De wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (hierna “de WOG”) omschrijft de Inspectiedienst vrij summier als “het onderzoeksorgaan van de Gegevensbeschermingsautoriteit”. Concreet betekent dit dat de Inspectiedienst belast is met het onderzoeken van klachten over en ernstige aanwijzingen van inbreuken op de Europese en Belgische wetgeving inzake persoonsgegevens waaronder de Algemene Verordening Gegevensbescherming (hierna "de AVG").

De Inspectiedienst wordt geleid door inspecteur-generaal Peter Van den Eynde en is samengesteld uit inspecteurs. De inspecteurs hebben verschillende profielen (auditors, experten informatieveiligheid en juristen) zodat een multidisciplinaire benadering mogelijk is. Op die manier kunnen zowel technische, organisatorische als juridische aspecten onderzocht worden.

De Inspectiedienst oefent op een onafhankelijke, planmatige, professionele, efficiënte en discrete wijze haar controle activiteiten uit d.m.v. (niet-) periodieke monitoring en thematische inspectieopdrachten op (inter-) nationale verwerkingen in de publieke en private sector gebaseerd op en rekening houdend met de relevante risico’s onder de AVG en aanverwante wet- en regelgevingen op de gegevensbescherming (bvb. camerawetgeving).

De Inspectiedienst beschikt over een uitgebreid arsenaal aan onderzoeksmogelijkheden. Om een dossier te onderzoeken kunnen de inspecteur-generaal en de inspecteurs indien zij dat nodig achten conform de WOG:

  • personen identificeren;
  • personen verhoren;
  • een schriftelijke bevraging houden;
  • onderzoeken ter plaatse voeren;
  • informaticasystemen raadplegen en de gegevens die ze bevatten kopiëren;
  • informatie elektronisch raadplegen;
  • goederen of informaticasystemen in beslag nemen of verzegelen;
  • de identificatie van de abonnee of de gewoonlijke gebruiker van een elektronische communicatiedienst of van het gebruikte elektronisch communicatiemiddel vorderen.

De WOG voorziet verschillende manieren om een dossier te laten opstarten door de Inspectiedienst. Een dossier kan voornamelijk worden opgestart:

  • op initiatief van het Directiecomité als er ernstige aanwijzingen van een inbreuk zijn, als het nodig is om samen te werken met een buitenlandse gegevensbeschermingsautoriteit, of als er een vraag komt van een rechterlijke instantie of een administratieve toezichthouder.
  • op initiatief van de geschillenkamer als er een klacht is waarvoor een onderzoek nodig is, of als een aanvullend onderzoek nodig is.
  • op initiatief van de Inspectiedienst zelf als er ernstige aanwijzingen van een inbreuk zijn.

De klokkenluiderswet voorziet een aanvulling op de onderzoeksbevoegdheid van de WOG. Externe meldingen die onder de  klokkenluidersregeling vallen kunnen door de Inspectiedienst onderzocht worden hetzij ze rechtstreeks worden ingediend bij de Inspectiedienst hetzij via een overdracht van een melding bij de Federale ombudsman aan de Inspectiedienst en dit naar aanleiding van een tot stand gekomen samenwerkingsprotocol tussen de Federale ombudsman en de GBA.

Er werd in het verleden ook een Charter van de Inspectiedienst uitgewerkt dat periodiek wordt bijgewerkt op basis van nieuwe praktijken en inzichten. Dit charter wil het grote publiek en iedereen die in aanraking komt met de Inspectiedienst informeren over het concrete verloop van een inspectie, de verschillende mogelijke onderzoekshandelingen van de Inspectiedienst en de verdere gevolgen ervan.

In het algemeen merkt de Inspectiedienst op (zie ook verder bij de cijfers) dat dossiers complexer worden, niet alleen inhoudelijk, maar ook op procedureel vlak. Na enkele jaren praktijkervaring krijgt de Inspectiedienst van tijd tot tijd de opmerking dat de hoeveelheid gestelde vragen niet altijd proportioneel lijkt in verhouding tot het dossier of dat de vragen zeer algemeen zijn.

Los van de algemene bevragingstechniek die start met het vragen naar de toegang tot stukken die normaal aanwezig moeten zijn als deel van een normale “gegevensbeschermingshuishouding” gelet op de verantwoordingsplicht (bvb. verwerkingsregister, register van incidenten, …) , zijn andere vragen soms vrij algemeen of vaktechnisch.

Sommige algemene vragen hebben tot doel om eerst de context van de verwerking te begrijpen en de middelen waarover een verwerkingsverantwoordelijke kan beschikken te kennen (bvb. vragen naar de omzet, jaarverslag…). Elke casus is anders en vergt dus een unieke beoordeling en inschatting naargelang de risico’s verbonden aan de aard en omvang van de verwerking, de “core” activiteiten van een verwerkingsverantwoordelijke en de wettelijke of deontologische regels waaraan deze al dan niet onderworpen is (bvb. lokale of regionale overheid, dokterspraktijk of ziekenhuis, data broker, telecom operator, …).

De inhoud van de vragen kan ook in een meer positief daglicht worden gesteld. Dikwijls is de achterliggende reden van sommige vragen van opvoedkundige aard (bvb. vragen naar de betekenis van bepaalde woorden in een privacyverklaring of over de technische vaststelling van cookies of tracking op een website…). Deze vragen faciliteren derhalve de bewustwording van bepaalde problemen en laten de bevraagde toe om reeds tijdens de duur van het onderzoek over te gaan tot een bijstelling van de verwerking. De verantwoordingsplicht, één van de sleutelelementen in de AVG, verplicht de verwerkingsverantwoordelijke ook om over elke concrete verwerking in detail na te denken, dit proces intern te documenteren en na te gaan of deze effectief AVG conform is.

