De Gegevensbeschermingsautoriteit (GBA) is het onafhankelijke toezichtsorgaan op het vlak van de verwerking van persoonsgegevens, en werd opgericht door de wet van 3 december 2017 (hierna: “WOG”). Zij beschikt over een veel ruimer arsenaal aan mogelijkheden om op te treden dan haar voorganger, de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (de “Privacycommissie”). De GBA is een federale instelling met rechtspersoonlijkheid, ingesteld bij de Kamer van Volksvertegenwoordigers.

Bevoegdheden GBA

De algemene opdracht van de GBA wordt door art. 4 WOG bepaald als “het toezicht op de naleving van de grondbeginselen van de bescherming van de persoonsgegevens, in het kader van deze wet en van de wetten die bepalingen bevatten inzake de bescherming van de verwerking van persoonsgegevens”.

De GBA is dus in beginsel niet alleen bevoegd voor toezicht op de naleving van de Algemene Verordening Gegevensbescherming (hierna: “AVG”), of de algemene wetgeving inzake gegevensbescherming (zoals bijvoorbeeld de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, hierna: “WVG”), maar kan eveneens toezicht uitoefenen over de naleving van andere, meer specifieke wet- of regelgeving zoals bijvoorbeeld de camerawetgeving.

Het toezicht van de GBA heeft evenwel geen betrekking op de verwerkingen door de hoven en rechtbanken alsook door het openbaar ministerie bij de uitoefening van hun gerechtelijke taken. De GBA is ook niet bevoegd voor het toezicht op de verwerkingen van persoonsgegevens door politiediensten.

De GBA is bevoegd ten opzichte van actoren en instanties uit de publieke en private sector, en heeft de mogelijkheid om zelfstandig administratieve sancties op te leggen.

Samenstelling GBA

Luidens artikel 7 WOG is de GBA samengesteld uit een directiecomité, een Algemeen Secretariaat, een Eerstelijnsdienst, een Kenniscentrum, een Inspectiedienst, en een Geschillenkamer. Zowel de Geschillenkamer als het Kenniscentrum bestaan ook uit zes externe leden, die vanuit hun expertise bijdragen aan de werkzaamheden en beraadslagingen van die organen.

In 2021 was de samenstelling van de GBA als volgt:

Directiecomité

  • David Stevens, Voorzitter en Directeur van het Algemeen Secretariaat
  • Charlotte Dereppe, Directeur van de Eerstelijnsdienst
  • Peter Van den Eynde, Inspecteur-Generaal van de Inspectiedienst
  • Hielke Hijmans, Voorzitter van de Geschillenkamer
  • Alexandra Jaspar, Directeur van het Kenniscentrum nam ontslag tot 8 december 2021

Kenniscentrum

Het Kenniscentrum is samengesteld uit zes leden en de Directeur van het Kenniscentrum. In 2021 waren er een aantal vacante plaatsen en slechts volgende leden waren in functie:

  • Yves-Alexandre de Montjoye
  • Marie-Hélène Descamps
  • Bart Preneel
  • Frank Robben
  • Séverine Waterbley (nam ontslag op 5 februari 2021)
  • Nico Waeyaert (nam ontslag op 5 februari 2021)

Geschillenkamer

De Geschillenkamer is samengesteld uit zes leden en de Voorzitter van de Geschillenkamer, Hielke Hijmans.

  • Yves Poullet
  • Romain Robert
  • Dirk Van der Kelen
  • Jelle Stassijns
  • Christophe Boeraeve
  • Frank De Smet

Het Directiecomité

De bevoegdheden en activiteiten van het Directiecomité zijn opgenomen in artikel 9 WOG en omvatten naast de goedkeuring van de jaarrekeningen onder meer ook de beslissing over de jaarlijkse begroting, de interne organisatie en samenstelling, en de jaarlijkse beheersplannen van de GBA.

