Nederland is niet het enige land dat worstelt met handhaving van de Algemene Verordening Gegevensbescherming. In vrijwel ieder Europees land komen toezichthouders om in de klachten en meldingen van burgers en bedrijven. Ook in België, waar de Gegevensbeschermingsautoriteit onlangs tientallen klachten moest seponeren door gebrek aan menskracht. Waar gaat dat zo mis? Tweakers sprak met Cédrine Morlière, de directeur van de GBA, over achterstanden, verouderde computersystemen en boetes voor Vlamingen met bewakingscamera's.
Vijf losstaande afdelingen
Al bij de eerste vraag begint Morlière uit zichzelf de structuur van de GBA uit te leggen. Die is heel anders dan in Nederland; in België is de privacytoezichthouder lastig te doorgronden. Waar bij de Nederlandse Autoriteit Persoonsgegevens een voorzitter met twee vicevoorzitters leiding geeft aan verschillende afdelingen, heeft de Gegevensbeschermingsautoriteit vijf gelijkwaardige, maar losstaande afdelingen. Die hebben allemaal een eigen functie, een eigen mandaat en, belangrijker, een eigen directeur. Die directeuren vormen samen het directiecomité. Morlière: "Ik ben directeur van het Kenniscentrum, dat wetgevende adviezen aan de Belgische wetgever geeft. Wat in België specifiek nog meespeelt en waar we uniek in zijn, is ons roterende voorzitterschap. Iedere drie jaar wisselt het voorzitterschap van het directiecomité tussen de directeur van het Kenniscentrum en het Algemeen secretariaat." Op dit moment, sinds juli 2022, is Morlière dat. Dat mandaat loopt na drie jaar af.
Morlière beschrijft ook de andere afdelingen. De Eerstelijnsdienst ontvangt klachten van burgers en bemiddelt bij meningsverschillen tussen Burgers, de Inspectiedienst doet onderzoek naar die klachten en overtredingen, en dan is er nog de Geschillenkamer, die over klachten beslist en boetebevoegdheid heeft. Tot slot heeft de GBA nog een Algemeen secretariaat, dat onder andere over de begroting en het personeelsbeleid gaat en dat ook weer een eigen directeur heeft. Je moet bijna een handleiding hebben om de structuur te doorgronden.
| Onderdeel | Functie |
| Algemeen secretariaat | Interne organisatie, bijvoorbeeld hr en begroting |
| Eerstelijnsdienst | Klachtenafhandeling en voorlichting aan burgers |
| Kenniscentrum | Advies aan de overheid, voorlichting over maatschappelijke onderwerpen |
| Inspectiedienst | Onderzoek naar klachten en overtredingen |
| Geschillenkamer | Behandelen van geschillen tussen burgers en GBA, bemiddelen tussen lidstaten onder eenloketmechanisme |
Dat Morlière mijn eerste vraag beantwoordt door de structuur uit te leggen, heeft een reden. Het is belangrijk die structuur te begrijpen om te kunnen volgen hoe de handhaving van de AVG in België wordt nageleefd. Die structuur is mede debet aan de problematiek waarvoor de GBA de afgelopen jaren kwam te staan.
De AVG was in mei vijf jaar van kracht. Hoe is het inmiddels met die wet in België? Wordt die goed nageleefd?
"Daarvoor is het belangrijk de organisatie te leren kennen. De Eerstelijnsdienst ontvangt klachten en stuurt die naar de Geschillenkamer. Die oordeelt of er een nadere inspectie van een klacht nodig is en kan die doorsturen naar de Inspectiedienst."
'Onder mijn voorzitterschap leggen we meer de nadruk op bemiddeling tussen partijen.'