De vragen dienen met andere woorden niet alleen het onderzoek van een dossier “ten laste” maar kunnen ook sensibiliserend werken naar diezelfde verwerkingsverantwoordelijke, wat deze toelaat om reeds tijdens het onderzoek een aantal aanpassingen te doen. Op die manier wordt de verantwoordelijke uitgenodigd om  grondig na te denken over allerhande aspecten van zijn verwerkingen  en kan hij meer precies beoordelen  of zijn verwerking(en) wel of niet conform de AVG is (zijn) en desgevallend bijsturen.

Het al dan niet proportionele karakter van de hoeveelheid vragen is bovendien niet altijd van in het begin van een dossier vast te stellen. De Inspectiedienst werkt dus niet met een “vaste” aanpak van dezelfde vragen voor alle dossiers. Zoals hiervoor vermeld dient ze soms eerst zicht te krijgen op de algemene problematiek  (bvb. indien de GBA geen recente richtlijnen heeft gepubliceerd over een bepaald type techniek of verwerking) alvorens een evenwichtige beoordeling te kunnen maken over een specifiek punt of probleem. Verwerkingsverantwoordelijken die blijk geven van een heldere transparantie via de middelen dat de AVG hen aanbiedt (zoals bvb. de privacyverklaring voor de burger of het register van de verwerkingsactiviteiten) hebben doorgaans minder te beantwoorden vragen van de Inspectiedienst waardoor de onderzoeksfase ook minder moeizaam doorlopen wordt.  Zoals gezegd kan het aantal vragen daarnaast dus ook de nodige reflectie aanmoedigen over de beoordeling van een aantal risico’s door de bevraagde verwerkingsverantwoordelijke die niet eerder in rekening werden gebracht.

 

Wat leren ons tot nu toe de zogenaamde Schengen audits

In het kader van het evaluatie- en toezichtmechanisme voor de controle op de toepassing van het Schengenacquis voert de GBA en in het bijzonder de Inspectiedienst “audits” uit.

Deze audits bestaan uit een nationaal luik en een Europees luik. Het nationale luik is het auditeren van een aantal spelers op het vlak van gegevensbescherming. Zo controleert de Inspectiedienst momenteel de FOD Buitenlandse Zaken en de dienst Vreemdelingenzaken (hierna “DVZ”). Dit voornamelijk via een auditprogramma. In dat kader voert ze audits uit op Belgisch grondgebied, maar ook in de Belgische ambassades en consulaten in het buitenland.

De Inspectiedienst werkte intussen een eerste vierjaarlijkse audit cyclus af. Zo voldoet de GBA aan haar vierjaarlijkse auditverplichting. De VISA  verwerkingen van de ambassades van Dublin, Parijs, Den Haag, Londen, het Consulaat Generaal van Istanbul en de ICT dienst van de FOD Buitenlandse Zaken te Brussel werden geauditeerd alsook de concrete verwerker – de zogenaamde ESP “external service provider”) die in Istanbul en Londen betrokken waren in de VISA verwerkingen. Voor elk van de plaatsbezoeken werd een audit traject doorlopen (gaande van invullen van vooraf opgestuurde vragenlijsten, een plaatsbezoek en nadien af te leveren informatie en documentatie) en een auditrapport afgeleverd met aanbevelingen zowel voor de FOD Buitenlandse Zaken als voor de ESP’s met wie werd samengewerkt. Met de aanbevelingen poogt de Inspectiedienst de FOD Buitenlandse Zaken attent te maken op aandachtpunten die voortvloeien uit enerzijds de Visum Information Systeem Verordening 767/2008, de Visumcode Verordening 810/2009 en anderzijds de AVG.

De Inspectiedienst merkt op dat de samenwerking met de diverse actoren binnen de FOD Buitenlandse Zaken gekenmerkt wordt als heel constructief met een positief evoluerende trend. Dit neemt niet weg dat de auditopdracht op zich complex is : een deskundige moet zich bekwamen in zowel de AVG als in de Europese SISII en Visum Information Systeem Verordening 767/2008, de Visumcode Verordening 810/2009. Hij of zij moet de Engelse taal voldoende machtig zijn én moet zowel juridisch als technisch onderlegd zijn alsook audit vaardigheden hebben om de evaluatie ter plaatse uit te voeren binnen een streng afgebakende methodologie en tijdsframe.

In eerdere jaarverslagen werd regelmatig in algemene bewoordingen verslag gemaakt van wat audits op zich behelzen. De Inspectiedienst wenst echter in dit jaarverslag enkele resultaten mee te geven om haar auditopdracht beter behapbaar te maken en te concretiseren. Tot op heden valt immers de bereidwillige samenwerking met de geauditeerden op alsook het feit dat de audits effectief tot resultaten leiden en dit niet alleen tijdens de audit al zelf, maar ook nadien tijdens het ganse auditproces.

Deze resultaten situeren zich op 3 grote vlakken.

Ten eerste op het vlak van de “centrale diensten”. De Inspectiedienst meende dat :