Het Directiecomité heeft eveneens een belangrijke operationele verantwoordelijkheid op het vlak van de bescherming van de persoonlijke levenssfeer van de burgers, omdat het overeenkomstig artikel 63, 1° WOG kan beslissen de Inspectiedienst te vatten wanneer het ernstige aanwijzingen vaststelt van het bestaan van een praktijk die aanleiding kan geven tot een inbreuk op de grondbeginselen van de bescherming van de persoonsgegevens. In 2021 werd door het Directiecomité 8 maal gebruikgemaakt van deze bevoegdheid, doorgaans op voorstel van het Algemeen secretariaat.  

In 2021 kwam het Directiecomité 25 keer in vergadering bijeen.

Medewerkers en budget

Eind 2021 waren er 70 medewerkers in dienst van de GBA, tegenover 67 aan het einde van het jaar voordien, een stijging met 4,5%.

Om haar werking te financieren, kon de GBA in 2021 beschikken over 9.535.251,52 EUR aan werkingskredieten (tegenover 8.947.430,92 EUR in 2020, een stijging met 6,5%). De werkingskredieten werden hoofdzakelijk gefinancierd door de eigenlijke dotatie van 9.002.000 EUR en de overgedragen boni van vorige jaren. In 2021 kon de GBA eveneens beschikken over 329.446,73 EUR subsidies van de Europese Commissie ter ondersteuning van het DPO Connect project.

Intussen kwam (na eerdere steun vanuit het Rekenhof[1] en ook de Regering[2]) een door PwC de werklastmeting tot de conclusie dat de GBA voor het succesvol uitvoeren van haar bestaande taken over een aanzienlijk aantal bijkomende krachten zou moeten kunnen beschikken, tot zelfs 64,17 bijkomende voltijdse equivalenten (wat een stijging van bijna 40% inhoudt ten opzichte van de huidige 45,9 gemeten voltijdse equivalenten). 

[1] Audit Rekenhof (mei 2021): “GBA organisatie en werking” (p. 70, conclusies): “Vergeleken met haar Europese peers beschikt de GBA over relatief weinig personeel, in het bijzonder gespecialiseerd personeel (juristen en ICT-specialisten) om de dossiers inhoudelijk te behandelen. Het oplopende aantal openstaande dossiers is wellicht ook deels te wijten aan dit gebrek aan gespecialiseerd personeel dat de dossiers inhoudelijk kan behandelen.”

[2] Evaluatierapport privacywet (november 2021), p. 30: “Meer middelen voor de toezichthoudende autoriteiten. Er wordt voor gepleit om voldoende middelen toe te kennen aan de toezichthoudende autoriteiten, in het bijzonder om hun ondersteuningsrol voor verwerkingsverantwoordelijken, verwerkers maar ook gegevensbeschermingsfunctionarissen verder te helpen uitbouwen.”

Aanpak van de GBA

Zoals verder in dit verslag uitvoerig aangetoond wordt, zijn er sinds 2021 grote stappen vooruit gezet niet alleen op het vlak van het uitbouwen van een proactieve, kennisdelende en sensibiliserende autoriteit, maar tevens inzake handhaving.

Proactieve monitoring

Zo is er in uitvoering van art. 19 van de WOG in 2020 een volledige nieuw “monitoringsproces” ontwikkeld dat in 2021 verder uitgebouwd werd[1]. Met deze dossiers wenste de GBA actief informatie in te winnen inzake zowel maatschappelijke, economische en technologische evoluties met een impact op gegevensbescherming om via deze weg snel een vinger aan de pols te houden indien ze kennis neemt van verwerkingen met mogelijk een risico voor de rechten van burgers op het vlak van gegevensbescherming.  De GBA geeft hiermee ook uitvoering aan de derde doelstelling van haar Strategisch Plan (“Een verbeterde gegevensbescherming door evoluties te identificeren en te beantwoorden”).

