De Gegevensbeschermingsautoriteit (GBA) is het onafhankelijke toezichtsorgaan op het vlak van de verwerking van persoonsgegevens, en werd opgericht door de wet van 3 december 2017 (hierna: “WOG”). Zij beschikt over een veel ruimer arsenaal aan mogelijkheden om op te treden dan haar voorganger, de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (de “Privacycommissie”). De GBA is een federale instelling met rechtspersoonlijkheid, ingesteld bij de Kamer van Volksvertegenwoordigers.


Bevoegdheden GBA

De algemene opdracht van de GBA wordt door art. 4 WOG bepaald als “het toezicht op de naleving van de grondbeginselen van de bescherming van de persoonsgegevens, in het kader van deze wet en van de wetten die bepalingen bevatten inzake de bescherming van de verwerking van persoonsgegevens”.

De GBA is dus in beginsel niet alleen bevoegd voor toezicht op de naleving van de Algemene Verordening Gegevensbescherming (hierna: “AVG”), of de algemene wetgeving inzake gegevensbescherming (zoals bijvoorbeeld de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, hierna: “WVG”), maar kan eveneens toezicht uitoefenen over de naleving van andere, meer specifieke wet- of regelgeving zoals bijvoorbeeld de camerawetgeving.

Het toezicht van de GBA heeft evenwel geen betrekking op de verwerkingen door de hoven en rechtbanken alsook door het openbaar ministerie bij de uitoefening van hun gerechtelijke taken. De GBA is ook niet bevoegd voor het toezicht op de verwerkingen van persoonsgegevens door politiediensten.

De GBA is bevoegd ten opzichte van actoren en instanties uit de publieke en private sector, en heeft de mogelijkheid om zelfstandig administratieve sancties op te leggen.


Samenstelling GBA

Luidens artikel 7 WOG is de GBA samengesteld uit een directiecomité, een Algemeen Secretariaat, een Eerstelijnsdienst, een Kenniscentrum, een Inspectiedienst, en een Geschillenkamer. Zowel de Geschillenkamer als het Kenniscentrum bestaan ook uit zes externe leden, die vanuit hun expertise bijdragen aan de werkzaamheden en beraadslagingen van die organen.

Het Directiecomité van de GBA is in juli 2022 gedeeltelijk vernieuwd na het ontslag van de vorige directeur van het Kenniscentrum en de opheffing van de mandaten van de directeuren van de Eerstelijnsdienst en het Algemeen Secretariaat. In juli 2022 is Cédrine Morlière als nieuwe directeur van het Kenniscentrum benoemd en is haar het voorzitterschap van de GBA toevertrouwd in opvolging van de vorige voorzitter van het Algemeen Secretariaat, overeenkomstig het alternerend voorzitterschap zoals voorzien in de organieke wet van 3 december 2017 tot oprichting van de GBA. Het Directiecomité is collegiaal verantwoordelijk voor het beheer van de twee afdelingen waarvoor op 27 september 2022 een aanwijzigingsprocedure voor twee nieuwe mandatarissen is opgestart.

In 2022 was de samenstelling van de GBA als volgt :

Directiecomité

  • David Stevens
    Voorzitter tot 24 april 2022 en Directeur van het Algemeen Secretariaat tot 20 juli 2022
  • Charlotte Dereppe
    Directrice van de Eerstelijnsdienst tot 20 juli 2022
  • Cédrine Morlière
    Voorzitster en Directrice van het Kenniscentrum, benoemd op 18 juli 2022
  • Peter Van den Eynde
    Inspecteur-Generaal van de Inspectiedienst
  • Hielke Hijmans
    Voorzitter van de Geschillenkamer

Kenniscentrum

Het Kenniscentrum is samengesteld uit zes leden en de Directeur van het Kenniscentrum. In 2022 waren er een aantal vacante plaatsen en slechts volgende leden waren in functie:

  • Yves-Alexandre de Montjoye
  • Marie-Hélène Descamps (nam ontslag in 2023)
  • Bart Preneel
  • Frank Robben (nam ontslag op 8 februari 2022)
  • Gert Vermeulen (lid sinds juli 2022)
  • Nathalie Ragheno (lid sinds juli 2022)
  • Griet Verhenneman (lid sinds juli 2022)

Geschillenkamer

De Geschillenkamer is samengesteld uit zes leden en de Voorzitter van de Geschillenkamer, Hielke Hijmans.