  • de FOD Buitenlandse Zaken en DVZ als gezamenlijke verwerkingsverantwoordelijken voor de VISA verwerking optreden en moesten voorzien in de informatieverplichting wat verwezenlijkt werd door middel van een getekend samenwerkingsprotocol en communicatie hierover op hun beide websites;
  • samenwerkingsprotocollen tussen de FOD Buitenlandse Zaken en externe overheidsdiensten (exclusies DVZ – zie voorgaand punt) voorzien of aangepast moeten worden wanneer persoonsgegevens worden doorgegeven dan wel toegang wordt gegeven tot de fysieke omgeving van de ambassades en consulaten en/of systeemtechnische beveiligingsafspraken wanneer externe overheidsdiensten gehuisvest zijn in hetzelfde pand en gebruik maken van dezelfde technische apparatuur (hard en /of software) en toegang hebben tot de fysieke lokalen;
  • een versterking, door meer ondersteuning in mensen en middelen, van de Functionaris voor Gegevensbescherming van de FOD Buitenlandse Zaken alsook dat naast sensibilisering en opleiding de functionaris voor Gegevensbescherming meer intern betrokken moet worden bij nieuwe of wijzigende verwerkingsactiviteiten. De Inspectiedienst merkt ook de goede constructieve samenwerking met de Functionaris voor Gegevensbescherming op;
  • instructies in overeenstemming werden gebracht met de Visumcode Verordening 810/2009 in functie van de archiveringsbewaartermijn van 2 jaar  cf. het artikel 37, 3 Visumcode waar individuele aanvraagdossiers worden bewaard voor een periode van ten minste 2 jaar te rekening vanaf de datum van de beslissing over de aanvraag, en de opleiding van de medewerkers van de verwerkers. De Inspectiedienst merkt op dat de Directie Visa snel en gepaste maatregelen liet nemen;
  • de transparantie over de VISA verwerkingen en de rechten en vrijheden van visumaanvragers, via formulieren en privacyverklaringen, werd geactualiseerd;
  • de centrale contracten met verwerkers (ESP’s of de “external service providers) via aanbestedingsdossiers nadrukkelijker moeten rekening houden met diverse verplichtingen van de AVG en de Visum Information Systeem Verordening 767/2008/ de Visumcode Verordening 810/2009, maar ook de controle op de naleving van de gemaakte afspraken met de ESP’s moet periodiek nagezien worden en gedocumenteerd;
  • de Inspectiedienst heeft aangegeven om de bedrijfscontinuïteitsplannen (BCP), de rampenherstelplannen (DR) verder te formaliseren en de high-availability (HA) beter meetbaar re maken. Daarnaast werd ook het belang benadrukt van het afwerken van het geformaliseerd beveiligingsbeleid om de integriteit en vertrouwelijkheid van de gegevens te waarborgen. De aandacht werd eveneens gevestigd op potentiële verbeterpunten in de huidige technische beveiligingspraktijken, met als doel onze algehele beveiligingspostuur te versterken en de risico's beter te beheren.

Ten tweede op het vlak van de (werking van de Belgische) ambassades en consulaten  werd nazicht van de procedurele, fysieke en systeem technische verwerkingen van de Visa aanvragen op desbetreffende locaties uitgevoerd via inzage in concrete visumaanvraagdossiers. Nazicht van de informatiedoorstroming tussen de verschillende externe partijen in deze verwerkingsactiviteit, gebruik van de juiste centrale formulieren en transparantie die voorzien wordt naar de visumaanvrager stonden mede op de radar. In elk van de locaties werden aanbevelingen gegeven om de verwerkingsactiviteit verder te optimaliseren. Omdat Belgische ambassades en consulaten vaak gehuisvest zijn in eerder historische panden werd pragmatisch nagedacht aan mogelijke oplossingen. De bereidwilligheid was steeds hoog, de afgeleverde informatie was kwaliteitsvol. Aandachtpunten voor de ambassades en consulaten blijven de wijze waarop fysiek en systeemtechnisch wordt omgaan met externe overheidsdiensten binnen hun organisatie, het nazicht op de contractuele overeenkomst (in conformiteit met de verplichtingen vanuit de AVG) wanneer gewerkt wordt met lokale verwerkers (bvb. voor het vernietigen van documenten bij het einde van de bewaartermijn en de contracten voor CCTV) en het voorzien van en toezien op het kennisniveau van de medewerker van externe verwerkers (ESP’s) zoals de Visumcode voorschrijft alsook het documenteren van deze acties.

Ten derde op het vlak van de werking van de zogenaamde ESP’s (de “external service providers”) die dikwijls optreden als concrete verwerkers ter plaatse van de ambassades en consulaten. De Inspectiedienst bezocht ter plaatse de lokale afdeling van deze ESP’s en ondervroeg hen via basis vragenlijsten. Extra aandacht ging naar de positionering van deze lokale afdeling binnen de algemene structuur van deze internationale organisaties met aanvullende aandacht voor de toegankelijkheid en de positie van de functionaris voor gegevensbescherming. Naast een fysiek plaatsbezoek werden ook de informatiekanalen voor de visumaanvrager, de procedures en technische systemen voor de verwerking van de persoonsgegevens van de visumaanvrager nagezien. Zo maakte de Inspectiedienst diverse aanbevelingen over de voorziene systeemtechnische toegang tot de persoonsgegevens van visumaanvragers, de transparantie naar de visumaanvragers over de VISA verwerkingen, de correctie vermelding van de rechten en vrijheden en waar nodig het gebruikt van geactualiseerde formulieren. De Inspectiedienst beval ook aan dat de FOD Buitenlandse Zaken toeziet op en voorziet in kwaliteitsvolle opleidingen voor het personeel van de verwerker want haar externe medewerkers moeten voor over voldoende kennis beschikken voor een goede dienstverlening af te leveren en voor toereikende informatie aan de aanvragers te kunnen geven. Ook op de contractuele overeenkomsten, wanneer deze ESP’s samenwerkten met onderaannemers, en de wijze waarop informatie over (nieuwe) onderaannemers werd doorgegeven aan de FOD Buitenlandse Zaken en de goedkeuringsmogelijkheid van de FOD Buitenlandse Zaken waren onderhevig aan audit aanbevelingen van de Inspectiedienst.In het kader van dit Schengenacquis en de deelname aan de meer beleidsmatige Europese werkgroepen ter zake heeft de Inspectiedienst al de nodige/nuttige input kunnen leveren. 

 

Een nieuwe bevoegdheid ingevolge de klokkenluiderswetgeving

Sinds ongeveer medio 2023 heeft de GBA en meer specifiek de Inspectiedienst een nieuwe bevoegdheid inzake de zogenaamde klokkenluiderswetgeving. Deze bevoegdheid geldt voor de reglementering waarop de GBA toezicht uitoefent volgens zijn organieke wet (zie specifiek artikel 4 van de WOG: “De Gegevensbeschermingsautoriteit is verantwoordelijk voor het toezicht op de naleving van de grondbeginselen van de bescherming van de persoonsgegevens, in het kader van deze wet en van de wetten die bepalingen bevatten inzake de bescherming van de verwerking van persoonsgegevens”). Hiervoor werd ook met de Federale Ombudsman een protocolakkoord afgesloten.

