De Autoriteit

Bevoegdheden GBA

De algemene opdracht van de GBA wordt door art. 4 WOG bepaald als “het toezicht op de naleving van de grondbeginselen van de bescherming van de persoonsgegevens, in het kader van deze wet en van de wetten die bepalingen bevatten inzake de bescherming van de verwerking van persoonsgegevens”.

De GBA is dus in beginsel niet alleen bevoegd voor toezicht op de naleving van de Algemene Verordening Gegevensbescherming (hierna: “AVG”), of de algemene wetgeving inzake gegevensbescherming (zoals bijvoorbeeld de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, hierna: “WVG”), maar kan eveneens toezicht uitoefenen over de naleving van andere, meer specifieke wet- of regelgeving zoals bijvoorbeeld de camerawetgeving.

Het toezicht van de GBA heeft evenwel geen betrekking op de verwerkingen door de hoven en rechtbanken alsook door het openbaar ministerie bij de uitoefening van hun gerechtelijke taken. De GBA is ook niet bevoegd voor het toezicht op de verwerkingen van persoonsgegevens door politiediensten.

De GBA is bevoegd ten opzichte van actoren en instanties uit de publieke en private sector, en heeft de mogelijkheid om zelfstandig administratieve sancties op te leggen.

Samenstelling GBA

Luidens artikel 7 WOG is de GBA samengesteld uit een Directiecomité, een Algemeen Secretariaat, een Eerstelijnsdienst, een Kenniscentrum, een Inspectiedienst, en een Geschillenkamer. Zowel de Geschillenkamer als het Kenniscentrum bestaan ook uit zes externe leden, die vanuit hun expertise bijdragen aan de werkzaamheden en beraadslagingen van die organen.

Het Directiecomité van de GBA is sinds 26 juni 2023 opnieuw voltallig met de benoeming van Anne-Charlotte Recker, directrice van de Eerstelijnsdienst en Koen Gorissen, directeur van het Algemeen Secretariaat.

In 2023 was de samenstelling van de GBA als volgt:

Directiecomité

• Cédrine Morlière
  Voorzitster  en Directrice van het Kenniscentrum
• Peter Van den Eynde
  Inspecteur-Generaal van de Inspectiedienst
• Hielke Hijmans
  Voorzitter van de Geschillenkamer
• Anne-Charlotte Recker (sinds 26 juni 2023)
  Directrice van de Eerstelijnsdienst
• Koen Gorissen (sinds 26 juni 2023)
  Directeur van Het Algemeen Secretariaat

Kenniscentrum

Het Kenniscentrum is samengesteld uit zes leden en de Directrice van het Kenniscentrum, Cédrine Morlière.

• Yves-Alexandre de Montjoye
• Bart Preneel
• Gert Vermeulen
• Nathalie Ragheno
• Griet Verhenneman
• Juline Deschuyteneer (sinds 06/07/2023)

Geschillenkamer

De Geschillenkamer is samengesteld uit zes leden en de Voorzitter van de Geschillenkamer, Hielke Hijmans.

• Yves Poullet
• Romain Robert
• Dirk Van der Kelen
• Jelle Stassijns
• Christophe Boeraeve
• Frank De Smet

Het Directiecomité

De bevoegdheden en activiteiten van het Directiecomité zijn opgenomen in artikel 9 WOG en omvatten naast de goedkeuring van de jaarrekeningen onder meer ook de beslissing over de jaarlijkse begroting, de interne organisatie en samenstelling, en de jaarlijkse beheersplannen van de GBA.

Het Directiecomité heeft eveneens een belangrijke operationele verantwoordelijkheid op het vlak van de bescherming van de persoonlijke levenssfeer van de burgers, omdat het overeenkomstig artikel 63, 1° WOG kan beslissen de Inspectiedienst te vatten wanneer het ernstige aanwijzingen vaststelt van het bestaan van een praktijk die aanleiding kan geven tot een inbreuk op de grondbeginselen van de bescherming van de persoonsgegevens. In 2023 werd door het Directiecomité 3 maal gebruikgemaakt van deze bevoegdheid. De manier waarop het Directiecomité aanwijzingen van het bestaan van een inbreuk als bedoeld in artikel 63, § 1, 1° van de WOG vaststelt en behandelt, werd herzien door het in 2022 nieuw samengesteld Directiecomité en zal ingrijpend worden gewijzigd na de inwerkingtreding van de nieuwe WOG.

