De wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (hierna “GBA-wet”) omschrijft de Inspectiedienst vrij summier als “het onderzoeksorgaan van de Gegevensbeschermingsautoriteit”. Concreet betekent dit dat de Inspectiedienst belast is met het onderzoeken van klachten over en ernstige aanwijzingen van inbreuken op de Europese en Belgische wetgeving inzake persoonsgegevens waaronder de Algemene Verordening Gegevensbescherming (hierna "de AVG").

De Inspectiedienst wordt geleid door Inspecteur-Generaal Peter Van den Eynde en is samengesteld uit inspecteurs. De inspecteurs hebben verschillende profielen (auditors, experten informatieveiligheid en juristen) zodat een multidisciplinaire benadering mogelijk is. Op die manier kunnen zowel technische, organisatorische als juridische aspecten onderzocht worden.

De Inspectiedienst oefent op een onafhankelijke, planmatige, professionele, efficiënte en discrete wijze controle activiteiten uit d.m.v. (niet-) periodieke monitoring en thematische inspectieopdrachten op (inter-) nationale verwerkingen in de publieke en private sector gebaseerd op en rekening houdend met de relevante risico’s onder de AVG en aanverwante wet- en regelgevingen op de gegevensbescherming (bijv. camerawetgeving).

De Inspectiedienst beschikt over een uitgebreid arsenaal aan onderzoeksmogelijkheden. Om een dossier te onderzoeken kunnen de Inspecteur-Generaal en de inspecteurs indien zij dat nodig achten conform de GBA-wet:

  • personen identificeren;
  • personen verhoren;
  • een schriftelijke bevraging houden;
  • onderzoeken ter plaatse voeren;
  • informaticasystemen raadplegen en de gegevens die ze bevatten kopiëren;
  • informatie elektronisch raadplegen;
  • goederen of informaticasystemen in beslag nemen of verzegelen;
  • de identificatie van de abonnee of de gewoonlijke gebruiker van een elektronische communicatiedienst of van het gebruikte elektronisch communicatiemiddel vorderen.

De GBA-wet voorziet verschillende manieren om een dossier te laten opstarten door de Inspectiedienst. Een dossier kan voornamelijk worden opgestart:

  • op initiatief van het Directiecomité als er ernstige aanwijzingen van een inbreuk zijn, als het nodig is om samen te werken met een buitenlandse gegevensbeschermingsautoriteit, of als er een vraag komt van een rechterlijke instantie of een administratieve toezichthouder.
  • op initiatief van de Geschillenkamer als er een klacht is waarvoor een onderzoek nodig is, of als een aanvullend onderzoek nodig is.
  • op initiatief van de Inspectiedienst zelf als er ernstige aanwijzingen van een inbreuk zijn.

Er werd ook een Charter van de Inspectiedienst uitgewerkt dat periodiek wordt bijgewerkt op basis van nieuwe praktijken en inzichten. Dit charter wil het grote publiek en iedereen die in aanraking komt met de Inspectiedienst informeren over het concrete verloop van een inspectie, de verschillende mogelijke onderzoekshandelingen van de Inspectiedienst en de verdere gevolgen ervan.

In het algemeen merkt de Inspectiedienst op (zie ook verder bij de cijfers) dat dossiers complexer worden, niet alleen inhoudelijk, maar ook op procedureel vlak. Na enkele jaren praktijkervaring krijgt de Inspectiedienst van tijd tot tijd de opmerking dat de hoeveelheid gestelde vragen niet altijd proportioneel lijkt in verhouding tot het dossier of dat de vragen zeer algemeen zijn.

Los van de algemene bevragingstechniek die start met het vragen naar de toegang tot stukken die normaal aanwezig moeten zijn als deel van een normale “gegevensbeschermingshuishouding” gelet op de verantwoordingsplicht (bvb. verwerkingsregister, register van incidenten…), zijn andere vragen soms vrij algemeen of vaktechnisch.

Sommige algemene vragen hebben tot doel om eerst de context van de verwerking te begrijpen en de middelen waarover een verwerkingsverantwoordelijke kan beschikken te kennen (bvb. vragen naar de omzet, jaarverslag…). Elke casus is anders en vergt dus een unieke beoordeling en inschatting naargelang de risico’s verbonden aan de aard en omvang van de verwerking, de “core” activiteiten van een verwerkingsverantwoordelijke en de wettelijke of deontologische regels waaraan deze al dan niet onderworpen is (bvb. lokale of regionale overheid, dokterspraktijk of ziekenhuis, data broker, telecom operator…).