"Sinds 2018, toen de AVG inging, hebben we nieuwe onderzoeks- en sanctiebevoegdheden gekregen. Dat was dankzij de Inspectiedienst en de Geschillenkamer. De Eerstelijnsdienst oordeelt in de eerste plaats over een klacht door te kijken of die in de juiste taal is opgesteld en of de klager voldoende informatie heeft meegeleverd. Zodra dat in orde is, gaat de klacht door naar het sanctieorgaan: de Geschillenkamer. Die kan maatregelen opleggen, zoals lasten onder dwangsom en boetes. De Kamer is daarbij gebonden aan zeer strenge regels, die ook later nog door een rechter kunnen worden herzien. Rechters stellen hoge procedurele eisen aan een klacht. Dat is normaal, en daardoor kost het tijd en energie om beslissingen van zo'n hoog niveau goed te ondersteunen."
"Dat is waar het de afgelopen jaren vaak misging; de Eerstelijnsdienst bepaalt of een klacht goed is ingediend en vervolgens gaat de Geschillenkamer aan de slag met een strenge procedurele eis. Wat altijd ontbrak in dat systeem, was een manier om een lichter antwoord te geven buiten die geschillenprocedure, zoals alleen een waarschuwing. Onder mijn voorzitterschap leggen we meer de nadruk op bemiddeling tussen partijen door de Eerstelijnsdienst. Dat kan een snellere oplossing opleveren dan wanneer we direct sancties moeten opleggen via de Geschillenkamer. Dat zie je bijvoorbeeld ook bij de Inspectiedienst. Die kan voorstellen om iets te doen om het geschil op te lossen zonder meteen een hele geschillenprocedure te starten. Pas als dat niet lukt en niets oplevert, wordt de zaak door de Inspectiedienst naar de Geschillenkamer verstuurd."
Klachtenoverschot
De Gegevensbeschermingsautoriteit ontving vorig jaar 604 privacyklachten. Dat zijn er heel wat minder dan in Nederland; de Autoriteit Persoonsgegevens ontving in 2022 13.000 klachten en nam zelfs minder vaak de telefoon op om het aantal binnenkomende klachten te verminderen. De Geschillenkamer besloot in België juist om honderden, veelal oudere klachten te seponeren. Morlière: "Toen jullie over die seponeringen schreven, had ik die nieuwe, procedurele actiemiddelen net ingevoerd waarmee we gecoördineerder zaken konden oplossen zonder daar meteen een sanctie aan te hangen."
Is dat bedoeld om de Geschillenkamer te ontlasten? Die moest eerder dit jaar honderden klachten seponeren vanwege onderbezetting.
"In 2022 voerden we nieuwe zogenoemde procedurele actiemiddelen in, waardoor we zaken beter konden oplossen zonder meteen zonder dit onmiddellijk naar het sanctieorgaan te moeten escaleren. Dat wordt een belangrijke verantwoordelijkheid van de nieuwe directie bij de Eerstelijnsdienst, waar klachten eerst binnenkomen. Die gaan we ook versterken; daar moeten genoeg mensen komen te werken. We hebben heel duidelijk de nadruk gelegd op meer middelen daarvoor."
Dus jullie achterstanden zijn voornamelijk te wijten aan een gebrek aan menskracht?
"De seponeringen kwamen niet alleen door onze beperkte middelen, maar het helpt dat we die mensen nu wel efficiënter kunnen inzetten. Een groot pijnpunt is ook ons datasysteem. Dat is het al een tijd. Het is een dinosaurus. We hebben recent een nieuwe ict'er kunnen aannemen om dat systeem te kunnen aanpassen."
Met dat nieuwe systeem kan de GBA binnenkomende klachten, vragen en meldingen sneller koppelen en doorzetten. Dat gebeurt op basis van metadata, zegt ze. Daarmee kunnen klachten bijvoorbeeld makkelijker gegroepeerd worden op onderwerp of ernst. Dat maakt het ook makkelijker om eerder 'normuitleggende brieven' te ontwikkelen en te sturen na zo'n klacht.
Over boetes
Met de komst van de AVG kreeg de GBA in 2018 het mandaat om boetes uit te delen. België voert daarin een heel ander beleid dan Nederland. De GBA deelde 40 boetes uit, maar die waren gemiddeld laag. In totaal werd voor 1.852.000 euro aan boetes uitgedeeld sinds de eerste boete in 2019, blijkt uit data van diensten als de GDPR Enforcement Tracker. Vergelijk dat met Nederland; dat deelde de helft van het aantal boetes uit, 21, maar daarmee werd in totaal 14.744.500 euro opgehaald voor de schatkist.
