Nederland is niet het enige land dat worstelt met handhaving van de Algemene Verordening Gegevensbescherming. In vrijwel ieder Europees land komen toezichthouders om in de klachten en meldingen van burgers en bedrijven. Ook in België, waar de Gegevensbeschermingsautoriteit onlangs tientallen klachten moest seponeren door gebrek aan menskracht. Waar gaat dat zo mis? Tweakers sprak met Cédrine Morlière, de voorzitter van de GBA, over achterstanden, verouderde computersystemen en boetes voor Vlamingen met bewakingscamera's.
Al bij de eerste vraag begint Morlière uit zichzelf de structuur van de GBA uit te leggen. Die is heel anders dan in Nederland; in België is ook de privacytoezichthouder lastig te doorgronden. Waar bij de Nederlandse Autoriteit Persoonsgegevens een voorzitter met twee vicevoorzitters leiding geeft aan verschillende afdelingen, heeft de Gegevensbeschermingsautoriteit vijf gelijkwaardige, maar losstaande afdelingen. Die hebben allemaal een eigen functie, een eigen mandaat en, belangrijker, een eigen voorzitter. Die voorzitters vormen samen het directiecomité. Morlière: "Ik ben voorzitter van het Kenniscentrum, dat wetgevende adviezen aan de overheid geeft. Wat in België specifiek nog meespeelt en waar we uniek in zijn, is ons roterende voorzitterschap. Iedere drie jaar is een van de vijf directeuren de voorzitter van het directiecomité." Op dit moment is Morlière dat, maar ze stopt binnenkort met die functie.
Morlière beschrijft ook de andere afdelingen. De Eerstelijnsdienst ontvangt klachten van burgers, de Inspectiedienst doet onderzoek naar die klachten en overtredingen, en dan is er nog de Geschillenkamer, die bemiddelt bij meningsverschillen tussen burgers en de GBA of tussen Europese toezichthouders. Tot slot heeft de GBA nog een Algemeen secretariaat, dat over de begroting en het personeelsbeleid gaat en dat ook weer een eigen directeur heeft. Je moet bijna een handleiding hebben om de structuur te doorgronden.
OnderdeelFunctieDat Morlière mijn eerste vraag beantwoordt door de structuur uit te leggen, heeft een reden. Het is belangrijk die structuur te begrijpen om te kunnen volgen hoe de handhaving van de AVG in België wordt nageleefd. Die structuur is mede debet aan de problematiek waarvoor de GBA de afgelopen jaren kwam te staan.
De AVG was in mei vijf jaar van kracht. Hoe is het inmiddels met die wet in België? Wordt die goed nageleefd?
De AVG was in mei vijf jaar van kracht. Hoe is het inmiddels met die wet in België? Wordt die goed nageleefd?"Daarvoor is het belangrijk de organisatie te leren kennen. De Eerstelijnsdienst ontvangt klachten en stuurt die naar de Inspectiedienst. Die oordeelt of er een nadere inspectie van een klacht nodig is en kan die doorsturen naar de Geschillenkamer."
'Onder mijn directie leggen we meer de nadruk op bemiddeling tussen partijen.'"Sinds 2018, toen de AVG inging, hebben we nieuwe onderzoeksbevoegdheden gekregen. Dat was dankzij de Inspectiedienst. De Inspectiedienst oordeelt in de eerste plaats over een klacht door te kijken of die in de juiste taal is opgesteld en of de klager voldoende informatie heeft meegeleverd. Zodra dat in orde is, gaat de klacht door naar het sanctieorgaan: de Geschillenkamer. Die kan maatregelen opleggen, zoals lasten onder dwangsom en boetes. De Kamer is daarbij gebonden aan zeer strenge regels, die ook later nog door een rechter kunnen worden herzien. Rechters stellen hoge procedurele eisen aan een klacht. Dat is normaal, want het kost tijd en energie om beslissingen van zo'n hoog niveau goed te ondersteunen."
"Dat is waar het de afgelopen jaren vaak misging; de Inspectiedienst bepaalt of een klacht goed is ingediend en vervolgens gaat de Geschillenkamer aan de slag met een strenge eis. Wat altijd ontbrak in dat systeem, was een manier om een lichter antwoord te geven, zoals alleen een waarschuwing. Onder mijn directie leggen we meer de nadruk op bemiddeling tussen partijen. Dat kan een betere oplossing opleveren dan wanneer we direct sancties moeten opleggen. Dat zie je bijvoorbeeld ook bij de Inspectiedienst. Die kan voorstellen om iets te doen om het geschil op te lossen zonder meteen een heel onderzoek te moeten starten. Pas als dat niet lukt en niets oplevert, kun je bezwaar aantekenen."