In 2023 kwam het Directiecomité 29 keer in vergadering bijeen.

Medewerkers en budget

Eind 2023 waren er 68 medewerkers in dienst van de GBA, tegenover 66 aan het einde van het jaar voordien, een stijging met 2,9 %.

Om haar werking te financieren, kon de GBA in 2023 beschikken over 13.274.000 EUR aan werkingskredieten (tegenover 9.993.740,56 EUR in 2022, een stijging met 32,82 %). De werkingskredieten werden hoofdzakelijk gefinancierd door de eigenlijke dotatie van 13.274.000 EUR en de overgedragen boni van vorige jaren.

Samenwerking

Nationale samenwerkingsverbanden en presentaties

De GBA deelt kennis en informatie met tal van overheidsactoren wiens bevoegdheden raakvlakken hebben met gegevensbescherming. De volgende voorbeelden illustreren dit:

• De GBA gaf in 2023 opnieuw input aan de FOD Justitie voor de beantwoording van tal van parlementaire vragen in verband met gegevensbescherming.
• De GBA verleende aan de Staatssecretaris en aan de Kamer van Volksvertegenwoordigers uitgebreide input in het kader van de bespreking van het wetsontwerp tot wijziging van de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit.
• De GBA werkt op federaal niveau regelmatig samen met een aantal “sectorspecifieke” toezichthouders, met name met het Controleorgaan voor Politionele Informatie, het Comité I en het Comité P. Het samenwerkingsprotocol dat zij onderling afsloten fungeert hierbij als leidraad.
• De GBA sloot een samenwerkingsprotocol af met de Federale Ombudsman betreffende de nieuwe regeling inzake klokkenluiders. 
• De GBA en het CCB organiseerden een gedachtewisseling rond diverse thema’s die aan hun beider bevoegdheidsdomeinen raken. Zo werd onder meer aandacht besteed aan toekomstige wetgeving inzake informatieveiligheid (bv. NIS2) en werden mogelijke samenwerkingsopportuniteiten geïdentificeerd.

Belgische Kamer van volksvertegenwoordigers - Commissie Economie, Consumentenbescherming en Digitale Agenda – 20 september 2023

De GBA, vertegenwoordigd door haar voorzitter, Cédrine Morlière, en de directeur van haar secretariaat-generaal, Koen Gorissen, trad op voor de Commissie Economie, Consumentenbescherming en Digitale Agenda van het Huis van volksvertegenwoordigers over de "ethische en maatschappelijke aspecten van artificiële intelligentie".

Via haar Kenniscentrum en haar Geschillenkamer is de GBA gevraagd, of zal ze binnenkort worden gevraagd, om adviezen en beslissingen uit te brengen in zaken in verband met AI die momenteel worden onderzocht.

Internationale samenwerking

De GBA heeft veel formele en informele contacten met andere gegevensbeschermingsautoriteiten. Hierdoor kan zij goede praktijken uitwisselen en haar interne procedures verbeteren, expertise uitwisselen, kwesties of geschillen van internationale omvang oplossen en ervoor zorgen dat de regels op coherente en uniforme wijze worden toegepast, waardoor het Strategisch Plan 2020-2025 wordt uitgevoerd.

Het Europees Comité voor Gegevensbescherming (EDPB)

De GBA heeft actief bijgedragen aan de werkzaamheden van de EDPB door deel te nemen aan de volgende subgroepen van deskundigen en taskforces:

• Compliance, e-Government and Health (ad hoc)
• Cooperation
• Enforcement
• International Transfers
• Key Provisions (ad hoc)
• IT Users
• Strategic Advisory
• Technology
• 101 Complaints Taskforce
• Cookie Banner Taskforce
• Fining Taskforce
• Taskforce to exchange views on the international agenda on data protection
• Task Force on the interplay between Data Protection, Competition and Consumer protection
• Coordinated Enforcement Framework
• Support Pool of Experts

Medewerkers van de GBA hebben ook als (co-)rapporteurs aan de anonimiseringsrichtlijnen gewerkt. De GBA  geeft regelmatig commentaar op ontwerpen van andere toezichthoudende autoriteiten.

