaging om een gegevenslek te beoordelen. Daarom heeft de GBA meegewerkt aan de nieuwe richtlijnen van het Europees Comité voor de Gegevensbescherming over datalekmeldingen. Deze richtlijnen dienen als aanvulling op de algemene richtlijnen over datalekken. In de nieuwe richtlijnen is voor veel voorkomende soorten datalekken aangegeven welke maatregelen een organisatie van tevoren had moeten nemen en welke maatregelen de organisatie na het incident moet nemen. Zo beschikt een organisatie nu over een extra leidraad bij twijfel over het al dan niet melden van een gegevenslek bij de Autoriteit of bij twijfel over het al dan niet informeren van betrokkenen.


Internationale doorgiften

Internationale doorgiftes traden in 2020 (opnieuw) op de voorgrond.  Zowel door het arrest in zaak C-311/18 (bekend als het "Schrems II"-arrest) als door de Brexit.

Met het arrest in de zaak C-311/18 (gekend als het arrest "Schrems II"), heeft het Hof van Justitie de beslissing (EU)2016/1250 van de Europese Commissie  betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming ongeldig verklaard (het betreft een adequaatheidsbesluit dat gekend is als het "Privacy Shield") met als reden dat de toegang tot en het gebruik door de Amerikaanse autoriteiten van gegevens die in het kader van de monitoringprogramma's van de EU naar de VS worden overgedragen, niet beperkt is tot wat strikt noodzakelijk is (niet-naleving van het proportionaliteitsbeginsel van de AVG). Anderzijds heeft het Hof het Besluit 2010/87 van de Europese Commissie betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers geldig verklaard. Het Hof verduidelijkte dat indien de modelbepalingen inzake gegevensbescherming in dat land niet worden of kunnen worden nageleefd en de bescherming van de doorgegeven gegevens, zoals vereist door de EU-wetgeving, niet op een andere manier kan worden gewaarborgd (namelijk door bijkomende maatregelen te nemen, de in de EU gevestigde exporteur de doorgifte zelf moet opschorten of beëindigen. Zo niet, dan moeten de nationale toezichthoudende autoriteiten dat doen als zij dat nodig achten.

Het Verenigd Koninkrijk heeft de Europese Unie verlaten en is dus met de Brexit sinds 31 december 2020 een "derde land" geworden. Een tussen de Europese Unie en het Verenigd Koninkrijk gesloten handels- en samenwerkingsovereenkomst bepaalt evenwel dat de doorgifte van persoonsgegevens aan het Verenigd Koninkrijk vanaf die datum tijdelijk mag worden voortgezet gedurende ten hoogste zes maanden indien de Europese Commissie een besluit inzake adequaatheid voor het Verenigd Koninkrijk vaststelt.

Door informatie op haar website te publiceren, belanghebbenden bij te staan bij de ontwikkeling en toepassing van doorgifte-instrumenten (bindende bedrijfsvoorschriften, administratieve regelingen, enz.) en nauw samen te werken met haar Europese tegenhangers binnen de EDPB, zet de GBA haar taak verder om overheidsinstanties en ondernemingen te ondersteunen bij het vergemakkelijken van de doorgifte van gegevens buiten de Europese Unie, waarbij de bescherming van de rechten van de betrokken personen wordt gewaarborgd.