Portret van David Stevens voorzitter van GBA

Voorwoord

Bezint eer ge begint: de gegevensbeschermingimpactanalyse !

Zoals het dagelijkse leven van de meesten onder ons, stond voor de Autoriteit 2021 grotendeels in het teken van de strijd tegen COVID, of althans de bescherming van onze persoonlijke levenssfeer daarbij. Terwijl we vroeg in het jaar de eerste uitspraken van de Geschillenkamer noteerden (toen onder meer nog over camerabewaking aan de kust), traden we tegen het eind van het jaar uit eigen beweging op tegen een mogelijk gegevenslek bij het Bruvax-platform, of in verband met een mogelijke gegevenslekken bij het valideren en lezen van de Covid Safe Tickets via de CovidScan-applicatie. Door die proactieve houding wil de GBA niet alleen burgers beter beschermen, maar ook verwerkingsverantwoordelijken aanzetten tot gedegen analyse alvorens een risicovolle gegevensverwerking aan te vatten. In heel wat gevallen is het maken van een gegevensbeschermingsimpactanalyse (GEB) overigens verplicht. Het is dan ook één van de documenten die de GBA systematisch opvraagt in het kader van haar monitoring om een beter zicht te krijgen op het al dan niet problematische karakter van sommige gegevensverwerkingen. Bezint best eer ge begint!

In 2021 heeft de GBA beslissingen ten gronde uitgebracht die nageleefd werden. De kwaliteit van het werk van de Inspectiedienst (in verband met een ziekenhuisnetwerk dat de vaccinatiestatus van sollicitanten opvroeg) werd in beroep door de Geschillenkamer bevestigd. Ook van het Hof van Justitie kregen wij (minstens gedeeltelijk) gelijk dat er uitzonderlijke omstandigheden kunnen bestaan waarbinnen wij als toezichthoudende autoriteit optreden tegen een verwerkingsverantwoordelijke waarvoor wij in Europese context niet de leidinggevende autoriteit zijn.

2021 stond niet alleen in het licht van COVID of handhaving. Zoals vooropgesteld in haar Strategisch Plan 2020-2025 en de bijhorende beheersplannen, werkt de GBA ook verder aan het ontwikkelen en uitbouwen van nieuwe toezichtsinstrumenten.

Zo keurde de GBA voor de derde verjaardag van de inwerkingtreding van de AVG (op 20 mei 2021) en met unanieme instemming van alle 26 Europese collega-toezichthouders de allereerste transnationale gedragscode goed. De “EU Cloud gedragscode” bundelt de goede praktijken inzake gegevensbescherming voor cloud service providers om zo bij te dragen tot een betere bescherming van alle Europese burgers.

Naast handhaving en nieuwe toezichtsinstrumenten, formuleerde ons Kenniscentrum gedurende 2021 249 adviezen over wet- en regelgeving en behandelde de Eerstelijnsdienst 3.735 informatieaanvragen, 116 bemiddelingsverzoeken en 1928 klachten van burgers of verwerkingsverantwoordelijken.

Ondanks de soms moeilijke omstandigheden in 2021 zijn alle medewerkers het beste van zichzelf blijven geven om alle belanghebbenden zo goed mogelijk van dienst te zijn. Namens het gehele Directiecomité wil ik hen daarvoor opnieuw graag van harte danken.

De verwezenlijkingen van de GBA die in dit jaarverslag worden uiteengezet, weerspiegelen mede de bijdragen van directeurs die de GBA hebben verlaten, waarvoor hen ook erkenning toekomt.