De klokkenluiderswet heeft als gevolg dat personen die binnen een arbeidsrechtelijke context in de private sector geconfronteerd zijn geworden met een inbreuk op de gegevensbeschermingsregelgeving, deze inbreuken direct dan wel indirect kunnen melden aan de GBA. Voor de inbreuken die binnen een arbeidsrechtelijke context in de openbare sector door een medewerker worden vastgesteld, blijft evenwel de Federale Ombudsman bevoegd.

De GBA heeft daarom extra acties ondernomen en enerzijds een protocolakkoord tussen de Federale Ombudsman en de GBA getekend door beide partijen einde juni 2023 en anderzijds de website van de GBA aangepast met extra informatie voor “klokkenluiders”.

Gezien de Inspectiedienst het onderzoeksorgaan van de GBA is, werd ze bevoegd voor opvolging van dossiers rond klokkenluiders en heeft ze sinds juni 2023 ook al ervaring kunnen opdoen met deze nieuwe instroom van meldingen.

Meldingen die onder de klokkenluidersregeling vallen kunnen door de Inspectiedienst onderzocht worden indien ze hetzij rechtstreeks worden ingediend bij de Inspectiedienst bij voorkeur via de mailbox inspection@apd-gba.be hetzij onrechtstreeks worden ingediend via een overdracht van de Federale ombudsman aan de Inspectiedienst.

Zo heeft de Inspectiedienst in die tweede helft van 2023 (ook het moment dat er expliciete informatie hieromtrent op de website is vermeld) ongeveer een 30-tal meldingen ontvangen.

Een eerste vaststelling is echter dat het in de meerderheid van de gevallen handelt over onterechte meldingen. Het betreffen eerder “algemene” meldingen rond privacy-gerelateerde aspecten zonder dat er sprake is van enige professionele relatie tussen melder en de klokkenluidersmelding.

Bvb. iemand heeft in zijn buurt bewakingscamera’s gezien, garantie/betalingssysteem voor bekers op de Gentse feesten, de plaatsing van cookies op een website, …

De afwezigheid van een arbeidsrechtelijke context alsook de tewerkstelling binnen de private sector maakten dat meerdere melders geen beroep konden doen op deze klokkenluidersregeling. De Inspectiedienst wijst erop dat evenwel deze informatie verder wordt bewaard en kan dienen als een signaal over een bepaalde verwerking of (een praktijk bij een) verwerkingsverantwoordelijke. Zo wordt vaak een algemeen antwoord verstuurd waarbij de verschillende mogelijkheden tot actie bij de GBA wordt meegegeven (zoals bvb. het stellen van een vraag of het indienen van een bemiddelingsverzoek of klacht).

Een tweede vaststelling is dat wat de (tot nu toe beperkte) “echte” meldingen betreft die effectief verder onderzocht moeten worden, het probleem zich stelt van een zeer povere inhoudelijke begeleiding van de melding om een verdere behandeling ten gronde te kunnen verantwoorden (te vage omschrijving, eerder “van horen zeggen”, geen documenten ter ondersteuning van de melding, …). Deze vaststelling blijft zelfs gelden als de Inspectiedienst expliciet bijkomende elementen opvraagt aan de melder (waarop niet altijd een antwoord volgt).

De Inspectiedienst dient immers op basis van onder meer de AVG en de WOG rekening houden met een proportioneel onderzoek. Zoals het Kenniscentrum van de GBA stelde in haar advies nr. 69/2022 van 22 april 2022 m.b.t. voorontwerp van wet betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector kan een melding in de zin van de klokkenluiderswet immers “belangrijke gevolgen hebben voor de geviseerde personen”.

De Inspectiedienst contacteerde in deze gevallen de melder maar deze kon geen bewijzen aanleveren om zijn of haar verhaal te toetsen. Voor de Inspectiedienst blijft bewijsvoering essentieel en kan op basis van een louter vermoeden of een verhaal niet zomaar een onderzoek opgestart worden. In het Charter van de Inspectiedienst wordt gesteld “De inspecteur-generaal en de inspecteurs moeten het beginsel van evenredigheid en noodzakelijkheid respecteren. Concreet mogen onderzoeken niet verder gaan dan nodig is, rekening houdend met het dossier”.