  • Yves Poullet
  • Romain Robert
  • Dirk Van der Kelen
  • Jelle Stassijns
  • Christophe Boeraeve
  • Frank De Smet

Het Directiecomité

De bevoegdheden en activiteiten van het Directiecomité zijn opgenomen in artikel 9 WOG en omvatten naast de goedkeuring van de jaarrekeningen onder meer ook de beslissing over de jaarlijkse begroting, de interne organisatie en samenstelling, en de jaarlijkse beheersplannen van de GBA.

Het Directiecomité heeft eveneens een belangrijke operationele verantwoordelijkheid op het vlak van de bescherming van de persoonlijke levenssfeer van de burgers, omdat het overeenkomstig artikel 63, 1° WOG kan beslissen de Inspectiedienst te vatten wanneer het ernstige aanwijzingen vaststelt van het bestaan van een praktijk die aanleiding kan geven tot een inbreuk op de grondbeginselen van de bescherming van de persoonsgegevens. In 2022 werd door het Directiecomité 9 maal gebruikgemaakt van deze bevoegdheid.

In 2022 kwam het Directiecomité 29 keer in vergadering bijeen.


Medewerkers en budget

Eind 2022 waren er 66 medewerkers in dienst van de GBA, tegenover 70 aan het einde van het jaar voordien, een daling met 5,7%.

Om haar werking te financieren, kon de GBA in 2022 beschikken over 9.993.740,56 EUR aan werkingskredieten (tegenover 9.535.251,52 EUR in 2021, een stijging met 4,8 %). De werkingskredieten werden hoofdzakelijk gefinancierd door de eigenlijke dotatie van 9.328.000 EUR en de overgedragen boni van vorige jaren.


Samenwerking

Nationale samenwerkingsverbanden

De GBA deelt kennis en informatie met tal van overheidsactoren wiens bevoegdheden raakvlakken hebben met gegevensbescherming. Ze geeft hiermee ook uitvoering aan de vierde doelstelling van haar Strategisch Plan (“Een verbeterde gegevensbescherming door samenwerking”).

De volgende voorbeelden illustreren dit:

  • De GBA gaf in 2022 opnieuw input aan de FOD Justitie voor de beantwoording van tientallen parlementaire vragen in verband met gegevensbescherming . Op die manier wil ze ook het parlementaire werk zo kwalitatief en degelijk mogelijk ondersteunen.
  • De GBA verleende advies op het wetsontwerp tot wijziging van de organieke wet van de GBA
  • De GBA werkt op federaal niveau regelmatig samen met een aantal “sectorspecifieke” toezichthouders, met name met het Controleorgaan voor Politionele Informatie, het Comité I en het Comité P. Het samenwerkingsprotocol dat zij onderling afsloten fungeert hierbij als leidraad.

Internationale samenwerking

De GBA heeft veel formele en informele contacten met andere gegevensbeschermingsautoriteiten. Hierdoor kan zij goede praktijken uitwisselen en haar interne procedures verbeteren, expertise uitwisselen, kwesties of geschillen van internationale omvang oplossen en ervoor zorgen dat de regels op coherente en uniforme wijze worden toegepast, waardoor het Strategisch Plan 2020-2025 wordt uitgevoerd.

Het Europees Comité voor Gegevensbescherming (EDPB)

De GBA heeft actief bijgedragen aan de werkzaamheden van de EDPB door deel te nemen aan de volgende subgroepen van deskundigen en taskforces :

  • Compliance, e-Government and Health
  • Cooperation
  • Enforcement
  • International Transfers
  • IT Users
  • Strategic Advisory
  • Technology
  • 101 Complaints Taskforce
  • Cookie Banner Taskforce
  • Fining Taskforce
  • Coordinated Enforcement Framework
  • Support Pool of Experts

De medewerkers van de GBA hebben ook als (co)-rapporteurs aan de volgende richtsnoeren gewerkt:

  • de vernieuwing van de richtsnoeren over anonimisering;
  • de gerichte bijwerking van de richtsnoeren inzake kennisgeving van gegevensinbreuken.

In 2022 heeft de GBA actief meegewerkt aan de redactie van de EDPB Data protection guide for small business die in april 2023 gelanceerd wordt.

De GBA geeft regelmatig commentaar op ontwerpen van andere toezichthoudende autoriteiten.