De inhoud van de vragen kan ook in een meer positief daglicht worden gesteld. Dikwijls is de achterliggende reden van sommige vragen van opvoedkundige aard (bvb. vragen naar de betekenis van bepaalde woorden in een privacyverklaring of over de technische vaststelling van cookies of tracking op een website…). Deze vragen faciliteren derhalve de bewustwording van bepaalde problemen en laten de bevraagde toe om reeds tijdens de duur van het onderzoek over te gaan tot een bijstelling van de verwerking. De verantwoordingsplicht, één van de sleutelelementen in de AVG, verplicht de verwerkingsverantwoordelijke ook om over elke concrete verwerking in detail na te denken, dit proces intern te documenteren en na te gaan of deze effectief AVG conform is.

De vragen dienen met andere woorden niet alleen het onderzoek van een dossier “ten laste” maar kunnen ook sensibiliserend werken naar diezelfde verwerkingsverantwoordelijke, wat deze toelaat om reeds tijdens het onderzoek een aantal aanpassingen te doen. Op die manier wordt de verantwoordelijke uitgenodigd om  grondig na te denken over allerhande aspecten van zijn verwerkingen en kan hij meer precies beoordelen  of zijn verwerking(en) wel of niet conform de AVG is (zijn) en desgevallend bijsturen.

De inspectiefase kan dus ook aanzien worden als een sturingsinstrument waarbij het doel van een deel van de bevraging is om ervoor te zorgen dat de AVG wordt nageleefd zonder dat het opleggen van een boete het enige doel zou zijn, laat staan dat een boete op zich heiligmakend is. In verschillende dossiers heeft deze methode van een algemene, gelaagde en diverse bevraging al meermaals geleid tot concrete resultaten ofwel tijdens de inspectiefase, ofwel nadien tijdens de procedure voor de geschillenkamer ofwel op het einde van de rit na een beslissing ten gronde.

Het al dan niet proportionele karakter van de hoeveelheid vragen is bovendien niet altijd van in het begin van een dossier vast te stellen. De Inspectiedienst werkt dus niet met een “vaste” aanpak van dezelfde vragen voor alle dossiers. Zoals hiervoor vermeld dient ze soms eerst zicht te krijgen op de algemene problematiek  (bvb. indien de GBA geen recente richtlijnen heeft gepubliceerd over een bepaald type techniek of verwerking) alvorens een evenwichtige beoordeling te kunnen maken over een specifiek punt of probleem. Zoals gezegd kan het aantal vragen daarnaast dus ook de nodige reflectie aanmoedigen over de beoordeling van een aantal risico’s door de bevraagde verwerkingsverantwoordelijke die niet eerder in rekening werden gebracht.

De heropstart van de Schengen audits

In het kader van het evaluatie- en toezichtmechanisme voor de controle op de toepassing van het Schengenacquis voert de GBA en in het bijzonder de Inspectiedienst “audits” uit.

Deze audits bestaan uit een nationaal luik en een Europees luik. Het nationale luik is het auditeren van een aantal spelers op het vlak van gegevensbescherming. Zo controleert de Inspectiedienst momenteel de FOD Buitenlandse Zaken en de dienst Vreemdelingenzaken. Dit voornamelijk via een auditprogramma. In dat kader voert ze audits uit op Belgisch grondgebied, maar ook in de Belgische ambassades in het buitenland.

Het werd reeds meermaals vermeld. Hoewel deze auditopdracht niet terug te vinden is in de GBA-wet genereert ze behoorlijk wat werklast voor een dienst van 9 inspecteurs. Aangezien voor deze opdracht toegang nodig is tot geclassificeerde documenten zijn momenteel slechts 3 inspecteurs (en de Inspecteur-Generaal) belast met deze audits.

Een audit omhelst een gans traject: ten eerste het opstellen en opsturen van een uitgebreide vragenlijst aan de verwerkingsverantwoordelijke alsook aansluitend het doornemen van de antwoorden en dit ter voorbereiding van een plaatsbezoek. Vervolgens het plaatsbezoek zelf (als dit een ambassade betreft impliceert dit meteen een verplaatsing naar het buitenland van verscheidene dagen) en tenslotte het opsturen van een (tussentijds) rapport en de verwerking van de antwoorden ervan. Als deze verwerkingsverantwoordelijke werkt met een verwerker, dringt ook bij deze zich een audit op om een volledig zicht te krijgen op de volledige verwerking.