De Gegevensbeschermingsautoriteit ontving vorig jaar 604 privacyklachten. Dat zijn er heel wat minder dan in Nederland; de Autoriteit Persoonsgegevens ontving in 2022 13.000 klachten en nam zelfs minder vaak de telefoon op om het aantal binnenkomende klachten te verminderen. Morlière: "Toen jullie over die seponeringen schreven, waarin we op zoek naar precies die nieuwe, procedurele actiemiddelen waarmee we gecoördineerder zaken konden oplossen zonder daar meteen een sanctie aan te hangen."
Is dat bedoeld om de Geschillenkamer te ontlasten? Die moest eerder dit jaar honderden klachten seponeren vanwege onderbezetting.
Is dat bedoeld om de Geschillenkamer te ontlasten? Die moest eerder dit jaar honderden klachten seponeren vanwege onderbezetting."Op dat moment zochten we inderdaad naar nieuwe zogenoemde procedurele actiemiddelen, waardoor we zaken beter konden oplossen zonder meteen straffen op te leggen. Dat wordt een belangrijke verantwoordelijkheid van de nieuwe directie bij de Eerstelijnsdienst, waar klachten eerst binnenkomen. Die gaan we ook versterken; daar moeten genoeg mensen komen te werken. We hebben heel duidelijk de nadruk gelegd op meer middelen daarvoor."
Dus jullie achterstanden zijn voornamelijk te wijten aan een gebrek aan menskracht?
Dus jullie achterstanden zijn voornamelijk te wijten aan een gebrek aan menskracht?"De seponeringen kwamen niet alleen door onze beperkte middelen, maar het helpt dat we die mensen nu wel efficiënter kunnen inzetten. Een groot pijnpunt is ons datasysteem. Dat is het al een tijd. Het is een dinosaurus. We hebben nu ict'ers kunnen aannemen die dat systeem voor ons gaan aanpassen."
Met de nieuwe systemen kan de GBA binnenkomende klachten, vragen en meldingen sneller koppelen en doorzetten. Dat gebeurt op basis van metadata, zegt ze. Daarmee kunnen klachten bijvoorbeeld makkelijker gegroepeerd worden op onderwerp of ernst. Dat maakt het ook makkelijker om eerder waarschuwingen of brieven te sturen na zo'n klacht.
Met de komst van de AVG kreeg de GBA in 2018 het mandaat om boetes uit te delen. België voert daarin een heel ander beleid dan Nederland. De GBA deelde 40 boetes uit, maar die waren gemiddeld laag. In totaal werd voor 1.852.000 euro aan boetes uitgedeeld sinds de eerste boete in 2019, blijkt uit data van diensten als de GDPR Enforcement Tracker. Vergelijk dat met Nederland; dat deelde de helft van het aantal boetes uit, 21, maar daarmee werd in totaal 14.744.500 euro opgehaald voor de schatkist.
Jullie eerste boete ging in 2019 naar een burgemeester die e-mailadressen onterecht gebruikte. Het ging om een relatief lage 2000 euro. Jullie Nederlandse collega's gaan, vanwege onderbezetting, bewust alleen achter grote overtredingen aan. Jullie lijken dat niet te doen en ook achter kleine zaken aan te gaan. Waarom?
Jullie eerste boete ging in 2019 naar een burgemeester die e-mailadressen onterecht gebruikte. Het ging om een relatief lage 2000 euro. Jullie Nederlandse collega's gaan, vanwege onderbezetting, bewust alleen achter grote overtredingen aan. Jullie lijken dat niet te doen en ook achter kleine zaken aan te gaan. Waarom?"Het is heel belangrijk om zichtbaar te zijn. Er komt binnenkort een boete aan die naar databrokers kijkt, al moet ik daar nog vaag over blijven. Het punt is dat die grote zaken veel tijd en energie kosten. De Geschillenkamer keek vorig jaar naar datatransfer naar de Verenigde Staten. Dat ging over transfers van data van burgers door de Belastingdienst. Dat liep uiteindelijk uit op een schorsing, maar het heeft wel veel tijd gekost."
