Het Algemeen Secretariaat heeft een dubbele rol binnen de GBA.
Het voert enerzijds een aantal horizontale taken uit, zoals
- het beheer van de ondersteunende diensten van de GBA (IT, boekhouding, HR, DPO, onthaal en vertaaldienst);
- het beheren van de interne en externe communicatie;
- het ondersteunen van de Voorzitster en het Directiecomité bij de uitvoering van hun taken.
Anderzijds heeft het Algemeen Secretariaat ook een aantal inhoudelijke taken, zoals:
- het toezien op de maatschappelijke, economische en technologische ontwikkelingen die een impact hebben op de bescherming van de persoonsgegevens;
- het goedkeuren van de gedragscodes;
- het goedkeuren van modelcontractbepalingen en bindende ondernemingsregels;
- het behandelen van gegevensinbreuken (volgens een methodologie die door de vernieuwde Directiecomité herwerkt werd)
Voor 2022 zet het Algemeen Secretariaat graag de volgende realisaties in de kijker:
Internationale doorgiften
Het Algemeen Secretariaat neemt actief deel aan werkzaamheden van de EDPB op het gebied van internationale doorgiften van persoonsgegevens.
De EDPB heeft in 2022 verschillende belangrijke richtsnoeren en aanbevelingen inzake gegevensdoorgiften aangenomen. Met betrekking tot bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken (aangeduid met de Engelse afkorting "BCR-C") heeft de EDPB "Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR) gepubliceerd, waarover een openbare raadpleging is gehouden. Zodra de definitieve tekst is goedgekeurd, zullen deze aanbevelingen de WP256 rev.01 (de "BCR-C-referentie") en de WP264 (het document met het standaard aanvraagformulier voor BCR-C's) vervangen. Dit document bevat ook de afspraken die zijn gemaakt in het kader van de goedkeuringsprocedures voor BCR-C's sinds de inwerkingtreding van de AVG, en de vereisten van het arrest "Schrems II" van het HvJ-EU. Het Algemeen Secretariaat heeft actief deelgenomen aan de besprekingen over de tekst en heeft over deze publicatie in zijn nieuwsbrief gecommuniceerd.
De EDPB heeft bovendien richtsnoeren 4/2021 voor gedragscodes als instrumenten voor doorgifte gepubliceerd, een nieuw door de AVG ingevoerd instrument voor gegevensdoorgifte.
Het Algemeen Secretariaat heeft in 2022 verschillende nieuwe aanvragen tot goedkeuring van BCR's ontvangen en heeft BCR's onderzocht als medebeoordelingsautoriteit en in het kader van de samenwerkingsprocedure.
Het Algemeen Secretariaat heeft ook deelgenomen aan een workshop over BCR's met alle andere toezichthoudende autoriteiten die lid zijn van de EDPB, om goede praktijken uit te wisselen en de procedures voor goedkeuring van BCR's te stroomlijnen.
De vroegere krachtens Richtlijn 95/46/EG aangenomen standaardcontractbepalingen van de Europese Commissie moesten vóór 27 december 2022 geactualiseerd worden. Het Algemeen Secretariaat heeft de verwerkingsverantwoordelijken en de verwerkers via zijn nieuwsbrief van deze belangrijke datum in kennis gesteld.
Gecoördineerde actie 2022 van de EDPB
De GBA heeft deelgenomen aan de eerste jaarlijkse gecoördineerde actie van het Europees Comité voor gegevensbescherming (vaak aangeduid met de Engelse afkorting "EDPB"). De eerste editie van deze actie, die plaatsvond in het kader van het "Coordinated Enforcement Framework" van de EDPB, was gericht op het gebruik van clouddiensten door de overheid.
In totaal hebben 22 nationale toezichthoudende autoriteiten in de EER enquêtes gehouden over deze thematiek op basis van een vragenlijst die was opgesteld door de aan de actie deelnemende autoriteiten. Er werd contact opgenomen met meer dan 80 overheidsinstanties in de EER, waaronder Europese instellingen, die een brede waaier aan sectoren bestrijken (zoals gezondheidszorg, financiën, belastingen, onderwijs, aankoopcentrales en aanbieders van IT-diensten).
