Het Belgische privacylandschap van vóór de AVG bestaat niet meer (Politeia)

Auteur: Alexander Hoefmans – Diensthoofd Gegevensbescherming, FOD Justitie

Publicatiedatum: 02/09/2019

Als we sommige critici mogen geloven, dan zijn de jarenlange onderhandelingen over de Algemene Verordening Gegevensbescherming (AVG) een maat voor niets geweest. Onjuist, beweert Alexander Hoefmans, Diensthoofd Gegevensbescherming, FOD Justitie.

Uniek in Europa

De toegevoegde waarde ten opzichte van de Richtlijn 95/46 kan immers worden herleid tot de keuze voor een verordening en de mogelijkheid tot het opleggen van geldboetes. Voor het overige krijgen we een strak keurslijf van administratieve verplichtingen, onder het mom van accountability en Europese mechanismen die niet opgewassen zijn tegen de werkelijke trans-Europese privacy-bedreigingen.

Verontschuldig mij voor mijn post-25 mei-naïviteit, maar ik kijk nog even de kat uit de boom met mijn definitieve oordeel. Mijn blik is dan wel voornamelijk gericht op de overheidssector, maar daar vinden wél een aantal interessante evoluties plaats. Het Belgische privacy landschap van vóór de AVG bestaat er niet meer. De Privacycommissie werd hervormd tot de Gegevensbeschermingsautoriteit én de Privacywet van 1992 werd vervangen door de Kaderwet Gegevensbescherming van 30 juli 2018.

Ook de sectorale comités die ingebed waren binnen de Privacycommissie werden afgeschaft, een intermediaire laag die een unicum was in Europa. En dat allemaal in de nasleep van een verordening die eigenlijk geen omzetting in nationaal recht vraagt, toch?

Geen onoverzichtelijke wetgeving

Het hoeft geen betoog dat de hervorming van een publieke instelling in België geen boswandeling is, maar de Gegevensbeschermingsautoriteit is wel uitgerust met het nodige arsenaal om de toepassing van de AVG af te dwingen. We vergeten ook gemakkelijk de Richtlijn 2016/680, van toepassing op law enforcement autoriteiten, en de verwerking van persoonsgegevens over de grenzen van het Europese Unierecht heen.

De schijn van uniformiteit die de Richtlijn 95/46 op nationaal niveau creëerde, is vervangen door een lappendeken van sectorale regimes. Eerder dan de Europese hervorming te laten uitgroeien tot onoverzichtelijke paddenstoelenwetgeving heeft de Belgische wetgever ervoor gekozen om een kaderwet te schrijven op maat van de publieke sector.

Nieuw Informatieveiligheidscomité

Dit heeft de overheidsinstanties in een debat over gegevensbeschermingsstandaarden getrokken, gaande van inspectiediensten tot veiligheidsdiensten. Een verdienste op zich. Dat alles neemt niet weg dat we met die hervormingen ook voor een aantal fundamentele uitdagingen staan. We beschikken niet langer over twee toezichthoudende autoriteiten, de Gegevensbeschermingsautoriteit en het Controleorgaan op de politionele informatie, maar ook het Comité P en I hebben nieuwe bevoegdheden gekregen.

En met de afschaffing van de sectorale comités komen nieuwe mechanismen in de plaats, zoals de oprichting van een Informatieveiligheidscomité, die hun plaats en rol in gegevensuitwisselingen door en naar overheidsinstanties zullen opeisen. De AVG heeft dus wel degelijk heel wat in beweging gezet. De jury blijft best nog even in beraad.

Dit artikel verscheen eerder in het Tijdschrift Privacy & Persoonsgegevens (Politeia)