De wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (hierna “GBA-wet”) omschrijft de Inspectiedienst vrij summier als “het onderzoeksorgaan van de Gegevensbeschermingsautoriteit”. Concreet betekent dit dat de Inspectiedienst belast is met het onderzoeken van klachten over en ernstige aanwijzingen van inbreuken op de Europese en Belgische wetgeving inzake persoonsgegevens waaronder de Algemene Verordening Gegevensbescherming (hierna "de AVG").

De Inspectiedienst wordt geleid door Inspecteur-generaal Peter Van den Eynde en is samengesteld uit inspecteurs. De inspecteurs hebben verschillende profielen (auditors, experten informatieveiligheid en juristen) zodat een multidisciplinaire benadering mogelijk is. Op die manier kunnen zowel technische, organisatorische als juridische aspecten onderzocht worden. Een inspecteur had in 2021 gemiddeld ongeveer 20 dossiers onder zijn beheer. Ten opzichte van vorig jaar blijft dit min of meer stabiel.

De Inspectiedienst oefent op een onafhankelijke, planmatige, professionele, efficiënte en discrete wijze controle activiteiten uit d.m.v. (niet-) periodieke monitoring en thematische inspectieopdrachten op (inter-) nationale verwerkingen in de publieke en private sector gebaseerd op en rekening houdend met de relevante risico’s onder de AVG en aanverwante wet- en regelgevingen op de gegevensbescherming (bijv. camerawetgeving).

De Inspectiedienst beschikt over een uitgebreid arsenaal aan onderzoeksmogelijkheden. Om een dossier te onderzoeken kunnen de inspecteur-generaal en de inspecteurs indien zij dat nodig achten conform de GBA-wet:

  • personen identificeren;
  • personen verhoren;
  • een schriftelijke bevraging houden;
  • onderzoeken ter plaatse voeren;
  • informaticasystemen raadplegen en de gegevens die ze bevatten kopiëren;
  • informatie elektronisch raadplegen;
  • goederen of informaticasystemen in beslag nemen of verzegelen;
  • de identificatie van de abonnee of de gewoonlijke gebruiker van een elektronische communicatiedienst of van het gebruikte elektronisch communicatiemiddel vorderen.

De GBA-wet voorziet verschillende manieren om een dossier te laten opstarten door de Inspectiedienst. Een dossier kan voornamelijk worden opgestart:

  • op initiatief van het directiecomité als er ernstige aanwijzingen van een inbreuk zijn, als het nodig is om samen te werken met een buitenlandse gegevensbeschermingsautoriteit, of als er een vraag komt van een rechterlijke instantie of een administratieve toezichthouder;
  • op initiatief van de geschillenkamer als er een klacht is waarvoor een onderzoek nodig is, of als een aanvullend onderzoek nodig is;
  • op initiatief van de Inspectiedienst zelf als er ernstige aanwijzingen van een inbreuk zijn.

De impact en uitdagingen van de Covid-crisis

Net als in 2020 heeft de aanslepende Covid-19 situatie (waarbij overheidsmaatregelen zoals verplicht/sterk aanbevolen telewerk en sociale afstand werden opgelegd ter bestrijding van de Covid-19 pandemie)  aanleiding gegeven in 2021 tot het regelmatig bijstellen van de door de Inspectiedienst voorop gestelde doelstellingen. De impact van deze gezondheidscrisis is voelbaar voor de Inspectiedienst op verschillende vlakken. Zo lijken de onderzoekshandelingen van een plaatsbezoek en/of verhoor een bijzonder potentieel te hebben qua efficiëntie en snelheid van onderzoek in vergelijking met de klassieke manier van bevraging via het uitsturen van brieven en e-mails.

De bedoeling bestond er in om minstens bovenvermelde 2 onderzoekshandelingen verder te ontwikkelen en ook meer in te zetten.  De Covid-19 situatie en de algemene verplichting/sterke aanbeveling tot telewerk heeft hier echter anders over beslist. Een plaatsbezoek en een verhoor (ter plaatse of in de lokalen van de GBA) bleek in deze context niet realistisch, noch voor de inspecteurs, noch voor de betrokken partij(en).