Jullie eerste boete ging in 2019 naar een burgemeester die e-mailadressen onterecht gebruikte. Het ging om een relatief lage 2000 euro. Jullie Nederlandse collega's gaan, vanwege onderbezetting, bewust alleen achter grote overtredingen aan. Jullie lijken dat niet te doen en ook achter kleine zaken aan te gaan. Waarom?
"Het is heel belangrijk om zichtbaar te zijn en beslissingen met betrekking tot grote overtredingen te nemen. Er komt binnenkort een beslissing van de Geschillenkamer die naar databrokers kijkt, al moet ik daar nog vaag over blijven. Het punt is dat die grote zaken veel tijd en energie kosten. De Geschillenkamer keek vorig jaar naar datatransfers naar de Verenigde Staten. Dat ging over transfers van data van burgers door de Belastingdienst. Dat liep uiteindelijk uit op een tijdelijke schorsing, maar het heeft wel veel tijd gekost."
"Parallel neemt de Geschillenkamer ook beslissingen in kwesties die misschien minder de aandacht trokken zoals in Nederland. Zoals toen we een boete gaven aan burgers die bewakingscamera's onterecht hadden gebruikt. We krijgen een aanzienlijk aantal klachten met betrekking tot bewakingscamera’s: we moeten ook aan deze bezorgdheid tegemoetkomen en enkele sanctiebeslissingen treffen ook al gaat het niet om grootscheepse inbreuken. Vroeger moesten deze klachten vaak door gebrek aan bewijs geseponeerd worden. De Inspectiedienst werkt in de mate van het mogelijke samen met de lokale politie om desnoods bewijzen van inbreuken door bewakingscamera’s te vergaren. In het sepotbeleid van de Geschillenkamer wordt ook bij wijze van alternatieve structurele oplossing verwezen naar de nood aan certificering in de sector van bewakingscamera’s."
Keuzes maken
Waar liggen nu jullie prioriteiten? En gaan die nog veranderen in de komende periode?
"Die prioriteiten hebben we al eerder vastgelegd. Bij de naderende verkiezingen, in juni volgend jaar, moeten we bijvoorbeeld de regels herhalen over wat politici wel en niet mogen doen. We hebben eerder de nadruk ook gelegd op cookies, datahandelaren, smart cities en functionarissen gegevensbescherming."
De GBA heeft in het verleden inderdaad regelmatig onderzoek gedaan naar smart cities. Het ging bij die onderzoeken voornamelijk om de inzet van slimme camera's, die door gemeenten zoals Leuven en aan de kust werden ingezet. Maar het was vooral op het gebied van cookies dat de Gegevensbeschermingsautoriteit echt een grote slag wist te slaan. De GBA deelde in 2022 een boete van 250.000 euro uit aan gebruikers van een veelgebruikte cookiepop-up van IAB Europe. Die werd door honderden media in Europa gebruikt voor cookiewalls die daarmee zogenaamd aan de AVG voldeden, maar de pop-up bleek niet transparant, de verantwoordelijkheid was verkeerd afgestemd en belangrijker: hij voldeed niet aan veel AVG-eisen, zoals het intrekken van toestemming. Dat leidde ertoe dat de cookiemuur grondig op de schop moest. Dat had vergaande gevolgen voor Belgische, maar ook Nederlandse uitgevers.
Maar, zegt Morlière, naast de behandelingen van klachten is het ook zeer druk bij de GBA omwille van andere taken zoals wetgevingsadviezen. "We moeten keuzes maken. Dit jaar alleen al kregen we 400 aanvragen voor een beoordeling van ontwerpnormen. We kunnen daar maar zeer selectief op antwoorden."