De GBA droeg actief bij aan de geschillenbeslechting op EDPB-niveau, die steeds meer aan belang wint. Ter illustratie kan verwezen worden naar de bindende besluiten ten aanzien van TikTok (o.a. omtrent deceptive design met betrekking tot kinderen) en Meta (boete in het kader van internationale doorgiften en dringend dwingend besluit omtrent behavioural advertising).

De leden van het Directiecomité en medewerkers van de GBA hebben 15 plenaire vergaderingen van de EDPB bijgewoond.

Jaarlijkse conferentie van the Association of European Data Protection Judges 2023 – 6 en 7 februari 2023

De GBA, vertegenwoordigd door haar voorzitter, Cédrine Morlière, heeft deelgenomen aan de conferentie op 6 en 7 februari 2023 die werd georganiseerd door de Europese vereniging van rechters voor gegevensbescherming. Cédrine Morlière lichtte het standpunt van de GBA toe over de uitvoering van de AVG in Europa.

Spring Conference – 10 tot 12 mei 2023

Van 10 tot 12 mei 2023 namen vertegenwoordigers van de GBA deel aan de 31e lenteconferentie van de Europese gegevensbeschermingsautoriteiten ("Spring Conference"), die dit jaar door de Hongaarse autoriteit in Boedapest werd georganiseerd.

Dit evenement was een kans voor de GBA om haar kennis te delen, te leren, haar Europese tegenhangers te ontmoeten en beste praktijken met hen uit te wisselen.

Een breed scala aan onderwerpen kwam aan bod, waaronder: de sociale impact van nieuwe technologieën, samenwerking tussen Europese autoriteiten en autoriteiten buiten de EER, de relatie tussen DPO's en nationale gegevensbeschermingsautoriteiten.

De voorzitter van de Geschillenkamer van de GBA, Hielke Hijmans, had ook de gelegenheid om een opmerkelijke presentatie te geven over de rol en de rechtspraak van het Hof van Justitie van de Europese Unie (HvJ-EU) op het gebied van gegevensbescherming.

Meer informatie over de deelnemers en het programma van de conferentie is nog steeds beschikbaar op de website van het evenement.

Union Internationale des Avocats in Luxemburg - 13 oktober 2023

De GBA, vertegenwoordigd door haar voorzitter, Cédrine Morlière, heeft deelgenomen aan de conferentie die in oktober 2023 door de Union Internationale des Avocats in Luxemburg werd georganiseerd. Cédrine Morlière sprak er over de harmonisatie van niet-contentieuze beslissingen van gegevensbeschermingsautoriteiten, met bijzondere aandacht voor de impact van technologieën zoals articifiële intelligentie.

De Global Privacy Assembly (GPA) – 15 tot 20 oktober 2023

Van 15 tot en met 20 oktober 2023 vond in Hamilton (Bermuda) de jaarlijkse bijeenkomst van de Global Privacy Assembly (GPA) plaats. De GPA is de wereldwijde organisatie van privacy-toezichthouders. De GBA werd tijdens de bijeenkomst vertegenwoordigd door de Voorzitter van de Geschillenkamer.

De bijeenkomst gaf veel aandacht aan de ontwikkelingen op het gebied van kunstmatige intelligentie, en het al dan niet disruptieve karakter daarvan op burgers en samenlevingen, met name gerelateerd aan privacy. Een centraal punt van discussie betrof de toepasselijkheid van de principes van privacy en gegevensbescherming op toepassingen van kunstmatige intelligentie. Te denken valt in het bijzonder aan beginselen zoals dataminimisatie en doelbinding.    

Een tweede belangrijke thema was de bescherming van de privacy van kinderen en minderjarigen, waarbij ook werd gesproken over betrouwbare en privacy-vriendelijke instrumenten voor leeftijdsverificatie.

Als gebruikelijk bevatte de bijeenkomst een open gedeelte, en was er een besloten gedeelte, alleen voor toezichthouders. Door de verwerkingsverantwoordelijken werd onder meer gesproken over de strategische visie van de GBA zowel op het gebied van beïnvloeding van overheden en organisaties, als met betrekking tot  het opbouwen van capaciteit (“capacity building”) voor internationale handhaving.

Er werden resoluties aangenomen over onder andere AI in een arbeidscontext, generatieve AI, en gezondheidsdata en dan met name het delen van deze data in het algemeen belang. De GPA nam ook een resolutie aan die het vaststellen van mondiale standaarden voor gegevensbescherming moet bevorderen.