[1] De wijze waarop het Directiecomité aanwijzingen van inbreuken in de zin van artikel 63, § 1, 1° WOG vaststelt en behandelt, werd door het in oktober 2022 vernieuwde Directiecomité geëvalueerd en zal, indien nodig, in het jaarverslag van 2022 worden toegelicht.

Transparant informeren en sensibiliseren

Ook in 2021 zette de GBA in op informeren en sensibiliseren, overeenkomstig haar eerste strategische doelstelling (“Een verbeterde gegevensbescherming door sensibilisering”).

Een belangrijke klemtoon lag op het ondersteunen van functionarissen voor gegevensbeschering (“Data Protection Officers”, DPO’s). Vooreerst ging in 2021 het project DPO-Connect effectief van start met als partners de VUB en DPO-pro (de Beroepsvereniging van de Data Protection Officers). Het digitaal, collaboratief platform DPO-Connect werd ontwikkeld, op punt gesteld en, uiteindelijk, door vertragingen te wijten aan de pandemie, gelanceerd in september 2021.  Daarnaast heeft de GBA ook haar toolbox voor privacy professionals verder ontwikkeld en uitgewerkt. Maar ook aan andere specifieke doelgroepen werd gedacht. Zo werkte de GBA ook in 2021 verder aan het ontwikkelen van verschillende ondersteunde tools voor kleine en middelgrote ondernemingen (zie “Toolbox”), en aan het sensibiliseren van jongeren (www.ikbeslis.be).

Handhaving

De Geschillenkamer heeft in 2021 veel aandacht besteed aan de consistente uitvoering van haar taken en haar methodologie verder ontwikkeld. De opdracht van de Geschillenkamer is drieërlei.

Ten eerste biedt de Geschillenkamer als orgaan van de toezichthoudende autoriteit een effectieve en laagdrempelige procedure. De Geschillenkamer ontwikkelde procedures om klachten op een zo laagdrempelig mogelijke manier te behandelen, maar wel met respect voor elementaire proceswaarborgen zoals het recht op verdediging en het recht op tegenspraak. 

Ten tweede draagt de Geschillenkamer bij aan een consistente uitleg van de AVG, in haar beslissingen ten  gronde, waarin de Geschillenkamer niet alleen een aanhangige kwestie beslecht die via een klacht voorgelegd werd of op basis van een verslag uit eigen beweging van de Inspectiedienst, en geeft de interpretatie van de AVG en andere wetgeving. De Geschillenkamer is in staat geweest om een consistente “rechtspraak” te ontwikkelen en een aantal belangrijke uitspraken te doen, waarbij de beslissing in zaak 04/2021 (X t. NV NDPK, met betrekking tot onder andere marketing, behoorlijkheid en transparantie, functionaris voor gegevensbescherming, waarbij het ingestelde beroep ontvankelijk maar ongegrond verklaard werd) die grote belangstelling heeft gewekt bij de commentatoren.

Ten derde draagt de Geschillenkamer bij aan de handhaving van grensoverschrijdende zaken binnen de Unie. Het optreden van de GBA als leidende autoriteit in grensoverschrijdende zaken stelt de Geschillenkamer in staat om werkwijzen te ontwikkelen in samenwerking met andere autoriteiten. De bijdrage van de Geschillenkamer aan de efficiënte toepassing van de Europese regelgeving wordt geconcretiseerd dankzij de behandeling van dossiers door de GBA zelf of door   collega-toezichthouders in het Europese samenwerkingsmechanisme. De Geschillenkamer draagt ook actief bij tot de ontwikkeling van Europese richtsnoeren, in het kader van de EDPB.

De ontwikkeling van nieuwe methodologieën vindt plaats tegen een achtergrond van een enorme hoeveelheid aan klachten, waardoor de Geschillenkamer zich genoodzaakt ziet om prioriteiten te stellen en deze steeds bij te stellen. Bovendien dient zij bij de behandeling van klachten toepassing te geven aan nationale wetgeving die op bepaalde punten onvolkomen en/of onduidelijk is.