:strip_exif()/i/2005422552.jpeg?f=imagenormal)
Hoe bepalen jullie waar je dan op let? Op basis waarvan maak je die keuzes?
"Al onze afdelingen kiezen hun eigen prioriteiten, maar daarin werken we wel samen. De Geschillenkamer bepaalt zijn eigen criteria voor klachtenprocedures. Dat gebeurt op een manier die geldt voor alle departementen die klachten behandelen. Voor mijn rol binnen het Kenniscentrum geldt: overheden moeten zelf aangeven bij een wetsvoorstel hoe invasief de voorgenomen gegevensverwerking mogelijk is. Als ik dan een aanvraag beoordeel, baseer ik me op een snelle scan van de wetgeving en beoordeel of die overeenkomt met de realiteit. Maar eerlijk, daar zit een risico aan. Als ik 400 adviesaanvragen in negen maanden krijg, kunnen we die niet allemaal bekijken. We proberen dan commentaar te geven op in ieder geval de ingrijpendste voorstellen."
Morlière verwijst daarnaast naar de rol van de functionaris gegevensbescherming, die in België ook vaak data protection officer wordt genoemd. Onder de AVG moeten overheden of bedrijven met een bepaalde grootte of als ze bepaalde gevoelige gegevens verzamelen zo iemand in dienst hebben. Een FG hoort een onafhankelijke positie te hebben in een bedrijf en moet aangeven wanneer er misstanden rondom privacybescherming spelen. In Nederland noemde AP-voorzitter Aleid Wolfsen die FG's altijd 'onze ogen en oren in het bedrijfsleven' en er werd veel aandacht besteed aan hun rol. Morlière zegt dat dat ook in België prioriteit heeft. "We controleren regelmatig of de juiste personen op de juiste positie zitten."
Bewustzijn
Zijn Belgen sinds 2018 bewuster geworden van privacy en hun rechten?
"Ik denk het wel. Dat zien we aan de klachten en informatieverzoeken die we binnenkrijgen. Soms doen burgers zelf verzoeken aan bedrijven of overheden op basis van standaarddocumenten. Zulke documenten en tools maken wij en bieden we publiek aan. We merken dat burgers daar gebruik van maken."
Waar komt dat door, denkt u?
"Onze communicatieafdeling is daar belangrijk in geweest. We hebben bijvoorbeeld de website Ikbeslis.be opgezet; die wordt veel bezocht. Nog voor de coronacrisis hebben we ook interessante acties gehouden. We werkten bijvoorbeeld samen met de organsiatie van een concert van onder andere de artiest Ozark Henry. Belgen konden exclusieve kaarten winnen voor dat concert, maar daarvoor moest je zogenaamd wel veel persoonlijke informatie delen, zoals een mobiel nummer, geboortedatum of wanneer je voor het laatst een concert hebt bezocht. Dat was een bewustzijnsactie waarbij we de vraag stelden: 'Is het echt nodig om hier al die informatie voor af te geven?' We hebben dat vervolgens ook als bericht naar alle deelnemers gestuurd."
/i/2006147938.png?f=imagenormal)
"Natuurlijk ligt een deel van de zichtbaarheid en de impact van onze acties ook in de sancties die wij opleggen, zoals boetes die in het nieuws komen. Maar burgers hebben zelf ook een belangrijke rol om zichzelf te informeren. Als bijvoorbeeld de vraag rondgaat of je telefoon je afluistert, dan moeten mensen ook stilstaan bij hoeveel informatie ze via dat apparaat afstaan. Door bijvoorbeeld het downloaden van apps en het aanvaarden van de ermee verbonden cookies. Wij leggen boetes op, treden sanctionerend op tegen onrechtmatig cookiegebruik, maar burgers moeten zich ook bewust zijn van de rol die zij spelen in dat ecosysteem als ze die alsmaar accepteren.."
En hoe zit het met de duidelijkheid voor het bedrijfsleven? Snappen ze daar na vijf jaar hoe ze de AVG moeten implementeren en waar ze op moeten letten?