Tenslotte stelt de Inspectiedienst vast dat de (gewenste) anonimiteit van de melder ook een belemmerd effect kan hebben op een verdere behandeling. Opnieuw kan verwezen worden naar het eerder geciteerde advies 69/2022 van het Kenniscentrum: “Dit neemt niet weg dat de Autoriteit van mening is dat een anonieme melding optioneel en uitzonderlijk moet blijven. Niet alleen bemoeilijkt een dergelijke werkwijze de communicatie tussen de melder en de bestemmeling van de melding (dewelke nodig is voor een passende opvolging), bovendien kan dit aanleiding geven tot misbruiken in hoofde van de melders en daarmee gepaard gaande ongeoorloofde verwerking van persoonsgegevens. Hoewel de eindverantwoordelijkheid met betrekking tot de verwerking van persoonsgegevens steeds rust bij de respectieve verwerkingsverantwoordelijken (de onderneming bij een interne melding/ de bevoegde autoriteiten of federale coördinator voor de externe meldingen), dient ook de melder de nodige verantwoordelijkheidszin aan de dag te leggen; een melding kan immers belangrijke gevolgen hebben voor de geviseerde personen. De melder mag geen drempel ervaren om een melding te doen, doch, indien de anonieme melding de norm wordt, glijdt men af naar een verklikkingscultuur en de uitwassen die daarmee gepaard gaan. Het valt dan ook te betreuren – een dergelijke verplichting vloeit immers niet voor uit de richtlijn – dat de aanvrager (d.w.z de auteur van het ontwerp van normatieve tekst) ervoor heeft geopteerd om te voorzien in een veralgemeend recht om een anonieme melding te doen. In het licht van het proportionaliteits- en evenredigheidsbeginsel lijkt het daarentegen aangewezen om, onverminderd bestaande verplichtingen om te voorzien in anonieme melding op grond van het Unierecht, het recht om een anonieme melding te doen te beperken tot de gevallen waar de risico’s voor de melder duidelijk opwegen tegen de potentiële nadelige gevolgen voor de in de melding geviseerde personen”. De wetgever heeft (slechts beperkt) hiermee rekening gehouden – de parlementaire voorbereidingen stellen immers onder meer dat de anonimiteit “uitzonderlijk” moet blijven: « In elk geval moet anonimiteit evenwel optioneel en uitzonderlijk blijven, aangezien ze de communicatie tussen de melder en de bestemmeling van de melding kan bemoeilijken, terwijl die communicatie nodig kan zijn voor een passende opvolging (in het bijzonder om de juistheid van de beschuldigingen te beoordelen en de gemelde inbreuk op te lossen).”. In beginsel kan volgens de privacywetgeving en de concrete aanpak ervan door de GBA inderdaad een anonieme behandeling van een klacht/melding gebeuren, maar dit maakt inhoudelijk en procedureel de zaken meestal een pak complexer. Ook stelt zich regelmatig het probleem dat zelfs het niet vermelden van de concrete naam van de melder er toch toe kan leiden dat de geviseerde instantie ook indirect de identiteit kan afleiden uit de context van de concrete zaak. Het is niet duidelijk of de melders hier effectief op van de hoogte zijn en wat de mogelijke gevolgen dan zijn voor bvb. de bevoegde autoriteit die effectief de zaak toch verder onderzocht zou hebben in dat geval.

De anonimiteit die gevraagd wordt onder de klokkenluidersregeling is voor de Inspectiedienst een aandachtspunt en wordt gerespecteerd tijdens de onderzoeksfase cf. de geheimhoudingsplicht in artikel 20 § 1 van de klokkenluiderswet. Ook de WOG voorziet in een expliciete geheimhouding (zeker wat de inspectiefase betreft), met name artikel 64 stel het volgende:  “§ 3. Het onderzoek is geheim, behoudens wettelijke uitzondering, tot het moment van de neerlegging van het rapport van de inspecteur-generaal bij de geschillenkamer.”De Inspectiedienst wijst er echter ook op dat de klokkenluiderswet voorziet in een mogelijke uitzondering op deze geheimhoudingsplicht indien de directe of indirecte bekendmaking van de identiteit op het einde van het onderzoek (door de Geschillenkamer van de GBA) zou worden gezien als een noodzakelijke en evenredige verplichting ter waarborging van de rechten van verdediging van de betrokken verwerkingsverantwoordelijke cf. het artikel 20 § 2 klokkenluiderswet. Ook kan in sommige gevallen de bekendmaking (zonder dat de identiteit zou worden vernoemd) ook indirect afgeleid worden uit de context zoals het mededelen van de stukken en de inzage in het dossier. Bovenstaande maakt dat een melder bewust moet zijn van deze situatie waardoor een verder onderzoek kan worden gestaakt op vraag van de klager. Een behandeling van de melding in functie van de klokkenluidersregeling is bijgevolg dan ook niet steeds evident te voeren zelfs mits de waarborgen van de anonimiteit.

 

(Eerste) ervaringen na het meer inzetten op seponeringen

In eerdere jaarverslagen werd reeds gewezen op de niet geringe werklast bij de GBA en de Inspectiedienst. Hoewel de AVG bedoeld is als een meer laagdrempelige afhandeling van “data privacy” gerelateerde dossiers en de GBA dit idee niet ongenegen is, dienen er wel mechanismen gevonden te worden om de werklast onder controle te houden en dossiers niet te lang te laten aanslepen. Dit noch voor de betrokkenen, noch voor de GBA in het algemeen en de Inspectiedienst in het bijzonder.

Eén van de (wettelijke) mogelijkheden die de Inspectiedienst heeft, is met name de mogelijkheid om een dossier zonder gevolg te klasseren (“seponering”), zoals voorzien in de WOG. In het verleden hanteerde de Inspectiedienst reeds deze optie als zij bvb. van de klager geen bijkomende gedetailleerde informatie kreeg om de zaak correct te kunnen aanvatten, als de klager tijdens het onderzoek zelf aangaf dat de klacht mocht afgesloten worden (als de klager bvb. reeds een afdoende oplossing bekwam van de tegenpartij) of als duidelijk was (na al dan niet bijkomend onderzoek) dat de GBA niet bevoegd was.

Ondertussen wordt dit instrument dus ook ingezet als een soort van beleidsinstrument.

De bedoeling van een dergelijke tussenkomst is in eerste instantie immers het ervoor zorgen dat de AVG wordt toegepast, waarbij de boete of een andere  sanctionering niet noodzakelijk het doel op zich is. De visie van de GBA is nog steeds “leiden naar een digitale wereld waar privacy een realiteit is voor iedereen”.

De Inspectiedienst onderzoekt immers zowel “in scope” en desgevallend ook “out of scope” verschillende privacy-gerelateerde elementen. In veel van deze gevallen handelt het concreet over specifieke middelen van de verwerkingsverantwoordelijke om ten aanzien van de burger in het algemeen en de betrokkene in het bijzonder de transparantie te verhogen.

Voorbeelden daarvan zijn het publiceren van een duidelijke, volledige en AVG conforme privacy en cookiepolicy, het (intern) opmaken van een verwerkingsregister en een correcte uitoefening van de rechten van de betrokkenen (bvb. recht van toegang of verzet) mogelijk maken.

De Inspectiedienst stelt in de praktijk echter vast dat deze middelen soms nog steeds te wensen overlaten, zelfs nu de AVG reeds van toepassing is sinds 25 mei 2018 (en zelfs in voege vanaf 2016). Een verwerkingsverantwoordelijke kan immers niet meer onwetend zijn.