In 2021 heeft de Geschillenkamer– naast haar lopende activiteiten – ook de eerste stappen gezet in de ontwikkeling van een methodologie voor de behandeling van nieuwe soorten dossiers, zoals bijvoorbeeld zaken met “massa-klachten”, (themadossiers met een groot aantal verwerkingsverantwoordelijken) en dossiers die vanwege het maatschappelijk belang spoedeisend zijn. Het gaat bijvoorbeeld om Covid-gerelateerde klachten, zoals dossier 24/2021( omtrent passantentellingen op specifieke locaties op de dijk en in winkelzones aan de Kust d.m.v. intelligente camera’s in het kader van COVID-19). Daarnaast heeft de Geschillenkamer ook een sepotbeleid uitgewerkt, naast de reeds bestaande beleidsnota’s vastgesteld rond procedurele kwesties (Beleid inzake de publicatie van de beslissingen, het Beleid inzake dwangsom, de Nota talenbeleid gehanteerd door de Geschillenkamer en, de Nota inzake positie van de klager in de procedure bij de Geschillenkamer).

Samenwerking

Nationale samenwerkingsverbanden

De GBA deelt kennis en informatie met tal van overheidsactoren wiens bevoegdheden raakvlakken hebben met gegevensbescherming. Ze geeft hiermee ook uitvoering aan de vierde doelstelling van haar Strategisch Plan (“Een verbeterde gegevensbescherming door samenwerking”).

De volgende voorbeelden illustreren dit:

  • De GBA gaf in 2021 opnieuw input aan de FOD Justitie voor de beantwoording van tientallen parlementaire vragen in verband met gegevensbescherming . Op die manier wil ze ook het parlementaire werk zo kwalitatief en degelijk mogelijk ondersteunen.
  • De GBA gaf uitgebreide input in het kader van de evaluatie van de wetgeving inzake gegevensbescherming, die door de Staatssecretaris voor privacy werd georganiseerd.
  • De GBA werkt op federaal niveau regelmatig samen met een aantal “sectorspecifieke” toezichthouders, met name met het Controleorgaan voor Politionele Informatie, het Comité I en het Comité P. Het samenwerkingsprotocol dat zij onderling afsloten fungeert hierbij als leidraad
  • De GBA en de Nationale Bank organiseerden een gedachtewisseling rond het thema “Toezicht op artificiële intelligentie-systemen in de bancaire wereld”
  • De GBA neemt deel aan het “Mensenrechtenplatform” . Een twintigtal organisaties die een rol spelen in de bescherming van bepaalde mensenrechten, zijn lid van dit platform. Ze overleggen meerdere keren per jaar om elkaar op de hoogte te houden van belangrijke ontwikkelingen in dit domein;
  • De GBA zetelt ook in de “Adviesraad Private Veiligheid”, die door de Minister van Binnenlandse zaken werd opgericht.

Internationale samenwerking

In 2021 was de GBA opnieuw zeer actief op het gebied van internationale samenwerking om goede praktijken uit te wisselen, deskundigheid te delen, internationale kwesties of geschillen op te lossen en ervoor te zorgen dat de regels op consistente en uniforme wijze worden toegepast, en aldus uitvoering te geven aan het Strategisch Plan 2020-2025.

Het Europees Comité voor Gegevensbescherming (EDPB)

Vanwege de Covid-19-crisis vonden de meeste EDPB-vergaderingen in 2021 op afstand plaats. Dit vormde echter geen belemmering voor de activiteiten van de EDPB.