"Er is echter ook een periode geweest dat we tijdelijk minder beslissingen uitdeelden. Of beter gezegd, beslissingen die misschien minder de aandacht trokken zoals dat in Nederland gebeurt. Zoals bij de keer dat we een boete gaven aan burgers die bewakingscamera's hadden opgehangen."
Waar liggen nu jullie prioriteiten? En gaan die nog veranderen in de komende periode?
Waar liggen nu jullie prioriteiten? En gaan die nog veranderen in de komende periode?"Die prioriteiten hebben we al eerder vastgelegd. Bij de naderende verkiezingen, in juni volgend jaar, moeten we bijvoorbeeld de regels herhalen over wat burgemeesters wel en niet mogen doen. We hebben eerder de nadruk ook gelegd op cookies, datahandelaren, smart cities en functionarissen gegevensbescherming."
De GBA heeft in het verleden inderdaad regelmatig onderzoek gedaan naar smart cities. Het ging bij die onderzoeken voornamelijk om de inzet van slimme camera's, die door gemeenten zoals Leuven en aan de kust werden ingezet. Maar het was vooral op het gebied van cookies dat de Gegevensbeschermingsautoriteit echt een grote slag wist te slaan. De GBA deelde in 2022 een boete van 250.000 euro uit aan gebruikers van een veelgebruikte cookiepop-up van IAB Europe. Die werd door honderden media in Europa gebruikt voor cookiewalls die daarmee zogenaamd aan de AVG voldeden, maar de pop-up bleek niet transparant, de verantwoordelijkheid was verkeerd afgestemd en belangrijker: hij voldeed niet aan veel AVG-eisen, zoals het intrekken van toestemming. Dat leidde ertoe dat de cookiemuur grondig op de schop moest. Dat had vergaande gevolgen voor Belgische, maar ook Nederlandse uitgevers.
Maar, zegt Morlière, ondanks die successen is het nog steeds te druk bij de GBA. "We moeten keuzes maken. Dit jaar alleen al kregen we 400 aanvragen voor een beoordeling van een wetsvoorstel of initiatief. We kunnen daar maar zeer selectief op antwoorden."
Hoe bepalen jullie waar je dan op let? Op basis waarvan maak je die keuzes?
Hoe bepalen jullie waar je dan op let? Op basis waarvan maak je die keuzes?"Al onze afdelingen kiezen hun eigen prioriteiten, maar daarin werken we wel samen. De Geschillenkamer bepaalt zijn eigen criteria voor klachtenprocedures. Dat gebeurt op een manier die geldt voor alle vier de andere Kamers. Voor mijn rol binnen het Kenniscentrum geldt: overheden moeten zelf aangeven bij een wetsvoorstel hoe invasief iets mogelijk is. Als ik dan een aanvraag beoordeel, baseer ik me op een snelle scan van de wetgeving en beoordeel of die overeenkomt met de realiteit. Maar eerlijk, daar zit een risico aan. Als ik 400 adviesaanvragen krijg, kunnen we die niet allemaal bekijken. We proberen dan commentaar te geven op in ieder geval de ingrijpendste voorstellen."
Morlière verwijst daarnaast naar de rol van de functionaris gegevensbescherming, die in België ook vaak data protection officer wordt genoemd. Onder de AVG moeten overheden of bedrijven met een bepaalde grootte zo iemand in dienst hebben. Een FG hoort een onafhankelijke positie te hebben in een bedrijf en moet aangeven wanneer er misstanden rondom privacybescherming spelen. In Nederland noemde AP-voorzitter Aleid Wolfsen die FG's altijd 'onze ogen en oren in het bedrijfsleven' en er werd veel aandacht besteed aan hun rol. Morlière zegt dat dat ook in België prioriteit heeft. "We controleren regelmatig of de juiste personen op de juiste positie zitten."
Zijn Belgen sinds 2018 bewuster geworden van privacy en hun rechten?
Zijn Belgen sinds 2018 bewuster geworden van privacy en hun rechten?"Ik denk het wel. Dat zien we aan de klachten en informatieverzoeken die we binnenkrijgen. Soms doen burgers zelf verzoeken aan bedrijven of overheden op basis van standaarddocumenten. Zulke documenten en tools maken wij en bieden we publiek aan. We merken dat burgers daar gebruik van maken."
Waar komt dat door, denkt u?