Belangrijk bij deze audits zijn effectief de plaatsbezoeken– een vragenlijst geeft immers al een zeker beeld maar via het plaatsbezoek krijgt de Inspectiedienst een nog gedetailleerder beeld van de verschillende verwerkingen en kunnen de antwoorden uit de vragenlijst beter gekaderd en aangevuld worden.

Tijdens de Covid periode stonden deze audits on hold omdat plaatsbezoeken niet mogelijk waren terwijl ze net een wezenlijk onderdeel uitmaken van die audits. In 2022 zijn de plaatsbezoeken opnieuw kunnen doorgaan en werd verder het ICT aspect van de specifieke verwerkingen bij de FOD Buitenlandse Zaken onder de loep genomen. Tevens werd de ambassade van Londen (en haar verwerker – de zogenaamde ESP “external service priovider”) geauditeerd.

De auditopdracht is op zich complex: een deskundige moet zich bekwamen in zowel de AVG als in de Europese SISII en VIS verordeningen. Hij of zij moet de Engelse taal voldoende machtig zijn én moet zowel juridisch als technisch onderlegd zijn alsook audit vaardigheden hebben om de evaluatie ter plaatse uit te voeren binnen een streng afgebakende methodologie en tijdsframe. Tot op heden is geen specifieke opleiding voorzien (dus ‘on the job’).

De werklast die verbonden is aan het auditwerk zal alleen maar pertinenter worden gelet op nieuwe Europese IT systemen binnen dit Schengenacquis (bvb. ETIAS, EES…) en de zogenaamde interoperabiliteitsverordening.

Tot op heden valt anderzijds de bereidwillige samenwerking met de geauditeerden op alsook het feit dat de audits effectief tot resultaten leiden. Dit  zowel tijdens de audit zelf als nadien wanneer de verwerkingsverantwoordelijke zich tracht te conformeren en effectief de gemaakte aanbevelingen ter harte neemt.

In het kader van dit Schengenacquis en de deelname aan Europese werkgroepen heeft de Inspectiedienst al kunnen bekomen dat ook brochures/leaflets aan de “buitengrenzen” konden verspreid worden die de betrokken personen informeerden over het nemen van hun digitale vingerafdrukken.

Het fenomeen van “web scrapen” van informatie op publieke websites

In het algemeen is er de laatste jaren duidelijk een trend zichtbaar naar een meer data gedreven wereld. Binnen vele domeinen is immers het verzamelen en het bezitten (het “verwerken”) van data (“persoonsgegevens”) om deze te analyseren en te koppelen aan andere data of algoritmes van een steeds groter belang.

Een van de technieken die deze groei aansturen is dat er meer en meer gebruik wordt gemaakt van het zogenaamd “web scrapen” van informatie vanop publiek toegankelijke websites.

“Web scraping” is kort door de bocht het afhalen (=”scrapen”) van informatie van eerder vermelde websites. De techniek hanteert specifieke software om die informatie (dikwijls dus persoonsgegevens) te extraheren en desgevallend vervolgens op te slaan en te analyseren. Op het internet is immers dikwijls veel data beschikbaar die interessant kan zijn voor de ene of de andere partij. Handmatig die informatie verwerken kost te veel tijd en bovendien wijzigt die informatie regelmatig. Met behulp van dat “scrapen” kan dit via een vrij geautomatiseerd proces gebeuren en kan er dus op een grootschalige manier persoonsgegevens (verder) verwerkt worden.

Het is echter een nog steeds wijdverspreid misverstand (soms bewust gecultiveerd) dat publieke informatie ook zomaar kan (verder) gebruikt worden. De AVG bevat immers meerdere regels die het zomaar “scrapen” aan banden legt en terecht.

Een eerste probleem is dikwijls het vinden van een legitieme grondslag voor de verdere verwerking van de betrokken persoonsgegevens. Toestemming in de praktijk is dikwijls heel problematisch en ook het inroepen van het zogenaamde “gerechtvaardigd belang” is zonder het uitvoeren van een onderzoek van de risico’s geen evidente keuze laat staan dat het voldoende is om het “gerechtvaardigd belang” in te roepen om de verwerking als gerechtvaardigd en legitiem te beschouwen in het licht van de AVG.

