Het Algemeen Secretariaat heeft een dubbele rol binnen de GBA. Het voert niet alleen een aantal horizontale ondersteunende taken uit (zoals 1° het beheer van personele middelen, begroting en IT-aanvragen, enz; 2° het beheren van elke juridische aangelegenheid met betrekking tot het beheer en de werking van de GBA; en 3° het beheren van de interne en externe communicatie), maar heeft ook een aantal belangrijke uitvoerende taken, zoals onder meer:
- het toezien op de maatschappelijke, economische en technologische ontwikkelingen die een impact hebben op de bescherming van de persoonsgegevens;
- het geven van adviezen in het kader van gegevensbeschermingseffectbeoordelingen aan verwerkingsverantwoordelijken
- het goedkeuren van de gedragscodes (incl. het zorgen voor de accreditatie van een orgaan voor het toezicht op gedragscodes);
- het bevorderen van de invoering van certificeringsmechanismen en het goedkeuren van de criteria voor certificering;
- het goedkeuren van de modelcontractbepalingen en de bindende ondernemingsregels
Voor 2021 zet het Algemeen Secretariaat graag volgende realisaties in de kijker :
Gedragscodes
De GBA heeft in 2021 een gedetailleerd thematisch dossier op haar website gepubliceerd, om beroepsorganisaties en verenigingen zo beter te informeren over (i) de voordelen van het opstellen van een gedragscode; en (ii) de wijze waarop gedragscodes moeten worden ingediend (goedkeuringsvoorwaarden inbegrepen).
De GBA plukte dit jaar de eerste vruchten van deze en andere geleverde inspanningen om het opstellen van nationale en internationale gedragscodes aan te moedigen en te ondersteunen (ODAS1.2 in het Beheersplan 2021). Op deze manier verkregen zowel verwerkingsverantwoordelijken, verwerkers, als betrokkenen meer duidelijkheid omtrent de manier waarop de AVG wordt toegepast in concrete situaties.
Op 8 april 2021 keurde het Algemeen Secretariaat de eerste nationale gedragscode goed. Daarin worden verschillende verplichtingen opgenomen voor notarissen, en verduidelijkt de bepalingen uit de AVG die hen aanbelangen. De Nationale Kamer van Notarissen is verantwoordelijk voor het toezicht op de naleving van deze regels.
De GBA toonde zich vervolgens opnieuw een echte pionier. Op 20 mei 2021 besliste zij namelijk - als eerste Europese toezichthouder, na een intensieve internationale samenwerking (ODAS5.3 in het Beheersplan 2021) - om een transnationale gedragscode goed te keuren. De “EU Cloud Gedragscode” zorgt voor een geharmoniseerde interpretatie van de AVG-bepalingen voor de cloud-sector binnen de Europese Unie. De GBA publiceerde diezelfde dag trouwens ook de accreditatiebeslissing, waardoor de organisatie SCOPE Europe als toezichthoudend orgaan de naleving van de gedragscode zal controleren.
De GBA stond de opstellers gedurende de gehele procedure met raad en daad bij (zie ook ODAS4.3 in het Beheersplan 2021), om zo tot kwaliteitsvolle gedragscodes te komen.
Certificering
De GBA stimuleert de invoering van certificeringsmechanismen voor gegevensbescherming, gegevensbeschermingszegels en- merktekens om aan te tonen dat de verwerkingsactiviteiten van de verwerkingsverantwoordelijken en de verwerkers in overeenstemming zijn met de AVG.
In België moeten deze certificeringen worden uitgereikt door certificeringsinstanties die zijn geaccrediteerd door de nationale accreditatie-instantie (in België : BELAC) overeenkomstig EN-ISO/IEC 17065 en de aanvullende eisen die zijn vastgesteld door de toezichthoudende autoriteit als bepaald in artikel 43.3 van de AVG.
Daarom heeft de GBA in 2021 aanvullende eisen voor de accreditatie van certificeringsinstanties opgesteld, waarover advies 35/2021 van de EDPB is uitgebracht. Dit advies bevatte een reeks wijzigingsvoorstellen. De GBA heeft het advies van de EDPB positief opgevolgd en vervolgens een gewijzigde versie van haar ontwerp aan de EDPB toegezonden.Voorts volgt de GBA actief de besprekingen binnen de EDPB over certificeringscriteria en zal zij zo snel mogelijk een procedure invoeren voor de goedkeuring van certificeringscriteria.
Behandeling gegevenslekken
Ook in 2021 was het behandelen van gegevenslekken een belangrijk aandachtspunt voor de GBA. Door de versnelde digitalisering, het ingeburgerd geraken van thuiswerk, onze online koopdrift en het zich meer en meer afhandelen van allerlei transacties op het internet, stijgt eveneens de kans op (significante) gegevenslekken. Om daaraan tegemoet te komen, trad de GBA ook meer proactief op, bijvoorbeeld op het vlak van het opsporen van potentieel niet-gemelde gegevenslekken. Zo werd uit eigen beweging informatie opgevraagd over een mogelijk lek bij de Brusselse online reservatietool voor vaccinatie (Bruvax).