Een dergelijke impact stelde de Inspectiedienst ook vast op haar auditopdrachten. In de vorige jaarverslagen werd reeds duidelijk gemaakt dat er een belangrijk verschil in aanpak is tussen inspectietaken en auditopdrachten (welke helaas nog steeds niet vermeld worden in de GBA-wetgeving, maar wel een belangrijke werklast met zich meebrengen). Gelet op de bedoeling van een auditopdracht is het hier precies een meerwaarde dat bepaalde aspecten van het auditwerk ook effectief fysiek bij de geauditeerde kan gebeuren wat dus in 2021 niet realistisch bleek. In dat kader werden zowel de nationale als de internationale auditopdrachten sterk bemoeilijkt en op een laag pitje geplaatst. In het verleden is immers gebleken dat een loutere schriftelijke en/of virtuele afhandeling van deze audits niet voldoende is om tot een bevredigend resultaat te komen.

Anderzijds is duidelijk gebleken dat alle inspecteurs in 2021 Covid-19 gerelateerde dossiers gekregen hebben. De aandacht voor deze dossiers (in urgentie) zorgde er soms voor dat de Inspectiedienst in 2021 haar prioriteiten en haar objectieven regelmatig diende aan te passen en dat de klassieke thema’s pas in tweede instantie konden afgehandeld worden. Gelet op de actualiteitswaarde en de aanzienlijke impact op de persoonsgegevens van vele betrokkenen trachtte de Inspectiedienst immers bij voorrang deze Covid 19 gerelateerde dossiers te verwerken. Een bijkomend nadeel van deze noodzakelijkheid was een oplopende behandelingstermijn van de dossiers voor de inspecteurs. De Inspectiedienst merkt in de omgang met klagers of tegenpartijen dat deze lange(re) doorlooptijd soms frustratie durft uit te lokken. De Inspectiedienst benadrukt dergelijke situaties te willen vermijden, maar geeft aan dat met de beperkte middelen de voorrang in dossiers wordt bepaald onder meer op basis van het maatschappelijk belang en het aantal betrokkenen.


Bepaalde privacyaspecten blijven aandacht vragen

Doorheen de verschillende dossiers was de door de AVG opgelegde transparantieverplichting een terugkerend en centraal aandachtspunt in het denkproces van de Inspectiedienst. Verschillende privacyaspecten die centraal staan hebben te maken met één van de kernelementen van de AVG met name transparantie. Dit is één van de beginselen die cruciaal is om betrokkenen controle te geven over hun persoonsgegevens en om een effectieve bescherming van persoonsgegevens mogelijk te maken. Het doel daarbij is om een zo groot mogelijke vertrouwensomgeving voor gegevensverwerking te creëren voor de betrokkenen.

Het verhogen van dat vertrouwen kan via verschillende manieren bereikt worden. De aanduiding en de positie van de functionaris voor gegevensbescherming, beter bekend als de “DPO” is daar een voorbeeld van. Op basis van dagdagelijkse onderzoeken wordt door de Inspectiedienst, waar nodig ook de rol van de DPO mee bekeken, gelet op zijn sleutelfunctie.  Het strategisch plan van de GBA zegt hier bijvoorbeeld over: “Voor de GBA is de FG [DPO] een bondgenoot, een ambassadeur om de missie van de GBA op het terrein (mee) waar te helpen maken”.

Uit een groeiend aantal onderzoeken blijkt dat er nog ruimte voor verbetering en verduidelijking nodig is aangezien de DPO vaak onvoldoende ondersteund wordt, niet of laattijdig betrokken wordt en zijn/haar adviezen niet (voldoende) worden gevolgd. Vaak moet worden vastgesteld dat de DPO (om uiteenlopende redenen) niet voldoet aan de vereisten die de AVG oplegt.

Een ander element dat regelmatig in inspectieonderzoeken wordt meegenomen betreft de zogenaamde privacy policies of privacyverklaringen van verwerkingsverantwoordelijken op hun websites. Transparante en volledige privacyverklaringen moeten ertoe bijdragen dat betrokkenen hun rechten kunnen uitoefenen.

Uit onderzoeken is gebleken dat er op dat vlak nog ruimte is voor verbetering aangezien privacyverklaringen regelmatig onvolledig en/of onduidelijk zijn rond het uitvoeren van bepaalde operaties onder verwerkingen (bv. outsourcing van diensten naar landen buiten de Europa die geen adequate privacywetgeving hebben) en daardoor mogelijks verkeerde verwachtingen durven te scheppen bij de betrokkenen.