De Voorzitter van de Geschillenkamer nam deel aan een panel met collega-autoriteiten uit Noorwegen, Mexico en Zuid-Afrika over de bescherming van publiek beschikbare persoonsgegevens.

In de wandelgangen werd veel gesproken over het gebruik van derde partij-cookies en de toekomst daarvan, alsook over betaalmodellen voor internet.

De volgende bijeenkomst vindt in Jersey plaats in oktober 2024.

Meer informatie is te vinden op de website van deze conferentie. 

Naast de bijeenkomst in Hamilton heeft de GBA ook actief deelgenomen aan enkele werkgroepen van de GPA, die regelmatig online bijeenkomen. Twee werkgroepen kunnen met name worden genoemd: de International Enforcement Working Group, waar uitwisselingen plaatsvinden over de handhaving ten opzichte van vaak mondiaal opererende bedrijven, en de Digital Citizen and Consumer Working Group, die zich bezighoudt met de verhouding tussen privacy-toezicht en andere vormen van toezicht, bijvoorbeeld op het gebied van de mededinging.        

Conferentie rond certificering in Luxemburg – 22 tot 24 november 2023

Van 22 tot 24 november 2023 namen vertegenwoordigers van de GBA deel aan de workshop over certificering ("certification workshop") die door de Luxemburgse autoriteit in Luxemburg werd georganiseerd.

De workshop was een gelegenheid voor verrijkende uitwisselingen met vertegenwoordigers van andere Europese gegevensbeschermingsautoriteiten en deelnemers die gespecialiseerd zijn in AVG-certificering, over de ontwikkeling van, en de uitdagingen en mogelijkheden voor AVG-certificeringsmechanismen in de toekomst.

Op de eerste dag lichtten een aantal deskundigen de voordelen, uitdagingen en moeilijkheden toe, evenals het belang en de verwachtingen van de markt met betrekking tot het AVG-certificeringsmechanisme. Onze Luxemburgse collega's gaven ook een presentatie over de werking van de Luxemburgse autoriteit met betrekking tot AVG-certificering.

Op de tweede dag zetten onze collega’s van de Italiaanse autoriteit het verschil uiteen tussen het certificeringsmechanisme als instrument voor naleving van de AVG (artikel 42 van de AVG) en als instrument voor doorgiften (artikel 46 van de AVG). Op deze tweede dag werd in discussie- en reflectiegroepen ("working groups") ook de problematiek op het gebied van het AVG-certificeringsmechanisme besproken.

De derde dag werd ook besteed aan discussies en reflecties over kwesties met betrekking tot het AVG-certificeringsmechanisme.

Meer informatie over het programma is te vinden op de website van de Luxemburgse autoriteit.

European Case Handling Workshop  - 22 november 2023

Medewerkers van verschillende diensten van de GBA hebben deelgenomen aan de European Case Handeling Workshop in Bern, Zwitserland. Op de conferentie waren 37 verschillende data protection authorities aanwezig. In deze conferentie lag de focus op de praktische behandeling van klachten. Zo werd onder meer van gedachten gewisseld rond het behandelen van cross-border klachten en werd onderzocht op welke manier men als data protection authority dient om te gaan met manifest ongegrond of buitensporige klachten. Eveneens werden workshops georganiseerd rond het managen en behandelen van notificaties van gegevensinbreuken. Daarnaast werd stilgestaan bij het praktisch toepassen van de guidelines rond deceptive designs. Ook andere technologische en juridische ontwikkelingen kwamen aan bod, zoals gezichtsherkenningstechnologie en de US Cloud Act.

L’Association francophone des autorités de protection des données personnelles (AFAPDP)

De GBA heeft deelgenomen aan de activiteiten van de AFAPDP gedurende het hele jaar 2023.

Andere evenementen en conferenties

Naast de hierna genoemde lezingen heeft de GBA deelgenomen aan een aantal andere conferenties, evenementen en trainingen om van gedachten te wisselen over gegevensbescherming, zoals, maar niet beperkt tot: het Privacy symposium, de "Dag van de Wijkagent" (over het thema cameratoezicht) en het online festival Barak@TIC digitale onderwijsinnovaties (in het kader van "Ik beslis").