De Inspectiedienst legt dan ook regelmatig de nadruk op deze transparantie-verhogende instrumenten in haar onderzoeken, aangezien deze aan alle burgers ten goede kunnen komen.

De verwerkingsverantwoordelijken die op die manier in het vizier komen zijn zeer gevarieerd, in dat kader handelde het eerder al over bvb. een festivalorganisator, een uitzend bureau, online kansspelen, gemeenten, banken, …

Als de Inspectiedienst merkt dat de verwerkingsverantwoordelijke meteen zijn medewerking verleent en zich constructief wenst op te stellen door oplossingsgericht te handelen en rekening te houden met de opmerkingen van de Inspectiedienst, klasseert deze laatste dan ook regelmatig concrete dossiers op haar niveau.

De geboekte, concrete resultaten na tussenkomst van de Inspectiedienst leiden immers rechtstreeks tot een grotere AVG-conformiteit. Bovendien is er binnen de GBA ook een snellere afhandeling van deze dossiers wat niet alleen de GBA zelf ten goede komt (op het vlak van bvb. de werklast), maar ook voor de betrokken partijen positief te noemen is (voor de verwerkingsverantwoordelijke is er sneller zekerheid over de afhandeling en de gevolgen in zijn dossier maar voor de burger is er meer AVG conformiteit van de instanties die persoonsgegevens verwerken).

Deze manier van werken blijkt dus inderdaad vanuit de praktijk een toegevoegde waarde te genereren. In een aantal gevallen kan de term “seponering” soms een negatieve connotatie hebben, maar in vele gevallen schuilt achter de term een onderzoek dat tot gewenste resultaten heeft geleid en een betere AVG conformiteit tot gevolg heeft. Een klassering zonder gevolg hoeft dus niet meteen te betekenen dat een dossier meteen verticaal wordt geklasseerd.

Als gevolg hiervan zal de Inspectiedienst verder onderzoeken of dergelijke seponeringen al dan niet verruimd kunnen worden tot andere domeinen van de AVG en dus niet noodzakelijk beperkt blijven tot transparantie-verhogende instrumenten.

 

Verwezenlijkingen in cijfers

  • 70 nieuwe dossiers bij de Inspectiedienst aanhangig gemaakt door de geschillenkamer. Deze dossiers zijn afkomstig van inkomende klachten. Uit deze klachten merken we enkele steeds terugkerende clusters op van onderzoeksthema’s:
  • Verschillende dossiers handelden over bewakingscamera’s en de camerawetgeving in België. We stellen vast dat nog steeds personen en bedrijven die bewakingscamera’s plaatsen zich niet bewust zijn van de impact op de persoonlijke levenssfeer voor diegene die deze bewakingscamera’s moeten ondergaan. Bewoners van appartementsgebouwen en studentenpanden kwamen bvb. in 2023 aan bod. Enkele jongeren en ouderen waren mondig en moedig om deze problematiek aan te kaarten.
  • Om de werklast te beperken en om het onderzoek meer efficiënt te laten verlopen, werd telkens op eenzelfde manier beroep gedaan op de lokale politiediensten om vaststellingen te verrichten. Dit zorgt voor een daling van de eigen werklast en heeft ook te maken met het feit dat de lokale politiediensten beter op de hoogte zijn van de concrete lokale situatie. De Inspectiedienst stelt ook vast dat vaststellingen van de lokale politie op het terrein ook een duidelijke draagkracht en impact hebben en zorgen voor meer effectieve bescherming dan wanneer de situatie “op afstand” wordt bevraagd. Hoewel het dikwijls andere (lokale) politiezones betrof, is de samenwerking met de lokale politie in de cameradossiers telkens vlot verlopen.
    Dit jaar werd aanvullend ook een opleiding gegeven aan de lokale politie in het kader van de zogenaamde “Dag van de wijkagent”. De Inspectiedienst poogt ook hier de politiediensten te ondersteunen en is daarom gestart met extra documentatie die duiding zal geven wanneer een bewakingscameraonderzoek zal gevoerd worden;
  • Aangezien een website dikwijls een visitekaartje is voor de verwerkingsverantwoordelijke en een eerste toegang vormt tot diezelfde verwerkingsverantwoordelijke blijft de Inspectiedienst aandacht hebben voor een voldoende kwalitatieve privacyverklaring en daaruit volgend gegevensbeschermingsbeleid. Bijhorend blijft het ook een prioriteit om na te gaan op welke manier er wordt omgegaan met cookies en tracking. Het valt de Inspectiedienst hierbij op dat er nog regelmatig door verwerkingsverantwoordelijken dient bijgestuurd te worden en de plaatsing van deze cookies niet altijd op een correcte privacy vriendelijke manier gebeurt. In dat kader is in 2023 ook bijzondere aandacht gegaan naar het behandelen van klachten die geïnitieerd werden door buitenlandse belangengroepen die betrokkenen vertegenwoordigen. De Inspectiedienst merkt op dat wanneer de vertegenwoordiging van een betrokkene door een belangengroep wordt voorzien enkele bijzonderheden werden vastgesteld. Omdat de Inspectiedienst zowel à charge als à decharge een klachtonderzoek merkt de Inspectiedienst onder meer op dat volmachten niet steeds voldoende specifiek waren uitgeschreven, het belang van de betrokkenen in twijfel kon getrokken worden en een potentieel belangenconflict tussen de betrokkene en de vertegenwoordiger werd vastgesteld. De Inspectiedienst heeft in dit kader diverse vaststellingen uitgeschreven in individuele onderzoekersdossiers die nadien door de geschillenkamer werden behandeld, anderzijds heeft de Inspectiedienst ook enkele van deze dossiers zelf geseponeerd omdat ofwel het voorwerp van de klacht was verdwenen door diverse acties van de verwerkingsverantwoordelijke ofwel omdat de vertegenwoordiger van de betrokkene een algemene klacht tegen de verwerkingsverantwoordelijke had ingediend zonder evenwel gebruik te maken van de communicatie kanalen en het voorafgaand uitoefenen van zijn of haar rechten ten aanzien van de verwerkingsverantwoordelijke (wat in vele gevallen immers al kan leiden tot meer conformiteit;
  • Het thema direct marketing blijft ook voldoende aandacht opeisen. Deze verwerkingen kunnen vergeleken worden met een ijsberg waar de impact van het deel boven de waterlijn op zich niet altijd even grote problemen lijkt te geven, maar vooral het minder transparante deel onder de waterlijn bij nader onderzoek de nodige aandacht blijft opeisen van de Inspectiedienst. In dat kader neemt vooral de problematiek van zogenaamde “data brokers” een centrale positie in, waarbij niet alleen de correcte grondslag maar ook de nodige transparantie de nodige aandacht vergen.
  • 1 nieuw dossier bij de Inspectiedienst aanhangig gemaakt door het Directiecomité.
  • 13 nieuwe dossiers door de Inspectiedienst op eigen initiatief opgestart (inclusief 4 directe klokkenluidersmeldingen die rechtstreeks werden aangebracht via het inspectie emailadres) en 2 nieuwe klokkenluidersmeldingen die via de Federale ombudsman onrechtstreeks bij de Inspectiedienst werden aanhangig gemaakt. In totaal werden dus 6 klokkenluidersdossiers al opgestart.
  • Opnieuw werd in 2023 één voorlopige maatregel opgelegd. Het betrof een maatregel ten aanzien van een buiten de EU/EER beheerde website waarop private contactgegevens van Belgische politici werden gepubliceerd.
  • Nieuw in 2023 zijn de meldingen inzake de klokkenluiderswetgeving (waarvan ook eerder al sprake). In 2023 (de facto van midden 2023) werden in dat verband 24 meldingen ontvangen, waarvan slechts 6 dossiers effectief gelinkt waren met deze wetgeving (zie ook terug).