De leden van het directiecomité en medewerkers van de GBA hebben 15 plenaire vergaderingen van de EDPB bijgewoond. Sommige leden van het directiecomité hebben ook deelgenomen aan een bijeenkomst van de EDPB die in april 2022 in Wenen heeft plaatsgevonden en die tot doel had de samenwerking tussen toezichthoudende autoriteiten te versterken. Na deze bijeenkomst heeft de EDPB een verklaring over samenwerking op het gebied van handhaving gepubliceerd.[A1] 

De Global Privacy Assembly (GPA)

Van 25 tot en met 28 oktober 2022 vond in Istanbul de jaarlijkse bijeenkomst van de Global Privacy Assembly (GPA) plaats, onder de titel “A Matter of Balance: Privacy in The Era of Rapid Technological Advancement.” De GPA is de wereldwijde organisatie van privacy-toezichthouders. De GBA werd tijdens de bijeenkomst vertegenwoordigd door de Voorzitter van de Geschillenkamer.

Als gebruikelijk bevatte de bijeenkomst een open gedeelte, met veel aandacht voor kunstmatige intelligentie, maar ook andere thema’s zoals doorgiften van persoonsgegevens en handhavingsvraagstukken, alsook blockchain en de metaverse. Daarnaast was er een besloten gedeelte, alleen voor toezichthouders. Onder meer werd gesproken over het opbouwen van capaciteit (“capacity building”) voor internationale handhaving.

Er werden resoluties aangenomen over capaciteitsopbouw voor internationale samenwerking ter verbetering van de regelgeving inzake cyberbeveiliging en ter verbetering van het inzicht in de schade als gevolg van cyberincidenten, en over de beginselen en verwachtingen voor een passend gebruik van persoonsgegevens in gezichtsherkenningstechnologie.

Een centraal vraagstuk in de wandelgangen betrof het versterken en coördineren van de Europese inbreng.

De volgende bijeenkomst vindt in Bermuda plaats in oktober 2023.

Naast de bijeenkomst in Istanbul heeft de GBA ook actief deelgenomen aan enkele werkgroepen van de GPA, die regelmatig online bijeenkomen. Twee werkgroepen kunnen met name worden genoemd: de International Enforcement Working Group, waar uitwisselingen plaatsvinden over de handhaving ten opzichte van vaak mondiaal opererende bedrijven, en de Digital Citizen and Consumer Working Group, die zich bezighoudt met de verhouding tussen privacy-toezicht en andere vormen van toezicht, bijvoorbeeld op het gebied van de mededinging.         

Meer informatie is te vinden op https://globalprivacyassembly.org/

Lenteconferentie (“Spring Conference”)

De jaarlijkse lenteconferentie van alle Europese toezichthouders – inclusief van de landen die geen deel uitmaken van de Europese Economische Ruimte – vond in 2022 weer plaats, na een onderbreking van twee jaar wegens de pandemie. De conferentie werd georganiseerd door de Kroatische toezichthouder van 20 tot 22 mei in Dubrovnik. Een groot aantal actuele onderwerpen passeerde de revue. De conferentie werd bijgewoond door de Directeur van het Algemeen Secretariaat en de Voorzitter van de Geschillenkamer. Voorafgaand aan de conferentie vond een werksessie plaats over bindende bedrijfsvoorschriften (BCRs), waar een medewerker van het Algemeen Secretariaat aan deelnam.

L’Association francophone des autorités de protection des données personnelles (AFAPDP)

De GBA is lid van de AFAPDP.

Conferentie van de Internationale Orde van Advocaten (IBA)

De GBA heeft op 31 oktober 2022 als spreker deelgenomen aan de jaarlijkse conferentie van de Internationale Orde van Advocaten (IBA) in Miami. Zij verduidelijkte daar de huidige Europese standpunten omtrent het gebruik van cookies. Daarnaast lichtte zij toe wat de impact zou kunnen zijn van het ontwerp van ePrivacy Verordening. In het bijzonder werden verscheidene advocaten, die internationaal actief zijn, aangemoedigd om hun cliënten te waarschuwen voor bepaalde valkuilen, waaronder: (1) de ruime scope van de “cookie bepalingen” (artikel 5.3 ePrivacy Richtlijn omvat ook andere technologieën dan “cookies”); en (2) de onrechtmatigheid van bepaalde “ingeburgerde” praktijken (incorrecte cookie banners, incl. dark patterns). In navolging hiervan heeft de GBA ook verscheidene acties ondernomen om zowel intern als op Europees niveau bepaalde standpunten verder te aligneren en te verduidelijken.