"Er is inmiddels wel meer duidelijk door normuitleg door onze Geschillenkamer of via adviezen uit het Kenniscentrum. Die zaken worden ook op Europees niveau goed uitgelegd. Ik hoop, en denk, dat die uitleg sinds de AVG veel vooruitgang heeft geboekt."
Geldt dat ook voor de overheid?
"Ik heb daar vooral kijk op als directeur van het Kenniscentrum. Ik krijg in die rol veel aanvragen te zien vanuit overheden en ik zie daarin de wens om rekening te houden met privacywensen. Ook stellen overheden specifieke vragen om de privacywet goed te interpreteren. Mijn algemene indruk is dat er een sterke wens is om aan de wet te voldoen."
Leuk dat die wens er is natuurlijk, maar gebeurt daar vervolgens ook iets mee?
'Overheden willen wel aan de privacywet voldoen, maar dat is moeilijk.'
"Je ziet wel dat de wetten en regels die overheden invoeren, brede domeinen betreffen. Neem algoritmes. We krijgen daar veel vragen over, zoals wanneer die kunnen worden gebruikt om bepaalde premies uit te delen of om gerichte acties uit te voeren. Daar wil de Belgische wetgever dan aandacht aan besteden, ook vanuit de aankomende AI Act uit Europa, maar daarvoor zijn ook politieke beslissingen nodig. De wetgever moet besluiten wie er bevoegd is om dit onder te toekomstige AI Act te controleren en indien meerdere overheden inclusief de GBA bevoegd wordt, hoe de coördinatie gaat."
Anonimisering
Wat wordt de toekomst voor de GBA en voor privacy? Waar gaan jullie binnenkort extra op letten?
"Ik denk dat anonimisering en pseudonimisering een groot debat is, en gaat bijven. We geven al een tijdje prioriteit aan anonimiseringstechnieken, bijvoorbeeld in smart cities. Als wij een wetsvoorstel beoordelen, proberen we duidelijke richtlijnen af te geven over wanneer een technologie echt anoniem is en wanneer niet. Als je bijvoorbeeld gegevens hasht, is dat niet automatisch anoniem. Gegevens écht anonimiseren is heel moeilijk; dat is geen onschuldig debat. Daar voeren we ook in Europa belangrijke gesprekken over."
"Dat vraagstuk wordt ook steeds belangrijker. Overheden willen steeds meer statistieken inzien over mobiliteit in een regio. Het is dan ook aan ons om te kijken wanneer die gegevens relevant zijn. Is het relevant om het type brandstofverbruik te meten of mobiliteit bestuderen? Of het type voertuigen? Zulke informatie kan uiteindelijk gebruikt worden om een zeer helder beeld te krijgen van iemand. Aan welke derde partijen of overheden worden dergelijke gegevens overgemaakt en voor welke doeleinden; het meten van mobiliteit en/of vervuiling in het kader van het omgevingsbeleid, of taxatie van bepaalde voertuigen? Wij moeten ervoor zorgen dat de voorspelbaarheid in zulke statistische patronen vergroot. Daar gaat veel prioriteit naartoe."
Update: in het artikel stond aanvankelijk dat er een boete van de Geschillenkamer zou komen voor databrokers, maar dat is onjuist: er komt een beslissing, waarvan nog niet zeker is of het een boete is.
:strip_exif()/i/2006076688.jpeg?f=fpa)
/i/2004735554.png?f=fpa)
:strip_exif()/i/1256224645.gif?f=fpa)
:strip_exif()/i/2005128772.jpeg?f=fpa)
:strip_exif()/i/2004648160.jpeg?f=fpa)
:strip_exif()/i/2006126882.jpeg?f=fpa)
:strip_exif()/i/2004776604.jpeg?f=fpa)
/i/2004838090.png?f=fpa)
/i/2004779058.png?f=fpa)
:strip_icc():strip_exif()/u/14/wildhagen60x60.jpg?f=community){kind=small}
/u/367546/crop6825fbafe3854_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/1550980/crop645165d56c42a_cropped.jpg?f=community){kind=small}