Hieronder kan een tabel teruggevonden worden met meer cijfermateriaal. Het valt op dat de instroom van nieuwe dossiers lager is dan in 2021 en 2022.

Voor de huidige ploeg van 11 personen (aantal pas bereikt in december 2023) is gebleken dat wat werklast (en welzijn op het werk) betreft een voldoende evenwicht moet gevonden worden tussen het aantal inspecteurs en het aantal dossiers:

  • Het aantal vermelde dossiers betreft enkel het “inspectiewerk”. Zoals reeds eerder vermeld verricht de Inspectiedienst ook audits die aan belang blijven toenemen wat ook druk zet op het aantal mogelijk te behandelen inspectiedossiers. Verschillende inspecteurs dienen immers hun tijd te verdelen tussen dit auditwerk en de inspectieopdrachten – een daling van de cijfers laat dan ook toe om meer tijd in dergelijke audits te steken (vanuit Europa merkt de Inspectiedienst immers ook op dat nieuwe wetgeving dergelijke verhoogde aandacht vereist) – zie ook voor een bijkomende uitleg hierboven;
  • De Inspectiedienst telde (pas) op het einde van 2023 11 inspecteurs, waarvan 2 een specifiek ICT profiel hebben. Beide profielen ondersteunen in hoofdzaak de andere collega’s aangezien het een trend is dat de meeste onderzoeken zowel een juridisch als een technisch component in zich hebben. Dergelijke specifieke technische onderzoeken vergen de nodige tijd;
  • De daling van het aantal inkomende dossiers heeft ook opnieuw toegelaten om in de meer principiële dossiers in de diepte te kunnen gaan – niet alleen inhoudelijk worden de vraagstukken complexer maar ook op het vlak van verschillende procedurele elementen merkt de Inspectiedienst op dat bepaalde dossiers steeds meer aandacht vragen.
  • het werken in de diepte laat de Inspectiedienst toe om naar de Geschillenkamer en de verwerkingsverantwoordelijke toe kwalitatief betere verslagen af te leveren die aanleiding geven tot minder en vermijdbare (inhoudelijke) betwistingen voor het Marktenhof. Meer gerichte confrontaties van de verwerkingsverantwoordelijke tijdens het onderzoek met bevindingen in technische verslagen of verslagen met vaststellingen van websites zorgt voor beter gemotiveerde en minder betwistbare vaststellingen voor de Geschillenkamer en het Marktenhof. Het meer gericht zijn op kwalitatieve onderzoeken in plaats van de hoeveelheid aan onderzoeken spaart ook tijd en middelen uit.

In 2023 had de Inspectiedienst 85% afgesloten dossiers. Hoewel een lange(re) behandelingstermijn niet kan uitgesloten worden wegens verschillende redenen, verdient het zoveel als mogelijk de voorkeur om dossiers niet te lang te laten aanslepen. Door enerzijds minder dossiers te moeten behandelen, door ervaring/professionalisme en meer efficiëntie door bvb. seponeringen is dit percentage verhoogd kunnen worden.

  • De verhouding tussen Nederlandstalige en Franstalige dossiers blijft in globo min of meer hetzelfde in de zin dat er steeds meer Nederlandstalige dossiers zijn waarbij het verschil soms fluctueert.
  • Belangrijk is ook met name dat de doorlooptijd en achterstand niet vergroot. Doordat het aantal inkomende dossiers lager was, konden de inspecteurs ook meerdere oudere dossiers afgewerkt krijgen en nieuwe dossiers aanpakken.
  • Het percentage van dossiers aanhangig gemaakt door de Inspectiedienst zelf blijft echter nog steeds (te) laag. Nieuw dit jaar is dat de Inspectiedienst ook nazicht opgestart om na te zien op welke wijze de verwerkingsverantwoordelijke gevolg gaf aan de beslissing ten gronde van de Geschillenkamer. Dit nazicht verhoogt alvast het huidig percentage.