Een ander probleem is eveneens de gebrekkige transparantie en het feit dat het bvb. niet duidelijk is wat de bron is van de bekomen informatie, wie precies achter het “scrapen” zit en wat het precies doel is van deze concrete verwerking, en of de verkregen data worden gekoppeld aan een algoritme teneinde een nieuwe verwerking (nieuw concreet doel) na te streven.

Wat de Inspectiedienst meer en meer opvalt is dat het niet steeds duidelijk is afgesproken wie precies de verwerkingsverantwoordelijke is en vooral waar deze zich precies fysiek situeert qua locatie. Voor Belgische of Europese verwerkingsverantwoordelijken zijn er over het algemeen voldoende mogelijkheden om over te gaan tot identificatie van deze entiteit en vervolgens zelf of via hulp van andere Europese toezichthouders over te gaan tot verder onderzoek en resultaten te boeken bij het correct identificeren van deze verwerkingsverantwoordelijke.

Wat de Inspectiedienst echter opvalt is dat die verwerkingsverantwoordelijken of hun verwerkers zich meer en meer situeren in wat we “exotische” bestemmingen kunnen noemen, met name buiten de Europese Unie en in landen waar niet meteen een min of meer vergelijkbare gegevensbeschermingsautoriteit (zoals de Europese in het licht van de AVG) bestaat.

Dit bemoeilijkt de onderzoeksmogelijkheden van de Inspectiedienst (en natuurlijk vervolgens de eventuele verdere handhaving). De Inspectiedienst tracht steeds een concreet aanknopingspunt te vinden maar dit is niet altijd evident en soms vergt dit een bijkomende  werklast. In sommige gevallen lukt het om een mailadres te vinden en effectief ook antwoord te krijgen omtrent bvb. de concrete wissing van de persoonsgegevens van de klager maar is het problematischer om het systeem zelf van scraping aan te pakken. In andere gevallen is er mogelijks een overheidsinstantie te contacteren maar ook dit is niet steeds een garantie op succes als de overheid niet is gevestigd in een land met adequate gegevensbescherming.

Deze vaststelling zorgt ervoor dat de Inspectiedienst  in dergelijke dossiers haar standaard aanpak dient aan te passen naar het voorbeeld van andere toezichthouders die haar hierin reeds zijn voorgegaan. Dit valt te betreuren valt aangezien dergelijk fenomeen van scrapen telkens wel op een grootschalige manier gebeurt en er steeds sprake is van een massale verwerking van persoonsgegevens. 

Het inzetten op meer seponeringen

In eerdere jaarverslagen werd reeds gewezen op de niet geringe werklast, niet alleen bij de GBA maar ook bij de Inspectiedienst. Hoewel de AVG bedoeld is als een meer laagdrempelige afhandeling van “data privacy” gerelateerde dossiers en de GBA dit idee niet ongenegen is, dienen er wel mechanismen gevonden te worden om de werklast onder controle te houden en dossiers niet te lang te laten aanslepen. Dit noch voor de betrokkenen, noch voor de GBA in het algemeen en de Inspectiedienst in het bijzonder.

Met het strategisch plan in het achterhoofd en de verschillende prioriteiten en de terugkerende problemen die door de GBA en haar rechtsvoorganger door de jaren heen werden gedetecteerd, heeft de Inspectiedienst van de wetgever een discretionaire bevoegdheid gekregen om haar werklast op een aanvaardbaar peil te houden.

Eén van de mogelijkheden die de Inspectiedienst heeft, is met name de mogelijkheid om een dossier zonder gevolg te klasseren (“seponering”), zoals voorzien in de GBA-wet.

In het verleden hanteerde de Inspectiedienst reeds deze optie als zij bvb. van de klager geen bijkomende gedetailleerde informatie kreeg om de zaak correct te kunnen aanvatten, als de klager tijdens het onderzoek zelf aangaf dat de klacht mocht afgesloten worden (als de klager bvb. reeds een afdoende oplossing bekwam van de tegenpartij) of als duidelijk was (na al dan niet bijkomend onderzoek) dat de GBA niet bevoegd was.