Waar komt dat door, denkt u?"Onze communicatieafdeling is daar belangrijk in geweest. We hebben bijvoorbeeld de website Ikbeslis.be opgezet; die wordt veel bezocht. Voor de coronacrisis hebben we ook interessante acties gehouden. We organiseerden bijvoorbeeld een concert van de artiest Ozark Henry. Belgen konden exclusieve kaarten winnen voor dat concert, maar daarvoor moest je zogenaamd wel veel persoonlijke informatie delen, zoals een mobiel nummer, geboortedatum of wanneer je voor het laatst een concert hebt bezocht. Dat was een bewustzijnsactie waarbij we de Bewiatzijnvraag stelden: 'Is het echt nodig om hier al die informatie voor af te geven?' We hebben dat vervolgens ook als bericht naar alle deelnemers gestuurd."
"Natuurlijk ligt een deel van de zichtbaarheid ook in de sancties die wij opleggen, zoals boetes die in het nieuws komen. Maar burgers hebben zelf ook een belangrijke rol om zichzelf te informeren. Als bijvoorbeeld de vraag rondgaat of je telefoon je afluistert, dan moeten mensen ook stilstaan bij hoeveel informatie ze via dat apparaat afstaan. Of denk aan cookies zelf. Wij geven boetes, maar burgers moeten zich ook bewust zijn van de rol die zij spelen in dat ecosysteem als ze alles maar accepteren."
En hoe zit het met de duidelijkheid voor het bedrijfsleven? Snappen ze daar na vijf jaar hoe ze de AVG moeten implementeren en waar ze op moeten letten?
En hoe zit het met de duidelijkheid voor het bedrijfsleven? Snappen ze daar na vijf jaar hoe ze de AVG moeten implementeren en waar ze op moeten letten?"Er is inmiddels wel meer duidelijk door normuitleg door onze Geschillenkamer of via adviezen uit het Kenniscentrum. Die zaken worden ook op Europees niveau goed uitgelegd. Ik hoop, en denk, dat die uitleg sinds de AVG veel vooruitgang heeft geboekt."
Geldt dat ook voor de overheid?
Geldt dat ook voor de overheid?"Ik heb daar vooral kijk op als voorzitter van het Kenniscentrum. Ik krijg in die rol veel aanvragen te zien vanuit overheden en ik zie daarin de wens om rekening te houden met privacywensen. Ook stellen overheden specifieke vragen om de privacywet goed te interpreteren. Mijn algemene indruk is dat er een sterke wens is om aan de wet te voldoen."
Leuk dat die wens er is natuurlijk, maar gebeurt daar vervolgens ook iets mee?
Leuk dat die wens er is natuurlijk, maar gebeurt daar vervolgens ook iets mee?'Overheden willen wel aan de privacywet voldoen, maar dat is moeilijk.'"Je ziet wel dat de wetten en regels die overheden invoeren, brede domeinen betreffen en dat maakt het lastig. Neem algoritmes. We krijgen daar veel vragen over, zoals wanneer die kunnen worden gebruikt om bepaalde premies uit te delen. Daar wil de overheid dan aandacht aan besteden, ook vanuit de komende AI Act uit Europa, maar daarvoor zijn ook politieke beslissingen nodig. Overheden moeten besluiten wie bevoegd is om daarop te handelen en hoe de coördinatie gaat."
Wat wordt de toekomst voor de GBA en voor privacy? Waar gaan jullie binnenkort extra op letten?
Wat wordt de toekomst voor de GBA en voor privacy? Waar gaan jullie binnenkort extra op letten?"Ik denk dat anonimisering een groot debat gaat worden. We geven al een tijdje prioriteit aan anonimiseringstechnieken, bijvoorbeeld in smart cities. Als wij een wetsvoorstel beoordelen, proberen we duidelijke richtlijnen af te geven over wanneer een technologie echt anoniem is en wanneer niet. Als je bijvoorbeeld gegevens hasht, is dat niet automatisch anoniem. Gegevens écht anonimiseren is heel moeilijk; dat is geen onschuldig debat. Daar voeren we ook in Europa belangrijke gesprekken over."
"Dat vraagstuk wordt ook steeds belangrijker. Gemeenten willen steeds meer statistieken inzien over mobiliteit in een regio. Het is dan ook aan ons om te kijken wanneer die gegevens relevant zijn. Is het relevant om het brandstofverbruik te meten? Of het type voertuigen? Zulke informatie kan uiteindelijk gebruikt worden om een zeer helder beeld te krijgen van iemand. Wij moeten ervoor zorgen dat de voorspelbaarheid in zulke patronen vermindert. Daar gaat veel prioriteit naartoe."
Source: Tweakers.net