Ook voor het register van de verwerkingsactiviteiten stelt de Inspectiedienst vast dat of het verstrekken ervan of de onvolledigheid en juistheid van de informatie een knelpunt blijft. De spiegeling tussen de privacyverklaring en het register van de verwerkingsactiviteiten is een belangrijke maatstaf voor de Inspectiedienst en wordt door de verwerkingsverantwoordelijke soms nog teveel als last dan als essentieel werkmiddel gezien.

Direct marketing en alle vaak minder zichtbare operaties die hieraan in de praktijk worden gekoppeld door sommige verwerkingsverantwoordelijken (datahandel, cold calling, retentiemarketing,...) blijven de aandacht van de GBA vragen.

De Inspectiedienst stelt een blijvende toestroom vast aan inkomende klachten over dit thema die er op wijzen dat technieken worden ingezet waardoor het uitoefenen van de rechten van de betrokkenen minder of niet effectief wordt gemaakt door de brede draagwijdte van het recht van bezwaar in de praktijk te beperken (bv. steeds blijven uitschrijven uit nieuwsbrieven met merkbare frustratie van veel klagers). In dat kader is soms de ontransparante manier van werken van enkele tussenpersonen opvallend.


Aandacht voor de interne werking

De Inspectiedienst merkte in 2021 opnieuw dat het overgrote deel van de behandelde dossiers ofwel via de geschillenkamer toekwamen en dit in het kader van de klachtenbehandeling (vraag tot onderzoek of aanvullend onderzoek) of werden aanhangig gemaakt door het directiecomité omdat bepaalde praktijken (die de GBA vooral via de media vernam) aanleiding gaven tot “ernstige aanwijzingen … van het bestaan van een praktijk die aanleiding kan geven tot een inbreuk op de grondbeginselen van de bescherming van de persoonsgegevens, in het kader van deze wet en van de wetten die bepalingen bevatten inzake de bescherming van de verwerking van persoonsgegevens”.

Van beide opties zijn de vragen van de Geschillenkamer het meest voorkomend.

Een steeds terugkerende vaststelling hierbij is dat de Inspectiedienst weinig vrije marge heeft om proactief op te treden en dus uit eigen beweging dossiers kan opstarten. Dit laatste is een element dat zowel de inspecteur-generaal als de inspecteurs zorgen baart. Nochtans heeft de Inspectiedienst al in het verleden duidelijk aangegeven dat ze niet alleen reactief te werk wil gaan, maar ook proactief – een gegeven dat tot op heden onder druk blijft staan.

Het valt daarbij op dat de GBA en bij uitbreiding de Inspectiedienst in 2021 opnieuw niet de kans gekregen hebben om significant te groeien in het kader van haar werklast. Dit noopt de Inspectiedienst om keuzes te maken welke zaken prioriteit krijgen. Aangezien de instroom van dossiers via het directiecomité maar vooral de geschillenkamer groot blijft, merkt de Inspectiedienst op dat een eigen beleid ontwikkelen in 2021 niet evident was en tot op heden onmogelijk bleek. Desondanks bleef de bereidheid van de inspecteurs en het besef bestaan van de meerwaarde om dossiers op eigen initiatief te openen.

Hoe dan ook worden dossiers wel steeds op een kwalitatieve manier behandeld. Er is bovendien geen typisch onderzoek en de behandelingstermijnen lopen uiteen per dossier gelet op de grote variëteit aan thema’s en complexiteit. Er is een verschil tussen onderzoeken die sinds de start in 2019 routine zijn geworden (bv. cookie onderzoeken, verificatie van de privacyverklaring,… ) en daarom minder tijd vragen dan de nieuwe dossiers waarbij nog expertise moet worden ontwikkeld door de blijvende evolutie van de technologie en marktpraktijk (bv. datahandel, outsourcing, complexere (vaak internationale) verwerkingen waaraan veel partners deelnemen zoals “real time bidding,…).

In 2021 verliet een inspecteur de dienst, onder meer omdat nog niet iedereen binnen de Inspectiedienst op een structurele manier kon aangetrokken worden. En deze onzekere situatie speelt in een dergelijke beslissing evident mee.

2021 was ook het jaar waarin het Rekenhof een audit verrichtte van de GBA. Eén van de specifieke aanbevelingen van deze audit handelde over de Inspectiedienst. Het Rekenhof gaf als aanbeveling dat de Inspectiedienst een “charter” moest uitwerken zodat het grote publiek de dienst beter kon leren kennen.