De Inspectiedienst besliste in 2022 om de seponering ook te gaan gebruiken als een soort van beleidsinstrument, enerzijds om de toenemende werklast onder de dossiers die gebaseerd zijn op een klacht te beheersen en anderzijds om bepaalde dossiers zelf meer gericht te kunnen sturen door het starten van een onderzoek uit eigen beweging.

Hiervoor hanteert de Inspectiedienst het gepubliceerde sepotbeleid van de geschillenkamer. Enerzijds wenst ze, in functie van bvb. het strategisch plan en haar prioriteiten meer het verschil te maken tussen enerzijds dossiers die beperkt in omvang zijn en enkel een louter individueel belang dienen en anderzijds dossiers waar er ook een ruimer maatschappelijk belang bij gemoeid is. De Inspectiedienst onderzoekt evenwel niet enkel wanneer een verwerking een impact kan hebben op een ruimer publiek of ten goede kan komen aan de maatschappij (bvb. haar onderzoek uit eigen beweging op de betwistbare proportionaliteit van de COVID scan maatregelen op de Waalse luchthaven naast het analoge onderzoek dat op verzoek werd uitgevoerd op de luchthaven in Zaventem). Zij wenst ook meer aandacht te geven aan de ontvangst van meerdere signalen die er op wijzen dat eerdere beslissingen van de Geschillenkamer niet worden gevolgd door de verwerkingsverantwoordelijke of dat een bepaald type klachten tegen een bepaalde verwerkingsverantwoordelijke steeds blijft terugkomen, hetgeen wijst op een onderliggend “data privacy probleem”

De bedoeling van de tussenkomst is in eerste instantie immers het ervoor zorgen dat de AVG wordt toegepast, waarbij de boete of een andere sanctionering niet noodzakelijk het doel op zich is. De visie van de GBA is nog steeds “leiden naar een digitale wereld waar privacy een realiteit is voor iedereen”. In dat kader kon reeds worden vastgesteld dat de tussenkomst van de Inspectiedienst op eigen initiatief vaak reeds tijdens het onderzoek leidt tot concrete resultaten en dus tot een grotere AVG conformiteit. Dit toont aan dat er inderdaad een toegevoegde waarde uitgaat van gerichte onderzoeken op eigen initiatief.

Indien er al tijdens de inspectiefase resultaten geboekt worden, is het niet steeds noodzakelijk in welbepaalde afgelijnde dossiers dat het dossier nog verder gezet moet worden door bvb. een verdere behandeling door de Geschillenkamer. Een klassering zonder gevolg door de Inspectiedienst is dan ook een optie.

Zonder het woord “ingebrekestelling” te hanteren kan een proactieve aanpak van het onderzoeken “uit eigen beweging” voor een groep aan betrokkenen die soms systematisch hetzelfde probleem melden bij de GBA ten aanzien van dezelfde verantwoordelijke een nuttige en proportionele aanwending van de beperkte onderzoeksmiddelen  blijken. Er is immers door meer gerichte onderzoeken een hogere kans op een concreet resultaat waarbij de kans op de naleving van de AVG tijdens het onderzoek verhoogt en waarbij wordt vermeden dat jarenlange procedures moeten worden gevoerd voor de Geschillenkamer en het Marktenhof. Deze werkwijze bespaart dus tijd en middelen in vergelijking met een meer reactieve aanpak waarbij gelijkaardige klachten niet worden gebundeld.

Een dergelijke aanpak is natuurlijk niet voor elk dossier mogelijk en zal dan ook steeds van geval tot geval moeten bekeken worden. Een evaluatie van de toename aan  seponeringen om ruimte te maken voor meer gerichte proactieve onderzoeken is gepland voor eind 2023.

Verwezenlijkingen in cijfers

De Inspectiedienst voert inspecties uit op eigen initiatief, op vraag van de Geschillenkamer of van het Directiecomité. Sommige inspecties vereisen een lange uitvoeringstermijn. In 2022 werden 101 inspecties afgerond. In 26 gevallen besliste de Inspectiedienst om een dossier te seponeren. De Inspectiedienst legde in 2022 ook 1 maal een voorlopige maatregel op.