De GBA besloot eerst informatie te verzamelen door een vragenlijst te zenden aan twee soorten organisaties. Om een overzicht te krijgen van het gebruik van clouddiensten door de overheid in België, werd de vragenlijst naar twee belangrijke ICT-dienstverleners voor overheidsinstanties gestuurd. De vragenlijst werd bovendien naar 6 overheidsinstanties gestuurd die grote hoeveelheden gezondheidsgegevens verwerken en die een cruciale rol gespeeld hebben tijdens de Covid19-crisis.
De resultaten van de enquêtes werden op gecoördineerde wijze geanalyseerd en de EDPB publiceerde een verslag over de resultaten van de analyse. De GBA heeft brieven gestuurd naar de overheidsinstanties die onder de actie vallen om de belanghebbenden in staat te stellen een zelfevaluatie uit te voeren en de nodige stappen te ondernemen om aan hun gegevensbeschermingsverplichtingen te voldoen en eventueel opnieuw te onderhandelen over de voorwaarden met diensverleners van clouddiensten.
De EDPB heeft het thema van de gecoördineerde actie van 2023 bepaald: de benoeming en de rol van de functionaris voor gegevensbescherming (vaak genoemd met de Engelse acroniem "DPO" ). De GBA zal aan deze tweede gecoördineerde actie van de EDPB deelnemen.
Behandeling van gegevensinbreuken
2022 leek het jaar waarin vooral Belgische steden en gemeenten het slachtoffer werden van ransomware-aanvallen. Dit beeld dient evenwel enigszins genuanceerd te worden. Van de 1.426 nieuwe geopende gegevensinbreukdossiers in 2022, kunnen 361 onder hacking, phishing en malware worden geplaatst. Van deze 361 dossiers konden 135 (of 37%) gekwalificeerd worden als ransomware-aanvallen en binnen deze groep had 8 % betrekking op Belgische steden en/of gemeenten. Een gelijkaardig percentage had betrekking op Belgische ziekenhuizen en/of woonzorgcentra. Het overgrote deel van de gemelde ransomware-incidenten vindt dus plaats bij private spelers.
Dit neemt niet weg dat cyberaanvallen onder de vorm van ransomware een grote impact hebben op de rechten en vrijheden van natuurlijke personen. De GBA beveelt iedere verwerkingsverantwoordelijke daarom aan om maatregelen te treffen om dit risico het hoofd te bieden. In haar nieuwsbrief formuleerde de GBA een aantal aanbevelingen, zoals het up-to-date houden van de database van softwareprogramma’s en het zich vergewissen van mogelijke kwetsbaarheden in deze programma’s.
Ransomware-aanvallen zijn daarenboven meestal het gevolg van voorheen uitgevoerde phishing-aanvallen waarbij credentials worden gestolen, veelal via e-mail. Ook omtrent dit risico heeft de GBA in haar nieuwsbrieven enkele nuttige tips gegeven. Onder meer het gebruik van Multi Factor Authentication (MFA), sterke wachtwoorden, het periodiek wijzigen van wachtwoorden en het (technisch) afdwingen van deze wijziging wordt aangeraden. Daarenboven vestigde de GBA de aandacht op het correct gebruik van de velden CC en BCC in e-mailberichten en op het bezitten van een periodiek getest incident response plan.
De GBA trad ook op als co-rapporteur met betrekking tot de targeted update of the Guidelines on data breach notifiaction die in oktober 2022 in publieke consultatie gingen.
Aan de hand van bovenstaande activiteiten gaf de GBA uitvoering aan de eerste doelstelling van haar Strategisch plan (“Een verbeterde gegevensbescherming door sensibilisering”), de derde doelstelling (“Een verbeterde gegevensbescherming door evoluties te identificeren en te beantwoorden) en de vijfde doelstelling (“Een verbeterde gegevensbescherming met GBA als leider/gids en referentiecentrum”).