Voor de inspecteur-generaal en de inspecteurs is het een gegeven dat de Inspectiedienst het minst naar buiten kan komen ten opzichte van de andere diensten binnen de GBA. Zij dient immers rekening te houden met het “geheim van het onderzoek” dat werd verankerd in de wetgeving.

Ook op het terrein en bij eerdere contacten van de Inspectiedienst met externen bleek dat het niet altijd duidelijk was voor wat de Inspectiedienst stond. Het spreekwoord “onbekend is onbemind” is hier inderdaad toepasselijk.

Om al deze vermelde redenen heeft de Inspectiedienst dan ook in de loop van 2021 gewerkt aan een dergelijk publiek “charter”. Dit charter heeft zeker niet de bedoeling om de wetgeving an sich te vervangen.  Bovendien mag er ook niet van uitgegaan worden dat dit charter gedetailleerd alle aspecten van een inspectie en van de Inspectiedienst zelf beschrijft. Dit charter wenst wel het grote publiek en iedereen die in aanraking komt met de Inspectiedienst te informeren over het concrete verloop van een inspectie en de verschillende mogelijke onderzoekshandelingen van de Inspectiedienst, en de verdere gevolgen ervan. Om deze redenen is dit charter in alle transparantie gepubliceerd op de website van de GBA en kan de tekst geraadpleegd worden via: https://www.gegevensbeschermingsautoriteit.be/publications/charter-van-de-Inspectiedienst.pdf 

Belangrijk om te vermelden is trouwens dat dit charter evolutief van aard is, afhankelijk van onder meer de verdere ontwikkeling van de Inspectiedienst en het gebruik van de verscheidene onderzoeksmogelijkheden.  Updates zijn dus ook te verwachten.

Een ander element waar de Inspectiedienst meer wenst op in te zetten is het nemen van voorlopige maatregelen. Gelet op de reeds geciteerde beperkte middelen (budget en personeel) dient de GBA en ook de Inspectiedienst keuzes te maken en is het gevolg vaak dat haar onderzoeken (en de daarop volgende beslissing door de geschillenkamer) langer op zich laten wachten dan gewild. Een interessante onderzoekshandeling die dit nadeel kan overbruggen is het nemen van voorlopige maatregelen in bepaalde uitzonderlijke en gerechtvaardigde omstandigheden.

Deze voorlopige maatregelen creëren echter een bijkomende werkdruk. Mede door dit gegeven en het feit dat de wetgeving stelt dat dergelijke voorlopige maatregelen enkel kunnen “indien dit noodzakelijk is voor het vermijden van een ernstig, onmiddellijk en moeilijk herstelbaar nadeel” gaat de Inspectiedienst spaarzaam om met deze mogelijkheid. In 2021 werd opnieuw gebruik gemaakt van deze optie: https://www.gegevensbeschermingsautoriteit.be/burger/de-gba-schort-de-maatregel-op-waarbij-de-vaccinatiestatus-wordt-gecontroleerd-bij-een-aanwerving-in-een-ziekenhuisnetwerk. Het was ook de eerste maal dat tegen een voorlopige maatregel beroep werd aangetekend. Aangezien de wetgeving niet volledig duidelijk is rond het juiste procedureverloop was het voor zowel de Inspectiedienst als de geschillenkamer (die het beroep behandelde) een leerschool om hiermee om te gaan. In het concrete geval werd de voorlopige maatregel evenwel bevestigd.

In 2021 werden:

  • 131 nieuwe dossiers bij de Inspectiedienst aanhangig gemaakt door de geschillenkamer. Deze dossiers zijn afkomstig van inkomende klachten. Uit de inkomende klachten merken we enkele steeds terugkerende clusters op van onderzoeksthema’s met betrekking tot:
  • direct marketing (met in het bijzonder aandacht voor de cookies problematiek);
  • Covid-19 gerelateerde klachten;
  • de werking van steden en gemeenten;
  • het gebruik van camera’s en de nieuwe camera wetgeving.
  • 6 nieuwe dossiers bij de Inspectiedienst aanhangig gemaakt door het directiecomité, waarbij een meerderheid gegevenslekken betrof maar ook direct marketing en Covid gerelateerde dossiers overgemaakt werden.
  • 5 nieuwe dossiers door de Inspectiedienst op eigen initiatief opgestart.

