De Inspectiedienst wordt geleid door inspecteur-generaal Peter Van den Eynde en is samengesteld uit inspecteurs en wordt ondersteund door een secretariaat. De inspecteurs hebben verschillende profielen (auditors, experten informatieveiligheid en juristen) zodat een multidisciplinaire benadering mogelijk is. Op die manier kunnen zowel technische, organisatorische als juridische aspecten onderzocht worden. Een inspecteur heeft gemiddeld 17 dossiers onder zijn beheer. De vermindering ten opzichte van vorig jaar heeft te maken met het feit dat enerzijds enkele (inter)nationale audit en of toezichtstaken zijn weggevallen of on hold zijn geplaatst wegens de Covid-19 crisis en anderzijds dat de Inspectiedienst in 2020 ook 2 nieuwe inspecteurs heeft mogen verwelkomen en de inkomende dossiers dus verspreid konden worden over meerdere personen.

De Inspectiedienst oefent op een onafhankelijke, planmatige, professionele, efficiënte en discrete wijze controle activiteiten uit d.m.v. (niet-) periodieke monitoring en thematische inspectieopdrachten op (inter-) nationale verwerkingen in de publieke en private sector rekening houdend met de relevante risico’s onder de AVG en aanverwante wet- en regelgevingen op de gegevensbescherming (bijv. camerawetgeving).

De Inspectiedienst beschikt over een uitgebreid arsenaal aan onderzoeksmogelijkheden. Om een dossier te onderzoeken kunnen de inspecteur-generaal en de inspecteurs indien zij dat nodig achten conform de GBA-wet:

  • personen identificeren;
  • personen verhoren;
  • een schriftelijke bevraging houden;
  • onderzoeken ter plaatse voeren;
  • informaticasystemen raadplegen en de gegevens die ze bevatten kopiëren;
  • informatie elektronisch raadplegen;
  • goederen of informaticasystemen in beslag nemen of verzegelen;
  • de identificatie van de abonnee of de gewoonlijke gebruiker van een elektronische communicatiedienst of van het gebruikte elektronisch communicatiemiddel vorderen.

De GBA-wet voorziet verschillende manieren om een dossier te laten opstarten door de Inspectiedienst. Een dossier kan worden opgestart op:

  • op initiatief van het directiecomité als er ernstige aanwijzingen van een inbreuk zijn, als het nodig is om samen te werken met een buitenlandse gegevensbeschermingsautoriteit, of als er een vraag komt van een rechterlijke instantie of een administratieve toezichthouder.
  • op initiatief van de geschillenkamer als er een klacht is waarvoor een onderzoek nodig is, of als een aanvullend onderzoek nodig is.
  • op initiatief van de Inspectiedienst zelf als er ernstige aanwijzingen van een inbreuk zijn.
 

Het toenemende belang van auditdossiers

Het vorige jaarverslag hintte reeds op het belangrijke verschil tussen de inspectietaken en de auditopdrachten van de Inspectiedienst.

Naast haar algemene inspectieopdracht kent de Inspectiedienst immers ook nog een specifieke auditopdracht. Dit aspect komt niet naar voren in de GBA-wet, maar volgt rechtstreeks uit Europese wetgeving. Belangrijk is echter wel opnieuw te wijzen op het feit dat deze audits een belangrijke werklast met zich meebrengen en de Inspectiedienst dus in dat verband haar werkingsmiddelen dient te verdelen tussen inspecties en audits. Hier volstaat het te wijzen op het verschil van aanpak tussen een inspectie en een audit. Auditeren moet immers aanzien worden als controle en tegelijk coaching/sensibilisering door pijnpunten in een proces bloot te leggen en (belangrijk) dit in samenspraak met de concrete verwerkingsverantwoordelijke. Audit is dus in feite (kort door de bocht) een iets zachtere benadering dan een inspectie.

Deze auditopdracht valt uiteen in enerzijds een nationale auditopdracht die zich situeert in de context van een vierjaarlijkse controle van een aantal overheidsdiensten en anderzijds een internationale auditopdracht (voornamelijk on site controle van lidstaten die deel uitmaken van de Schengen zone). In dat kader werd België in 2020 geauditeerd door de Europese Commissie en enkele (uitgekozen) lidstaten. Oorspronkelijk gepland in april werd dit vanwege de Covid-19 crisis verschoven naar het einde van dat jaar. Aangezien op dat moment nog steeds de Covid-19 crisis niet bezworen was, diende een nieuwe formule gezocht te worden aangezien het uitvoeren van een audit ter plaatse in dergelijke omstandigheden moeilijk was. Er werd finaal geopteerd om België (als één van de eerste) virtueel te auditeren, met name op basis van een eerder ingevulde gedetailleerde vragenlijst en tijdens de audit zelf (welke een kleine week in beslag nam) aan de hand van een videoconferentie met de verschillende geauditeerde partijen (de GBA, het COC, de politie, de FOD Buitenlandse Zaken en de Dienst Vreemdelingenzaken). Het finale verslag volgt in 2021.

