Het Algemeen Secretariaat heeft een dubbele rol binnen de GBA.
Het voert enerzijds een aantal horizontale taken uit, zoals het beheer van de ondersteunende diensten van de GBA (IT, boekhouding, HR, de DPO, onthaal en vertaaldienst), alsook het beheer van de interne en externe communicatie. In 2023 werden met name de volgende acties ondernomen om de activiteiten van de hele GBA te ondersteunen:
- Het personeelsstatuut van de GBA is geactualiseerd;
- Het personeelsbestand - dat begin dit jaar na een beslissing van de Kamer van Volksvertegenwoordigers met 20 FTE's werd uitgebreid - is na de succesvolle afronding van de wervingsprocedures volledig ingevuld.
- Er zijn voorbereidingen getroffen om het documentbeheersysteem te vervangen (Document Management System). Er is met name een behoeftenanalyse uitgevoerd en een speciaal lastenboek opgesteld dat begin 2024 zal worden gepubliceerd via een openbare aanbestedingsprocedure.
Anderzijds heeft het Algemeen Secretariaat ook een aantal inhoudelijke taken. Voor 2023 zet het Algemeen Secretariaat graag de volgende belangrijke realisaties in de kijker:
Internationale doorgiften
Een van de verantwoordelijkheden van het Algemeen Secretariaat op het gebied van internationale doorgiften is de goedkeuring van bindende bedrijfsvoorschriften of "BCR's" (Binding Corporate Rules). In 2023 werden 4 nieuwe BCR's goedgekeurd en de besluiten worden nu gepubliceerd op de GBA-website.
Het Algemeen Secretariaat heeft ook herhaaldelijk steun verleend aan zijn Europese tegenhangers tijdens de fasen van medebeoordeling ("co-review") en BCR-samenwerking waarvoor andere toezichthoudende autoriteiten als leidende autoriteit optraden.
In juni 2023 publiceerde de EDPB, waarvan de GBA lid is, de definitieve versie van « Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR) ». Dit nieuwe document neemt aanvullende vereisten op (met name als gevolg van de "Schrems II"-uitspraak van het HvJ-EU - zie hieronder) en voegt het oude referentiedocument (WP256 rev. 01) samen met het oude aanvraagformulier (WP 264). Het is nu van toepassing op groepen die BCR-C's willen indienen, d.w.z. bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken. De GBA deelde de betrokken groepen mee dat ze hun BCR-C's tegen 2024 in overeenstemming moesten brengen met de nieuwe aanbevelingen. Elk nieuw BCR-C dat vanaf 1 januari 2024 wordt ingediend, moet hier ook rekening mee houden.
In het algemeen bleef het Algemeen Secretariaat in 2023 actief bijdragen aan de verschillende EDPB-activiteiten met betrekking tot internationale gegevensdoorgiften.
Het Algemeen Secretariaat heeft met name de discussies gevolgd rond de aanneming door de Europese Commissie van een nieuwe adequaatheidsbeslissing met betrekking tot de Verenigde Staten ("US-EU Data Privacy Framework", of "DPF"). Deze laatste, die uiteindelijk op 10 juli 2023 werd aangenomen, concludeert dat de Verenigde Staten een wezenlijk gelijkwaardig beschermingsniveau bieden en volgt op het voormalige "Privacy Shield", dat in 2020 door het HvJ-EU nietig werd verklaard (het "Schrems II"-arrest). Opgemerkt moet worden dat de adequaatheidsbeslissing alleen van toepassing is op doorgiften van persoonsgegevens vanuit de EU naar organisaties in de Verenigde Staten die deelnemen aan het DPF.
Meer informatie en de tekst van de nieuwe adequaatheidsbeslissing is te vinden op de website van de GBA.
Het is ook vermeldenswaardig dat de EDPB in 2023 is begonnen met de implementatie van een nieuw doorgifte-instrument waarin de AVG voorziet: de certificering als instrument voor doorgifte (art. 46 (1) (f) AVG; niet te verwarren met de certificering als instrument voor conformiteit in art. 42 e.v. AVG).
Gecoördineerde actie 2023 van de EDPB
De GBA heeft deelgenomen aan de tweede jaarlijkse gecoördineerde actie van de EDPB die werd georganiseerd in het kader van het "Coordinated Enforcement Framework". Deze tweede editie was gericht op de aanwijzing en de rol van de functionaris voor gegevensbescherming ("DPO").
In 2023 startten 25 toezichthoudende autoriteiten in de Europese Economische Ruimte (EER) (waaronder de Europese Toezichthouder voor gegevensbescherming) gecoördineerde onderzoeken over dit onderwerp. Er werd contact opgenomen met verschillende organisaties en DPO's in de EER, die een breed scala aan sectoren (openbare en particuliere entiteiten) bestreken, en er werden meer dan 17.000 antwoorden ontvangen en geanalyseerd. Er werden veel gegevens verzameld, die een goed beeld geven van het profiel, de positie en het werk van DPO's, vijf jaar nadat de AVG van kracht werd. De GBA besloot een grootschalige enquête te houden onder alle DPO's van wie zij de contactgegevens heeft. De honderden antwoorden van DPO's in België werden gebruikt om een nationaal rapport op te stellen.