De GBA heeft actief bijgedragen aan de werkzaamheden van de EDPB door deel te nemen aan de volgende subgroepen van deskundigen:

  • Borders, Travel Law Enforcement subgroup
  • Compliance, e-Government and Health
  • Cooperation
  • Enforcement
  • International Transfers
  • IT Users
  • Key Provisions
  • Social Media
  • Strategic Advisory
  • Technology

Naar aanleiding van het besluit van de EDPB om in oktober 2020 een gecoördineerd uitvoeringskader vast te stellen, heeft de EDPB het thema voor haar eerste gecoördineerde actie geselecteerd : het gebruik van clouddiensten door de overheidssector. De GBA is betrokken bij deze eerste gecoördineerde actie en heeft ook nationale acties opgestart. De resultaten van de nationale acties zullen vervolgens worden gebundeld en geanalyseerd, waardoor een beter inzicht in de problematiek kan worden verkregen en een gerichte follow-up op nationaal en Europees niveau mogelijk wordt.

In november 2020 is een " taskforce 101 " opgericht om de 101 klachten te onderzoeken die bij de toezichthoudende autoriteiten van de EER zijn ingediend naar aanleiding van het " Schrems II "-arrest van het Hof van Justitie van de Europese Unie tegen verscheidene verwerkingsverantwoordelijken in de EER-lidstaten met betrekking tot hun gebruik van Google/Facebook-diensten waarbij persoonsgegevens worden doorgegeven. De leden van de taskforce, waaronder de GBA, hebben in de loop van 2021 nauw samengewerkt om de in dit verband gerezen juridische en technische vraagstukken te analyseren en een coherent standpunt in te nemen.

De medewerkers van de GBA traden ook op als (co-)rapporteurs of gaven commentaar op ontwerpen die door andere toezichthoudende autoriteiten waren opgesteld. De GBA heeft zijn werkzaamheden als (co-)rapporteur voor de volgende richtsnoeren voortgezet:

  • De vernieuwing van de richtsnoeren over anonimisering en pseudonimisering;
  • de vernieuwing van de richtsnoeren over het gerechtvaardigd belang;
  • richtsnoeren voor de toepassing van artikel 65 (1) van de AVG (gepubliceerd voor openbare raadpleging in april 2021).

De Voorzitter van de GBA en in sommige gevallen andere directeurs of medewerkers namen deel aan 15 plenaire vergaderingen van de EDPB.

Het Eén-loketmechanisme (One-stop-shop)

Het Hof van Justitie van de Europese Unie (HJEU) heeft op 15 juni 2021 uitspraak gedaan in de zaak die de GBA sinds 2015 tegen Facebook had aangespannen. Volgens het HvJEU kan een nationale toezichthoudende autoriteit onder bepaalde (in de AVG bepaalde) voorwaarden gebruik maken van haar bevoegdheid om een vermeende schending van de AVG onder de aandacht van de gerechtelijke autoriteiten van een lidstaat te brengen, ook al is zij niet de leidende autoriteit voor die verwerking. Het Hof heeft de bevoegdheden van de (nationale) autoriteit die niet de leidende autoriteit is, zoals door de GBA aangevoerd, ruim uitgelegd.

In 2021 opende de GBA in 19 zaken een onderzoek als leidende autoriteit en sprak de GBA zich als betrokken autoriteit uit over 51 ontwerpbeslissingen van andere toezichthouders.

Voorts heeft de EDPB op 28 juli 2021 op basis artikel 65 van de AVG een tweede bindend besluit genomen. Met het aangenomen besluit wordt beoogd het gebrek aan consensus over een ontwerpbeslissing van de Ierse toezichthoudende autoriteit inzake WhatsApp Ireland Ltd. te verhelpen en tegemoet te komen aan de bezwaren die vervolgens door verscheidene betrokken toezichthoudende autoriteiten zijn geuit. Deze bezwaren hadden onder meer betrekking op de in de AVG vastgestelde inbreuken, de vraag of de specifieke gegevens in kwestie als persoonsgegevens moeten worden beschouwd en de gevolgen van een dergelijke bevinding, alsook de toereikendheid van de overwogen rechtsmiddelen. De GBA nam actief deel aan de besprekingen rond de aanneming van dit bindend besluit.