Audits kunnen ook uitgevoerd worden in samenwerking met andere organisaties. Zo heeft de Inspectiedienst in (2019 en) 2020 samengewerkt met het COC

Op Europees vlak worden ook meer audits verwacht:

  • vierjaarlijkse audits worden voorgeschreven in Europese verordeningen die zijn gericht op de interoperabiliteit tussen de (Europese) Unie-informatiesystemen op het gebied van grenzen en visa en op het gebied van politiële en justitiële samenwerking, asiel en migratie;
  • driejaarlijkse audits worden voorgeschreven in Europese Verordeningen tot instelling van nieuwe Unie-informatiesystemen, en dit binnen 3 jaar na de start van hun operaties: Inreis-uitreissysteem (Entry/Exit System, EES), Europees systeem voor reisinformatie en -autorisatie (European Travel Information and Authorisation System, ETIAS), en het Europees Strafregisterinformatiesysteem (European Criminal Records Information System, ECRIS-TCN). Deze drie IT-systemen worden verwacht operationeel te zijn in 2022, dus binnen afzienbare tijd. De Europese Commissie ziet er op toe dat de lidstaten hun nationale systeem klaarmaken en afstemmen op het Inreis-uitreissysteem (EES). Het in 2019 opgerichte Europese gecoördineerde toezichtscomité (Coordinated Supervision Committee, CSC) heeft momenteel betrekking op het toezicht van IMI, het Europees orgaan voor justitiële samenwerking (Eurojust) en het Europees Openbaar Ministerie (European Public Prosecutor’s Office, EPPO). Het zal de komende jaren geleidelijk ook toezicht houden op bestaande en nieuwe Unie-informatiesystemen op het gebied van grenzen, asiel, migratie, politiële en justitiële samenwerking.
 

Blijvende aandacht voor enkele privacyaspecten

In het jaarverslag 2019 kondigde de Inspectiedienst reeds aan dat inspecties op zich niet noodzakelijk het hoofddoel vormen. De bedoeling, zoals ook het strategisch plan duidelijk maakt, is om te evolueren richting een betere naleving en ook begrip van de bestaande regelgeving. Met dat doel worden een aantal praktijken vastgesteld en structureel aangekaart in de opgestelde inspectieverslagen.

Het valt de Inspectiedienst op dat doorgaans verschillende van haar vaststellingen overgenomen worden door de geschillenkamer. De hoofdopdracht van de Inspectiedienst bestaat in het vaststellen van feiten en het opmaken van een verslag. De verdere afhandeling (het organiseren van het tegensprekelijk debat hierover en het beoordelen van het te verlenen gevolg) behoort toe aan de geschillenkamer.

Om die reden komen enkele aspecten regelmatig en systematisch terug in de verslagen van de Inspectiedienst. De Inspectiedienst maakte bijvoorbeeld in 2020 een centraal punt van het thema “functionaris voor de gegevensbescherming” (“FG”). In diverse onderzoeken werd in detail deze sleutelspeler voor de gegevensbescherming onderzocht. De Inspectiedienst stelde in verschillende dossiers problemen vast bij de werking van de FG. De FG rapporteert niet steeds rechtstreeks aan de hoogste leidinggevende, de functie wordt vaak gecombineerd met andere interne (tweedelijns -) functies waardoor belangenconflicten kunnen ontstaan of andere problemen stellen zich waardoor de FG niet over het vereiste vermogen beschikt om onafhankelijk te werken. In bepaalde dossiers stelde de Inspectiedienst bovendien vast dat de FG niet beschikte over de nodige middelen voor de uitvoering van zijn taken.

Ook het register voor de verwerkingsactiviteiten blijft een zorgenkind. Meerdere verwerkingsverantwoordelijken konden na verzoek niet per kerende een kopie of volledig ingevuld register voor de verwerkingsactiviteiten overmaken. Het gaat vaak om een onvolledig werkdocument. Zo ontbreken soms bepaalde verwerkingen in het register voor de verwerkingsactiviteiten die in de praktijk worden vastgesteld; in een bepaald dossier werd bijvoorbeeld Covid-19 aangehaald als reden voor het onvolledige register voor de verwerkingsactiviteiten. Het register voor de verwerkingsactiviteiten is dus een belangrijke plicht en werkmiddel dat echter door vele verwerkingsverantwoordelijken (nog) niet afdoende au serieux wordt genomen.