Gedragscodes
De GBA heeft ook dit jaar gewerkt aan verschillende internationale gedragscodes. Daarbij organiseerde zij een zogenaamde “code session”, waarbij bepaalde essentiële standpunten - in het kader van de informele fase van deze procedure - met andere Europese toezichthouders worden besproken (zie sectie 8.5 van Richtsnoeren 1/2019 en het EDPB document EDPB document omtrent informele "code sessions"). Op deze manier tracht de GBA, onder andere, de samenwerking en de effectieve bilaterale en multilaterale uitwisseling van informatie en best practices tussen toezichthoudende autoriteiten te bevorderen (zie ook artikel 70, lid 1, u) AVG.
Infosessie Microsoft 365 aan FODs
Het Algemeen Secretariaat heeft, samen met de DPO van de GBA, een analyse van de risico’s inzake gegevensbescherming uitgevoerd met betrekking tot het gebruik van de Microsoft 365 apps for enterprise. De GBA voerde deze analyse uit in haar rol van verwerkingsverantwoordelijke (en dus niet in haar rol als toezichthouder).
Er werd een infosessie georganiseerd vanuit de GBA voor geïnteresseerde ICT-verantwoordelijken, DPO’s, CISO’s en andere gelijkaardige profielen van de federale overheidsinstellingen en de federale instellingen van de sociale zekerheid en dit om deze te informeren over een aantal inzichten en ervaringen die uit voornoemde analyse voortvloeiden. Andere organisaties, vaak in het domein van gegevensbescherming, stellen in sommige gevallen eveneens de inzichten en ervaringen n.a.v. de eigen risicoanalyse inzake gegevensbescherming ter beschikking van het bredere publiek, soms onder de vorm van een zogenaamde ‘publieke DPIA’.
Verwezenlijkingen in cijfers
In 2022 heeft het Algemeen Secretariaat 25 goedkeuringsdossiers behandeld.
| Type dossier |
Resultaat |
Aantal |
| Administratieve regeling |
Goedgekeurd |
2 |
| Totaal administratieve regeling |
2 |
|
BCR (binding corporate rules)
|
Goedgekeurd |
5 |
| Informatie verstrekt |
1 |
| Behandeling stopgezet (door de aanvrager) |
3 |
| Totaal BCR |
9 |
|
DPIA
(data protection impact assessment)
|
Advies gegeven |
1 |
| Informatie verstrekt |
3 |
| Dossier onontvankelijk |
2 |
| GBA onbevoegd |
1 |
| Totaal DPIA |
7 |
| Gedragscode |
Goedgekeurd |
4 |
| Europees behandeld |
1 |
| Behandeling stopgezet (door de aanvrager) |
2 |
| Totaal gedragscode |
7 |
| Totaal |
|
25 |
In 2022 heeft het Algemeen Secretariaat 1.378 dossiers in verband met gegevensinbreuken in staat gesteld. Naar aanleiding van 101 meldingen nam het Algemeen Secretariaat contact op met de verwerkingsverantwoordelijke en zorgde voor de opvolging hiervan. In een aantal gevallen werden deze dossiers op het Directiecomité geagendeerd en naar aanleiding hiervan werden 2 dossiers aan de Inspectiedienst van de GBA overgemaakt.
| Type dossier |
Resultaat |
Aantal |
| Gegevensinbreuk gemeld door de verwerkingsverantwoordelijke |
Annulering van de melding |
22 |
| Geen zwaarwichtige inbreuken vastgesteld na controle melding |
1250 |
| Geen zwaarwichtige inbreuken vastgesteld na controle melding en contactname verwerkingsverantwoordelijke |
101 |
| Gegevensinbreukdossier op initiatief van het Algemeen Secretariaat |
Via Directiecomité naar Inspectiedienst |
2 |
| Geen inbreuken vastgesteld na controle |
3 |
| Totaal |
|
1378 |