Het betrof onder meer een onderzoek bij een federale overheidsdienst naar een grootschalige gegevensbank en het reeds vermelde Covid gerelateerde dossier van een ziekenhuisnetwerk dat de vaccinatiestatus van sollicitanten wou nagaan.

In 2021 werden voornamelijk nationale dossiers behandeld. Omwille van de Covid-19 pandemie werden onderzoekhandelingen met fysiek contact en reizen opnieuw beperkt waardoor auditactiviteiten tijdelijk “on hold” werden gezet en/of vanop afstand zo goed als mogelijk afgehandeld. Er werd wel een auditopdracht opgestart welke betrekking heeft op een federale overheidsdienst en zijn data-architectuur in het kader van het Schengen-contentieux en waarbij gestart werd met een bezoek in enkele betrokken datacenters in België.

Daarnaast werden in 2021 ook enkele ad hoc opdrachten uitgevoerd die betrekking hadden op deelname aan internationale werkgroepen m.b.t. verwerkingen voor VIS en Eurodac en het uitwerken van audit en inspectiemethodologieën.

Aan het einde van het onderzoek stelt de betrokken inspecteur in samenspraak met de inspecteur-generaal een verslag op dat bij het dossier wordt gevoegd. In het verslag worden naast de gebruikte onderzoeksmogelijkheden, de vaststellingen van de Inspectiedienst en de beslissing van de inspecteur-generaal vermeld.

De inspecteur-generaal kan rekening houdend met de vermelde vaststellingen één van de volgende beslissingen nemen:

  • het dossier overmaken aan de voorzitter van de geschillenkamer;
  • het dossier overmaken aan de procureur des Konings wanneer de feiten een strafrechtelijke inbreuk kunnen vormen;
  • het dossier seponeren;
  • het dossier overmaken aan een gegevensbeschermingsautoriteit van een andere staat.

Onderzoekstechnisch werden in 2021 hoofdzakelijk diverse dossiers gefinaliseerd en overgemaakt aan de geschillenkamer voor verder gevolg. Het resultaat van deze onderzoeken is terug te vinden in de informatie van de werking van de geschillenkamer en op de website van de GBA. Tijdens de inspectiefase geldt immers het geheim van het onderzoek waardoor de Inspectiedienst dus in het algemeen weinig of niet kan communiceren over lopende dossiers.

De Inspectiedienst blijft in de loop van haar bevraging diverse vragen van de betrokken partijen (klagers en advocaten) ontvangen. Deze vragen betreffen de status en/of het verloop van een onderzoek, een vraag om overleg tijdens de duur van het onderzoek, het in vraag stellen van de nochtans in de GBA-wet voorziene mogelijkheid voor de Inspectiedienst om zaken verder te onderzoeken dan is bepaald in de klacht. Herhaaldelijk heeft de Inspectiedienst in antwoord op deze diverse vragen moeten wijzen op artikel 64 van de GBA-wet dat bepaalt dat het inspectieonderzoek geheim is tot het moment van de neerlegging van het verslag van de inspecteur-generaal bij de geschillenkamer. Om bepaalde van deze vragen ook op te vangen werd zoals reeds gemeld werk gemaakt van een publiek charter van de Inspectiedienst.


Verwezenlijkingen in cijfers

De inspectiedienst voert inspecties uit op eigen initiatief, op vraag van de Geschillenkamer of van het directiecomité. Sommige inspecties vereisen een lange uitvoeringstermijn. In 2021 werden 73 inspecties afgerond. In 4 gevallen besliste de Inspectiedienst om te seponeren.

De Inspectiedienst legde in 2021 ook 1 maal een voorlopige maatregel op.

Onderstaande kader biedt onder meer een zicht op de instroom van dossiers bij de Inspectiedienst en op de lopende dossiers.

Alle dossiers Aanhangigmaking Resultaat Taal Samenwerking
  GK DIRCO INS Afgesloten Seponering Lopende FR NL Internationaal COC
2018 70 67 2 1 68 29 2 20 50 12 1
2019 86 67 11 8 83 11 3 33 53 13 2
2020 152 127 17 8 113 17 39 74 78 7 0
2021 142 131 6 5 73 4 69 60 82 5 0
Totaal 450 392 36 22 337 61 113 187 263 37 3