In 2022 werden:

  • 87 nieuwe dossiers bij de Inspectiedienst aanhangig gemaakt door de Geschillenkamer. Deze dossiers zijn afkomstig van inkomende klachten. Uit deze klachten merken we enkele steeds terugkerende clusters op van onderzoeksthema’s:
    • Verschillende dossiers handelden over bewakingscamera’s en de camerawetgeving in België. Om de werklast te beperken en om het onderzoek meer efficiënt te laten verlopen, werd telkens op eenzelfde manier beroep gedaan op de lokale politiediensten om vaststellingen te verrichten. Dit zorgt voor een daling van de eigen werklast en heeft ook te maken met het feit dat de lokale politiediensten beter op de hoogte zijn van de concrete lokale situatie. De Inspectiedienst stelt ook vast dat  vaststellingen van de lokale politie op het terrein ook een duidelijke draagkracht en impact hebben en zorgen voor meer effectieve bescherming dan wanneer de situatie “op afstand” wordt bevraagd. Hoewel het dikwijls andere (lokale) politiezones betrof, is de samenwerking met de lokale politie in de cameradossiers telkens vlot verlopen;
    • Aangezien een website dikwijls een visitekaartje is voor de verwerkingsverantwoordelijke en een eerste toegang vormt tot diezelfde verwerkingsverantwoordelijke blijft de Inspectiedienst aandacht hebben voor een voldoende kwalitatieve privacyverklaring en daaruit volgend  gegevensbeschermingsbeleid. Bijhorend blijft het ook een prioriteit om na te gaan op welke manier er wordt omgegaan met cookies en tracking. Het valt de Inspectiedienst hierbij op dat er nog regelmatig door verwerkingsverantwoordelijken dient bijgestuurd te worden en de plaatsing van deze cookies niet altijd op een correcte privacy vriendelijke manier gebeurt. In dat kader is in 2022 ook bijzondere aandacht gegaan naar Google Analytics. Verschillende Europese toezichthouders  hebben hieromtrent in 2022 uitspraak gedaan en de Inspectiedienst heeft in dat kader al verscheidene dossiers aan de Geschillenkamer afgeleverd om hieromtrent effectief ook een beslissing te nemen die aansluit met beslissingen in andere lidstaten;
    • Het thema direct marketing blijft ook voldoende aandacht opeisen. Deze verwerkingen kunnen vergeleken worden met een ijsberg waar de impact van het deel boven de waterlijn op zich niet altijd even grote problemen lijkt te geven, maar vooral het minder transparante deel onder de waterlijn bij nader onderzoek de nodige aandacht blijft opeisen van de Inspectiedienst. In dat kader neemt vooral de problematiek van zogenaamde “data brokers” een centrale positie in, waarbij niet alleen de correcte grondslag maar ook de nodige transparantie de nodige aandacht vergen.
  • 9 nieuwe dossiers bij de Inspectiedienst aanhangig gemaakt door het directiecomité. Deze dossiers betreffen voornamelijk de behandeling (de escalatie) van gegevenslekken.
  • 5 nieuwe dossiers door de Inspectiedienst op eigen initiatief opgestart.
  • Opnieuw werd in 2022 een voorlopige maatregel opgelegd. Ditmaal aan een stad die een project rond geluidsoverlast in een bepaalde wijk opzette waarbij een massale verwerking plaatsvond van persoonsgegevens. De maatregel werd verlengd, maar uiteindelijk besloot de verwerkinqsverantwoordelijke om het project effectief stop te zetten. Er werd geen beroep aangetekend tegen het opleggen van de voorlopige maatregel.

Hieronder kan een tabel teruggevonden worden met meer cijfermateriaal. Het valt op dat de Inspectiedienst minder dossiers heeft behandeld dan in 2021.

Voor de huidige ploeg van 9 personen (2022) is gebleken dat 150 dossiers wat werklast (en welzijn op het werk) betreft moeilijk vol te houden is en dit op verschillende vlakken:

  • Het aantal vermelde dossiers betreft enkel het “inspectiewerk”. Zoals reeds eerder vermeld verricht de Inspectiedienst ook audits die aan belang blijven toenemen wat ook druk zet op het aantal mogelijk te behandelen inspectiedossiers. 3 inspecteurs dienen immers hun tijd te verdelen tussen dit auditwerk en de inspectieopdrachten – een daling van de cijfers laat dan ook toe om meer tijd in dergelijke audits te steken (vanuit Europa merkt de Inspectiedienst immers ook op dat nieuwe wetgeving dergelijke verhoogde aandacht vereist);
  • De Inspectiedienst telde in 2022 9 inspecteurs, waarvan 2 een specifiek ICT profiel hebben. Beide profielen ondersteunen in hoofdzaak de andere 7 collega’s aangezien het een trend is dat de meeste onderzoeken zowel een juridisch als een technisch component in zich hebben. Dergelijke specifieke technische onderzoeken vergen de nodige tijd;
  • De daling van het aantal dossiers heeft ook toegelaten om in de meer principiële dossiers in de diepte te kunnen gaan – niet alleen inhoudelijk worden de vraagstukken complexer maar ook op het vlak van verschillende procedurele elementen merkt de Inspectiedienst op dat bepaalde dossiers meer aandacht vragen.
  • Het werken in de diepte laat de Inspectiedienst toe om naar de Geschillenkamer en de verwerkinqsverantwoordelijke toe kwalitatief betere verslagen af te leveren die aanleiding geven tot minder en vermijdbare betwistingen voor het Marktenhof. Meer gerichte confrontaties van de verwerkingsverantwoordelijke tijdens het onderzoek met bevindingen in technische verslagen of verslagen met vaststellingen van websites zorgt voor beter gemotiveerde en minder betwistbare vaststellingen voor de Geschillenkamer en het Marktenhof. Het meer gericht zijn op kwalitatieve onderzoeken in plaats van de hoeveelheid aan onderzoeken spaart ook tijd en middelen uit.
  • In 2021 had de Inspectiedienst 75% afgesloten dossiers, een percentage dat in globo verhoogd is naar 83%. Hoewel een lange(re) behandelingstermijn niet kan uitgesloten worden wegens verschillende redenen, verdient het zoveel als mogelijk de voorkeur om dossiers niet te lang te laten aanslepen. Door enerzijds minder dossiers te moeten behandelen, door ervaring/professionalisme en meer efficiëntie door bvb. seponeringen is dit percentage verhoogd kunnen worden.
  • De verhouding tussen Nederlandstalige en Franstalige dossiers blijft in globo min of meer hetzelfde in de zin dat er steeds meer Nederlandstalige dossiers zijn waarbij het verschil soms fluctueert.
  • Belangrijk is ook met name dat de doorlooptijd en achterstand niet vergroot.
  • Het percentage van dossiers aanhangig gemaakt door de Inspectiedienst zelf blijft echter nog steeds (te) laag. Een steeds terugkerende vaststelling hierbij blijft dat de Inspectiedienst door de blijvende hoge werklast nog (te)  weinig vrije marge heeft om proactief op te treden en dus uit eigen beweging dossiers kan opstarten. Dit laatste is een element dat zowel de Inspecteur-Generaal als de inspecteurs zorgen blijft baren.

Nochtans geeft de Inspectiedienst nog nadrukkelijker aan dan voorheen dat er nadelen verbonden zijn aan het vooral reactief en op “hoog volume” te werk gaan, en dat de intentie tot het meer “proactief” werken met gebruik van meer onderzoeksbevoegdheden tot op heden onder druk blijft staan en dus nog (te) beperkt blijft.

Een nog hogere seponeringsgraad kan hieraan verhelpen als de sepottrend zich doorzet, alsook het feit dat eind 2022 de Kamer van Volksvertegenwoordigers een kaderuitbreiding voor de GBA heeft goedgekeurd. Deze kaderuitbreiding zal pas ten volle effect hebben tegen eind 2023 als personen effectief aangeworven zijn en ook een noodzakelijke  inloopperiode hebben kunnen doorlopen.

De rode lijn blijft dat de inspecteurs de meerwaarde zien van het openen van meer gerichte dossiers op eigen initiatief in vergelijking met de meer reactieve aanpak die vooral gericht is op het afhandelen van een hoog volume aan klachten zoals toegepast bij de opstart van de Inspectiedienst in 2019.