Een ander steeds terugkerende vaststelling hierbij blijft dat de Inspectiedienst door de blijvende hoge werklast nog (te) weinig vrije marge heeft om proactief op te treden en dus uit eigen beweging dossiers kan opstarten.

Nochtans geeft de Inspectiedienst nog nadrukkelijker aan dan voorheen dat er nadelen verbonden zijn aan het vooral reactief en op “hoog volume” te werk gaan, en dat de intentie tot het meer “proactief” werken met gebruik van meer onderzoeksbevoegdheden tot op heden onder druk blijft staan en dus nog (te) beperkt blijft.

Een nog hogere seponeringsgraad kan hieraan verhelpen als de sepottrend zich doorzet, alsook het feit dat eind 2022 de Kamer van Volksvertegenwoordigers een kaderuitbreiding voor de GBA had goedgekeurd. Deze kaderuitbreiding kwam er (in de praktijk) tegen eind 2023 met enkele personen die effectief aangeworven werden en ook een noodzakelijke inloopperiode hebben kunnen doorlopen.

De rode draad blijft dat de inspecteurs de meerwaarde zien van het openen van meer gerichte dossiers op eigen initiatief in vergelijking met de meer reactieve aanpak die vooral gericht is op het afhandelen van een hoog volume aan klachten zoals toegepast bij de opstart van de Inspectiedienst in 2019.

Daarnaast werden in 2023 ook enkele ad hoc opdrachten uitgevoerd die betrekking hadden op deelname aan internationale werkgroepen m.b.t. verwerkingen voor VIS en Eurodac en het uitwerken van audit en inspectiemethodologieën. Deze specifieke opdrachten werden niet toegevoegd aan onderstaande tabel:

Alle dossiers Aanhangingmaking Resultaat Taal Samenwerking
    GK DIRCO Ins Med Afgesloten Eigen sepot Lopende FR NL Internationaal COC
2018 70 67 2 1   70 30 0 20 50 12 1
2019 86 67 11 8   86 13 0 33 53 13 2
2020 153 129 17 7   147 27 6 75 78 7 0
2021 147 134 9 4   136 28 11 62 85 4 0
2022 102 87 9 6   77 35 25 36 66 8 0
2023 86 70 1 13 2 32 25 54 40 46 3 0
Total 644 554 49 39 2 548 158 96 266 378 47 3

(Opm. De gegevens van voorgaande jaren werden verder lichtjes aangepast. Sommige dossiers worden op het jaareinde aanhangig gemaakt en kunnen daardoor anders berekend zijn waardoor kleine correcties in de statistiek noodzakelijk zijn om de weergave bij te stellen).

Aan het einde van het onderzoek stelt de betrokken inspecteur in samenspraak met de Inspecteur-generaal een verslag op dat bij het dossier wordt gevoegd. In het verslag worden naast de gebruikte onderzoeksmogelijkheden, de vaststellingen van de Inspectiedienst en de beslissing van de Inspecteur-generaal vermeld.

De Inspecteur-generaal kan rekening houdend met de vermelde vaststellingen één van de volgende beslissingen nemen:

  • het dossier overmaken aan de voorzitter van de geschillenkamer;
  • het dossier overmaken aan de procureur des Konings wanneer de feiten een strafrechtelijke inbreuk kunnen vormen;
  • het dossier seponeren;
  • het dossier overmaken aan een gegevensbeschermingsautoriteit van een andere staat.

Onderzoekstechnisch werden in 2023 hoofdzakelijk diverse dossiers gefinaliseerd en overgemaakt aan de geschillenkamer voor verder gevolg. Het resultaat van deze onderzoeken is terug te vinden in de informatie van de werking van de geschillenkamer en op de website van de GBA. Tijdens de inspectiefase geldt immers het geheim van het onderzoek waardoor de Inspectiedienst dus in het algemeen weinig of niet kan communiceren over lopende dossiers.

De Inspectiedienst blijft in de loop van haar onderzoek vaak diverse vragen van de betrokken partijen (klagers en advocaten) ontvangen. Deze vragen betreffen de status en/of het verloop van een onderzoek, een vraag om overleg tijdens de duur van het onderzoek, het in vraag stellen van de nochtans in de WOG voorziene mogelijkheid voor de Inspectiedienst om zaken verder te onderzoeken dan is bepaald in de klacht.

Herhaaldelijk heeft de Inspectiedienst in antwoord op deze diverse vragen moeten wijzen op artikel 64 van de WOG dat bepaalt dat het inspectieonderzoek geheim is tot het moment van de neerlegging van het verslag van de inspecteur-generaal bij de Geschillenkamer.

Om bepaalde van deze courante vragen op te vangen op een transparante en consistente wijze werden deze behandeld in het publiek charter van de Inspectiedienst. De Inspectiedienst doet een oproep om dit document door te nemen omdat dit op een bondige en niet technische wijze uitlegt wat wel en wat niet kan/moet verwacht worden van een inspectie(onderzoek).

Hierbij moet wel rekening worden gehouden met het feit dat de verduidelijking door de Inspectiedienst in haar Charter geen subjectieve rechten geeft aan de bevraagde zoals een “recht op sepot”, laat staan dat de Inspectiedienst zou moeten discuteren met de verwerkingsverantwoordelijke over de wijze waarop het onderzoek wordt gevoerd. De wetgever heeft immers aan de Inspectiedienst een discretionaire bevoegdheid gegeven om haar onderzoekstaken naar eigen inzicht uit te voeren waarbij het a priori niet toekomt aan de bevraagde om de wijze van onderzoek in vraag te stellen.

Eventuele bezorgdheid over de wijze van onderzoek kan wel tijdens de tegensprekelijke fase worden medegedeeld ten aanzien van de Geschillenkamer. De Geschillenkamer blijft immers volstrekt onafhankelijk van het gevoerde onderzoek, hetgeen voldoende waarborg biedt aan de verwerkingsverantwoordelijke die eventueel bezwaren zou hebben over de wijze waarover het onderzoek werd gevoerd.