De resultaten van de nationale enquêtes werden vervolgens op een gecoördineerde manier geanalyseerd en de EDPB publiceerde een rapport over de resultaten van deze analyse. Om de uitdagingen die in het rapport worden genoemd het hoofd te bieden, worden aanbevelingen gedaan aan organisaties, DPO's en toezichthoudende autoriteiten, onder andere om de onafhankelijkheid van DPO's te versterken en ervoor te zorgen dat ze over de nodige middelen beschikken voor het uitvoeren van hun taken.
Een samenvatting van het rapport van de EDPB en de opmerkingen van de GBA is beschikbaar op de website van de GBA.
Behandeling van gegevensinbreuken
In 2023 leek dat voornamelijk Belgische steden en gemeentes het slachtoffer werden van ransomware-aanvallen. In het jaarverslag van 2022 stelden we dit beeld enigszins bij door te wijzen op het overkoepelend karakter van dit type aan gegevensinbreuken in zowel de private als publieke sector.
Naar aanleiding van deze problematiek schonk de GBA in haar negende nieuwsbrief, in haar terugkerende rubriek “Aanbevelingen om gegevensinbreuken te voorkomen” aandacht aan dit type gegevensinbreuken. Hierin werd voornamelijk een programmatorische en structurele aanpak naar voor geschoven. Zo raadt de GBA aan om een incident response plan en/of disaster recovery plan uit te werken, te handhaven en te updaten. Daarenboven blijven gerichte phishing-oefeningen en bewustwording-campagnes eveneens noodzakelijk. Ook een inventarisatie van de verschillende hardware- en sofware-componenten evenals het updaten van deze componenten is onontbeerlijk. Organisaties blijken immers nog steeds vatbaar voor reeds gedocumenteerde kwetsbaarheden, zoals LOG4J. Daarenboven dienen organisaties er zich van te vergewissen welke persoonsgegevens waar zijn opgeslagen. Indien deze gegevens niet langer nodig zijn om het doel te bereiken, dienen deze gewist te worden of anoniem te worden gemaakt (zie aanbeveling 03/2020 van de GBA).
Ook in haar tiende nieuwsbrief gaf de GBA enkele praktische tips. Zo werd stilgestaan bij de problematiek van niet-afdoende beveiligde online testomgevingen; maar eveneens bij het verwerken van persoonsgegevens die in een papieren bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Als laatste werden organisaties aangemaand tot waakzaamheid gedurende de feestdagen, aangezien de GBA een terugkerende piek opmerkt van gegevensinbreuken in de aanloop naar en tijdens feestdagen. Tot slot werd de definitieve versie van de targeted update of the Guidelines on data breach Notification, die in oktober 2022 in publieke consultatie gingen, op 4 april 2023 door de EDPB gepubliceerd. Voor deze Guidelines trad de GBA op als co-rapporteur.
Toezien op de maatschappelijke, economische en technologische ontwikkelingen die een impact hebben op de bescherming van de persoonsgegevens
Het Algemeen Secretariaat volgt maatschappelijke, economische en technologische ontwikkelingen op die een impact kunnen hebben op de bescherming van persoonsgegevens en rapporteert hierover aan het Directiecomité van de GBA.
Op basis van deze bevoegdheid werd bijvoorbeeld – in samenspraak met de toezichthouders van andere EU-lidstaten – aandacht besteed aan de ontwikkeling om producten en of diensten aan te kopen met persoonsgegevens als ‘betaalmiddel’.
De GBA publiceerde ook een “Cookie Checklist”, als hulpmiddel om het correct gebruik van cookies aan te moedigen.
Verwezenlijkingen in cijfers
In 2022 heeft het Algemeen Secretariaat 10 goedkeuringsdossiers behandeld.
Type dossier |
Resultaat |
Aantal |
BCR (binding corporate rules) |
|
4 |
|
3 |
|
1 |
DPIA (data protections impact assessment) |
|
1 |
|
1 |
Totaal |
|
10 |
In 2023 heeft het Algemeen Secretariaat 1080 dossiers in verband met gegevensinbreuken in staat gesteld. In een aantal gevallen werden deze dossiers op het Directiecomité geagendeerd en naar aanleiding hiervan werden 3 dossiers aan de Inspectiedienst van de GBA overgemaakt. Bij dossiers op eigen initiatief heeft het Algemeen Secretariaat op basis van een signaal dat zij opgepikt heeft een verwerkingsverantwoordelijke gecontacteerd in verband met een vermoedelijke gegevensinbreuk die niet werd gemeld.
Type dossier |
Resultaat |
Aantal |
Gegevensinbreuk gemeld door de verwerkingsverantwoordelijke |
Annulering van de melding |
8 |
Geen zwaarwichtige inbreuken vastgesteld na controle melding |
1001 |
Geen zwaarwichtige inbreuken vastgesteld na controle melding en contactname verwerkingsverantwoordelijke |
68 |
Gegevensinbreukdossier op initiatief van het Algemeen Secretariaat |
Via Directiecomité naar Inspectiedienst |
3 |
Totaal |
|
1080 |