Daarnaast werden in 2023 ook enkele ad hoc opdrachten uitgevoerd die betrekking hadden op deelname aan internationale werkgroepen m.b.t. verwerkingen voor VIS en Eurodac en het uitwerken van audit en inspectiemethodologieën. Deze specifieke opdrachten werden niet toegevoegd aan onderstaande tabel:

Alle dossiers

Aanhangigmaking

Resultaat

Taal

Samenwerking

 

GK

DIRCO

INS

Afgesloten

Seponering

Lopende

FR

NL

Internationaal

COC

2018

70

67

2

1

70

29

0

20

50

12

1

2019

86

67

11

8

85

12

1

33

53

13

2

2020

153

129

17

7

135

18

18

75

78

7

0

2021

147

134

9

4

118

12

29

61

86

4

0
2022 101 87 9 5 57 26 44 35 66 9 0

Totaal

557

484

48

25

465

97

92

224

333

45

3

(Opm. De gegevens van voorgaande jaren werden verder lichtjes aangepast. Sommige dossiers worden op het jaareinde aanhangig gemaakt en kunnen daardoor anders berekend zijn waardoor kleine correcties in de statistiek noodzakelijk zijn om de weergave bij te stellen).

Aan het einde van het onderzoek stelt de betrokken inspecteur in samenspraak met de Inspecteur-Generaal een verslag op dat bij het dossier wordt gevoegd. In het verslag worden naast de gebruikte onderzoeksmogelijkheden, de vaststellingen van de Inspectiedienst en de beslissing van de Inspecteur-Generaal vermeld.

De Inspecteur-Generaal kan rekening houdend met de vermelde vaststellingen één van de volgende beslissingen nemen:

  • het dossier overmaken aan de voorzitter van de Geschillenkamer;
  • het dossier overmaken aan de procureur des Konings wanneer de feiten een strafrechtelijke inbreuk kunnen vormen;
  • het dossier seponeren;
  • het dossier overmaken aan een gegevensbeschermingsautoriteit van een andere staat.

Onderzoekstechnisch werden in 2022 hoofdzakelijk diverse dossiers gefinaliseerd en overgemaakt aan de Geschillenkamer voor verder gevolg. Het resultaat van deze onderzoeken is terug te vinden in de informatie van de werking van de Geschillenkamer en op de website van de GBA. Tijdens de inspectiefase geldt immers het geheim van het onderzoek waardoor de Inspectiedienst dus in het algemeen weinig of niet kan communiceren over lopende dossiers.

De Inspectiedienst blijft in de loop van haar onderzoek vaak  diverse vragen van de betrokken partijen (klagers en advocaten) ontvangen. Deze vragen betreffen de status en/of het verloop van een onderzoek, een vraag om overleg tijdens de duur van het onderzoek, het in vraag stellen van de nochtans in de GBA-wet voorziene mogelijkheid voor de Inspectiedienst om zaken verder te onderzoeken dan is bepaald in de klacht.

Herhaaldelijk heeft de Inspectiedienst in antwoord op deze diverse vragen moeten wijzen op artikel 64 van de GBA-wet dat bepaalt dat het inspectieonderzoek geheim is tot het moment van de neerlegging van het verslag van de Inspecteur-Generaal bij de Geschillenkamer.

Om bepaalde van deze courante vragen op te vangen op een transparante en consistente wijze werden deze behandeld in het publiek charter van de Inspectiedienst. De Inspectiedienst doet een oproep om dit document door te nemen omdat dit op een bondige en niet technische wijze  uitlegt wat wel en wat niet kan/moet verwacht worden van een inspectie(onderzoek).

Hierbij moet wel rekening  worden gehouden met het feit dat de verduidelijking door de Inspectiedienst in haar Charter geen subjectieve rechten geeft aan de bevraagde zoals een “recht op sepot”, laat staan dat de Inspectiedienst zou moeten discuteren met de verwerkingsverantwoordelijke over de wijze waarop het onderzoek wordt gevoerd. De wetgever heeft immers aan de Inspectiedienst een discretionaire bevoegdheid gegeven om haar onderzoekstaken naar eigen inzicht uit te voeren waarbij het a priori niet toekomt aan de bevraagde om de wijze van onderzoek in vraag te stellen.

Eventuele bezorgdheid over de wijze van onderzoek kan wel tijdens de tegensprekelijke fase worden medegedeeld ten aanzien van de Geschillenkamer. De Geschillenkamer blijft immers volstrekt onafhankelijk van het gevoerde onderzoek, hetgeen voldoende waarborg biedt aan de verwerkingsverantwoordelijke die eventueel bezwaren zou hebben over de wijze waarover het onderzoek werd gevoerd.