De Gegevensbeschermingsautoriteit (GBA) staat in het oog van een storm. Staatssecretaris Matthieu Michel en het Federaal Parlement werken aan een reorganisatie. Beltug, de vereniging van CIO’s en beslissers rond digitale technologie, hoopt dat de beleidsmakers dit momentum aangrijpen om de werking van de GBA grondig aan te passen en in te spelen op de concrete noden.
De GBA vervult als toezichthouder op de gegevensbescherming een essentiële rol voor burgers, bedrijven en overheden. Hoe sterker onze samenleving digitaliseert en hoe groter de rol van data wordt, des te belangrijker het is om een sterke en goed functionerende GBA te hebben. Met als doel tot een betere bescherming te komen van de data van alle burgers.
Het is een publiek geheim dat het fout loopt binnen deze federale instelling. Een reorganisatie dringt zich op, en het is goed dat zowel bevoegd staatssecretaris Michel als de parlementaire commissie Justitie (waaronder de GBA ressorteert) daar werk van maken. Dit is de kans om van de GBA een organisatie te maken die beter uitgerust is om haar cruciale rol op te nemen.
Fundamenteel bij deze hervorming is dat de GBA onafhankelijk kan oordelen en dat ze een structuur heeft die toelaat daadkrachtig op te treden. Met andere woorden: een versterking is noodzakelijk, want de organisatie kampt met een acuut gebrek aan mensen en middelen. Maar er is meer nodig.
Honderden bladzijden
Uit contacten met Beltug-leden blijkt dat er drie jaar na de start van de GDPR nog steeds veel vragen leven over hoe de regels concreet moeten worden toegepast. Laten we niet vergeten dat de GDPR en de honderden bladzijden met adviezen van de GBA en de European Data Protection Board die erop volgden, juridische teksten zijn, met ruimte voor interpretatie. Meestal denkt we bij privacy aan bedrijven zoals Meta (Facebook, Whatsapp, Instagram), Google en Microsoft, maar de GDPR is er voor alle ondernemingen, van een eenmanszaak tot een grote multinational.
Elk bedrijf en elke overheidsinstelling is op zoek naar wat er precies moet gebeuren als ze die regels implementeren in hun dagelijkse praktijk, meestal in it-systemen.
Wij pleiten daarom voor een sterke GBA , die bedrijven en overheidsinstellingen bijstaat om de regelgeving zo goed mogelijk toe te passen. Ze kan een belangrijke rol spelen om de complexe regels uit te leggen en met praktische aanbevelingen te zorgen voor meer (rechts-)zekerheid, ook voor de burger.
Ik geef een voorbeeld: de GDPR bepaalt dat je gegevens maar mag bewaren zolang dit gerechtvaardigd is. En dus stelt elk bedrijf zich de vraag hoelang de cv’s van sollicitanten, de logs in it-systemen voor securitychecks en klachten bewaard mogen worden. Wat een verspilling van tijd en moeite. Beltug heeft hier zelf een voorstel rond uitgewerkt, maar het zou beter zijn als de GBA hierover communiceert.
Of nog: de GBA heeft een uniek zicht op wat er misloopt. Waarom uit de ervaringen van de uitspraken bij overtredingen niet de belangrijkste lessen trekken en dele
Laagdrempelige toegang
Van een laagdrempelige toegang voor data protection officers – waarbij de GBA als een partner optreedt – is geen sprake. De antwoordtijd van de GBA is onvoorspelbaar en vaak te lang. Terwijl bedrijven die vragen stellen, net die organisaties zijn die de GDPR oprecht ter harte nemen.
Ook de inspecties kunnen klantvriendelijker. Bij een klacht kan de GBA de betrokken organisatie inspecteren om te onderzoeken of de klacht gegrond is en of er opgetreden moet worden. Echter: de vragenlijsten die gecontroleerde organisaties moeten invullen zijn erg lang en moeten binnen een heel korte termijn ingestuurd worden. Maar vaak duurt het meerdere maanden of zelfs meer dan een jaar voor de GBA het dossier verder behandelt. Ondertussen tasten organisaties in het duister, hebben ze niet de informatie om hun aanpak te verbeteren en lopen ze verder risico’s op klachten, onderzoeken of boetes.
Een goed werkende GBA is noodzakelijk om het privacy-landschap in België sterk te maken. Er is een belangrijke rol weggelegd voor de autoriteit, die veel verder gaat dan het uitschrijven van boetes en het geven van adviezen op de wetgeving. Met concrete aanbevelingen kan de GBA de privacy in de bedrijven en bij de overheid een flinke duw geven, met de burger als winnaar.
Iedereen verdient een GBA die de mogelijkheid heeft om de digitalisering van de maatschappij te begeleiden. Beste politici, geef haar de nodige middelen, de juiste structuur en een kader om gegevensbescherming en dataprivacy in ons land daadwerkelijk naar een hoger niveau te tillen.
Daarnaast is er dringend nood aan meer debat over privacy en digitalisering, om op zoek te gaan naar evenwichten tussen bescherming van privacy en de voordelen van toepassingen op het vlak van fraudebestrijding en gezondheid.
(Auteur Danielle Jacobs is ceo van Beltug.)