Daarenboven droeg de GBA bij aan de nieuwe Europese praktische richtsnoeren met voorbeelden van gegevenslekken. Deze duidelijke, gerichte en relevante aanbevelingen dienen als referentiemateriaal voor verwerkingsverantwoordelijken en hun functionarissen voor gegevensbescherming. Eveneens werd aandacht besteed aan mogelijke veiligheidsrisico’s die gegevenslekken kunnen veroorzaken:
Door al deze activiteiten, gaf de GBA uitvoering aan de eerste doelstelling van haar Strategische Plan (“Een verbeterde gegevensbescherming door sensibilisering”) en de vijfde doelstelling (“Een verbeterde gegevensbescherming met GBA als leider/gids en referentiecentrum”).
Internationale doorgiften
Er hebben zich in 2021 verschillende belangrijke ontwikkelingen voorgedaan op het gebied van internationale gegevensdoorgifte.
Om de verwerkingsverantwoordelijken en verwerkers in de EU te helpen 1) bepalen of een verwerking een internationale doorgifte vormt en 2) om te komen tot een gemeenschappelijke interpretatie van het begrip internationale doorgifte, heeft de GBA binnen de EDPB bijgedragen aan de publicatie van Richtsnoeren 05/2021 "on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR".
De GBA heeft bijgedragen aan de aanbevelingen 01/2020 van de EDPB "on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data" (aangenomen op 18 juni 2021). Deze aanbevelingen zijn bedoeld om gegevensexporteurs te helpen vaststellen in welke situaties de waarborgen die worden geboden door de doorgifte-instrumenten van artikel 46 van de AVG in het gedrang kunnen komen door het rechtskader of de praktijken van het derde land, en hen helpt te bepalen, welke aanvullende maatregelen zij moeten nemen indien nodig.
De Europese Commissie heeft beslissingen genomen over de toereikendheid van het niveau van gegevensbescherming in het Verenigd Koninkrijk en de Republiek Korea, waarover de EDPB is geraadpleegd en adviezen heeft uitgebracht.
De Europese Commissie publiceerde ook haar nieuwe modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen gepubliceerd, zoals bepaald in artikel 46, (2)(c), van de AVG. Deze bijgewerkte modelcontractbepalingen vervangen de oude bepalingen die in het kader van Richtlijn 95/46/EG zijn vastgesteld.
De GBA heeft haar thematische dossier over "Internationaal gegevensverkeer" op haar website regelmatig bijgewerkt om de verwerkingsverantwoordelijken en de verwerkers uitgebreid en actuele informatie over dit onderwerp te verstrekken. De GBA heeft de verwerkingsverantwoordelijken en de verwerkers ook bijgestaan bij de toepassing en goedkeuring van instrumenten voor de doorgifte. In dit kader heeft het Algemeen secretariaat zes bindende bedrijfsvoorschriften goedgekeurd overeenkomstig het in artikel 63 van de AVG bedoelde coherentiemechanisme en nam het een beslissing tot goedkeuring van een administratieve regeling tussen " Public Company Accounting Oversight Board (" PCOAB ") en het " College van Toezicht op de Bedrijfsrevisoren/Collège de Supervision des Réviseurs d'Entreprise " (CTR-CSR ) die de doorgifte van persoonsgegevens van de CTR-CSR aan de PCOAB omkadert in overeenstemming met artikel 4(3)(b) van de AVG.
Verwezenlijkingen in cijfers
In 2021 heeft het Algemeen Secretariaat 29 monitoringsdossiers afgerond. In 2 gevallen werden deze monitoringsdossiers nadien via het directiecomité aan de inspectiedienst van de GBA overgemaakt voor verdere behandeling.
| Type dossier |
Resultaat |
Aantal |
| Monitoring |
Via Directiecomité naar Inspectiedienst |
2 |
| Afgesloten na behandeling binnen het Algemeen Secretariaat |
27 |
| Totaal |
|
29 |
In 2021 heeft het Algemeen Secretariaat 20 goedkeuringsdossiers behandeld. In 13 gevallen werd door het Algemeen Secretariaat een advies of goedkeuring gegeven.
| Type dossier |
Resultaat |
Aantal |
|
BCR
(binding corporate rules)
|
Behandeling stopgezet (door de aanvrager) |
1 |
| Goedgekeurd |
9 |
|
DPIA
(data protection impact assessment)
|
Advies geven |
4 |
| Behandeling stopgezet (door de aanvrager) |
2 |
| Dossier onontvankelijk |
2 |
| Gedragscode |
Behandeling stopgezet (door de aanvrager) |
2 |
| Totaal |
|
20 |
In 2021 heeft het Algemeen Secretariaat 1756 gegevenslekdossiers behandeld. In 2 gevallen werden deze gegevenslekdossiers nadien via het Directiecomité aan de Inspectiedienst van de GBA overgemaakt voor verdere behandeling.
| Type dossier |
Resultaat |
Aantal |
| Gegevenslek gemeld door de verwerkingsverantwoordelijke |
Via Directiecomité naar Inspectiedienst |
1 |
| Annulering van de melding van het gegevenslek |
25 |
| Geen inbreuken vastgesteld na controle |
1729 |
| Gegevenslekdossier op initiatief van het Algemeen Secretariaat |
Via Directiecomité naar Inspectiedienst |
1 |
| Totaal |
|
1756 |