Werkzaamheden van de Raad van Europa

In 2021 heeft het Raadgevend Comité van Verdrag nr. 108 van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens zijn werkzaamheden over diverse onderwerpen die voor de GBA van belang zijn, voortgezet:

  • de profilering;
  • de verwerking van persoonsgegevens in het kader van en voor politieke campagnes ;
  • de bescherming van de persoonlijke levenssfeer van kinderen in de digitale omgeving, en ;
  • gezichtsherkenning.

In 2021 hebben nog eens vijf staten "Verdrag 108+" geratificeerd en heeft het comité tevens haar besprekingen over het toekomstige evaluatie- en toetsingsmechanisme van Verdrag 108+ voortgezet.

De FOD Justitie is de officiële vertegenwoordiger van de Belgische Staat in het Comité, maar de GBA volgt in de mate van het mogelijke de activiteiten van het Comité, gelet op hun relevantie voor de werkzaamheden van de GBA.

De Global Privacy Assembly (GPA)

In de GPA zijn gegevensbeschermingsautoriteiten uit meer dan 130 landen verenigd. Vanwege de Covid-19-crisis is de 43ste jaarlijkse bijeenkomst die in Mexico zou plaatsvinden, in oktober 2021 elektronisch gehouden. bij die gelegenheid vertegenwoordigde de voorzitter van de Geschillenkamer de GBA.

Tijdens deze bijeenkomst heeft de Vergadering belangrijke resoluties aangenomen:

De GBA heeft de besprekingen over deze resoluties op de voet gevolgd en verscheidene wijzigingsvoorstellen gedaan.

De Vergadering heeft ook een nieuw strategisch plan voor 2021-2023 aangenomen, alsmede de resolutie over de toekomst van de conferentie en het secretariaat, waarin wordt bepaald dat de GPA voortaan over een permanent secretariaat zal beschikken, dat uit de bijdragen van de leden wordt gefinancierd.

De bijeenkomst was ook een gelegenheid om een aantal zeer actuele thema's te bespreken, zoals de "zandbak (sandbox)" voor persoonsgegevens, gegevensdeling en innovatie, kunstmatige intelligentie en gegevensverwerking in de context van de Covid-19-crisis.

In de loop van het jaar heeft de GBA ook actief toezicht gehouden op de volgende subgroepen:

  • Internationale samenwerking inzake handhaving;
  • Digitale burger en consument.

European Case Handling Workshop

De GBA nam deel aan de European Case Handling Workshop die in november 2021 werd georganiseerd door de Gibraltar Regulatory Authority. Vanwege de Covid-19 crisis, werd dit elektronisch gedaan.

De European Case Handling Workshop  brengt elk jaar meer dan 30 Europese gegevensbeschermingsautoriteiten samen om "goede praktijken"  uit te wisselen en de door de toezichthoudende autoriteiten opgedane expertise te delen.

Bij die gelegenheid had de GBA de mogelijkheid om informatieve workshops bij te wonen over diverse onderwerpen die van belang zijn voor de taken van de GBA: kennisgevingen van inbreuken in verband met persoonsgegevens, procedures voor de behandeling van klachten, onderzoeken en inhoudelijke beslissingen, alsmede de gevolgen van het "Schrems II"-arrest van het Hof van Justitie van de Europese Unie.

Bilaterale uitwisselingen met andere Europese toezichthoudende autoriteiten

De GBA organiseerde bilaterale bijeenkomsten met haar tegenhangers bij de Commission nationale de l'informatique et des libertés (CNIL, Frankrijk) en de Autoriteit Persoonsgegevens (AP, Nederland) om het beheer van klachten te bespreken. Het doel van deze bijeenkomsten was ervaringen uit te wisselen en de interne procedures van de GBA te verbeteren.

L’Association francophone des autorités de protection des données personnelles (AFAPDP)

De GBA nam deel aan de activiteiten van AFAPDP gedurende het hele jaar 2021.