Tenslotte valt het de Inspectiedienst op dat cookietechnologie nog steeds niet voldoende conform de AVG wordt toegepast en dat verwerkingsverantwoordelijken niet steeds weten hoe hiermee correct om te gaan. Verantwoordelijken doen vaak beroep op een verwerker zonder zelf over de nodige kennis te beschikken. Hierdoor worden websites ontworpen met inbreuken op de vereisten van toestemming voor niet noodzakelijke cookies, gebrekkige informatie en transparantie en inbreuken op de plicht van gegevensbescherming via het webdesign. Er wordt ook courant vastgesteld dat een verantwoordelijke geen concrete en correcte afweging van belangen kan voorleggen in plaats van enkel het eigen “gerechtvaardigd belang” aan te voeren, en dat geen sprake is van een geldige toestemming. De Inspectiedienst wijst erop dat bij het ontwerpen van websites en het opstellen van de cookieverklaringen steeds grondig nagedacht moet worden op welke wijze de website zal rekening houden met de voormelde aandachtspunten, hoe eventuele cookietechnologie zal worden ingebouwd, op welke wijze dit transparant zal worden meegedeeld aan de betrokkene, en hoe dit zal worden gedocumenteerd in de cookieverklaring. Wat dit alles betreft zijn de transparantieplicht en de informatieplicht essentieel.

 

De verdere uitbouw van de Inspectiedienst

Voor de Inspectiedienst was 2020 een belangrijk jaar onder meer gelet op de verdere uitbouw van de dienst. Hij kreeg bijvoorbeeld 2 inspecteurs extra. Een persoon verliet ook de dienst. Dit had dus maar een beperkt effect op de hoge werklast. Bovendien beschikte de Inspectiedienst in 2020 nog steeds niet over een eigen secretariaat hoewel de GBA-wet bepaalt dat de Inspectiedienst beschikt over een eigen secretariaat voor de uitvoering van haar opdrachten. De twee nieuwe inspecteurs konden in 2020 ook (nog) niet op een structurele manier aangetrokken worden in die zin dat ze voorlopig maar voor bepaalde duur kunnen ingezet worden.

Nochtans merkt de Inspectiedienst aan het aantal klachten en vragen om onderzoek en de inhoud van de parlementaire vragen dat zowel de nood als de verwachtingen die van haar worden gesteld hoog zijn. Naast het dagdagelijkse werk, wat er voornamelijk in bestaat om klachtendossiers (doorgestuurd door de geschillenkamer) verder in detail te onderzoeken en de opvolging van dossiers die het directiecomité doorstuurt (gelet op relevante actualiteit welke nader onderzoek vergt) bleef er in 2020 weinig tot geen ruimte over zelf op een meer proactieve manier onderzoeken op te starten op eigen initiatief. Nochtans heeft de Inspectiedienst al in het verleden duidelijk aangegeven dat ze niet alleen reactief te werk wil gaan, maar ook proactief – een gegeven dat tot op heden onder druk staat. Deze aanpak kan belangrijke inzichten opleveren. In 2020 heeft de Inspectiedienst in dat verband bijvoorbeeld een eigen onderzoek verder opgevolgd en afgerond rond cookiegebruik op de “meest populaire” Belgische mediawebsites die een aanzienlijk aantal bezoekers over de digitale vloer krijgen en waar dus een belangrijk aantal persoonsgegevens wordt verwerkt.

Tenslotte besteedde de Inspectiedienst ook de nodige aandacht aan het verder optimaliseren en uitwerken van de verschillende onderzoekshandelingen die ter beschikking staan van de dienst. Een beperkte greep uit het aanbod geeft meer duiding. Zo lijken de onderzoekshandelingen van het plaatsbezoek en het verhoor een bijzonder potentieel te hebben qua efficiëntie en snelheid van onderzoek in vergelijking met een schriftelijke wijze van bevraging. De intentie is dus om deze technieken nog meer in te zetten dan mogelijk was in 2020. De Covid-19 pandemie en de algemene verplichting tot telewerk had een significante impact op deze mogelijkheden. Een plaatsbezoek en een verhoor (ter plaatse of in de lokalen van de GBA) bleek in deze context niet evident.

Andere interessante evoluties om in het jaarverslag te vermelden zijn onder meer:

  • de Inspectiedienst kreeg operationele toegang tot enkele officiële databanken waaronder bijvoorbeeld het Rijksregister en (het niet publieke gedeelte van) de KBO om haar taken naar behoren te kunnen vervullen;
  • de eerste maal dat voorlopige maatregelen werden opgelegd, een bevoegdheid waar voorzichtig mee wordt omgesprongen gelet op de mogelijke impact ervan;
  • er werd een protocolakkoord afgesloten met DNS om duidelijk de procedure vast te leggen om de toegang tot bepaalde websites met .BE extensie te kunnen blokkeren als voorlopige maatregel en
  • een protocolakkoord werd afgesloten tussen de verschillende federale toezichthouders op het vlak van gegevensbescherming, welke ook voor de Inspectiedienst dagdagelijks van belang is wegens de nood aan enkele ad hoc en structurele samenwerkingsverbanden.

Een overzicht van alle dossiers behandeld door de Inspectiedienst sinds 2018 is hier te vinden :

Jaar Alle dossiers GK Dirco INS Afgesloten Eigen sepot Op hold Lopende FR NL  
2018 70 67 2 1 45 29 nvt 25 20 50  
2019 85 67 10 8 61 10 nvt 25 33 52  
2020 149 123 18 8 61 14 nvt 88 71 78