Het jaarverslag van de GBA: een korte samenvatting (Timelex)

Auteurs: Geert Somers, Bernd Fiten en Jolien Clemens (Timelex)

Publicatiedatum: 15/09/2021

In het jaar 2020 werd er in de actualiteit bijna uitsluitend gepraat over de COVID-19 crisis. Ook voor de GBA stond dit thema centraal. De ongeziene gezondheidscrisis bracht namelijk nieuwe uitdagingen met zich mee voor gegevensbescherming, waardoor de werklast van de GBA significant toenam. Zo steeg bijvoorbeeld het aantal klachten met 290,64 % tegenover 2019. Deze blogpost zal een overzicht geven van het jaarverslag 2020 (PDF) van de GBA en voornamelijk over de belangrijkste thema’s die erin aan bod kwamen.

De COVID-19 crisis: de uitdaging voor privacy

De COVID-19 crisis bleek voor de GBA de privacyuitdaging van het jaar te zijn. De GBA werd geconfronteerd met nieuwe gegevensverwerkingsmethoden zoals contact tracing apps en mobiliteitsindexen.  In de zoektocht naar antwoorden trachtte de GBA zoveel mogelijk een evenwicht te waarborgen tussen enerzijds de bescherming van de volksgezondheid en anderzijds de bescherming van persoonsgegevens.

De crisis ging ook gepaard met een toestroom aan nieuwe vragen van burgers en verwerkingsverantwoordelijken. Omdat veel van hen met dezelfde vragen zaten, werd er een themadossier COVID-19 gelanceerd.

De GBA stond de Belgische overheid ook bij met adviezen over allerlei ontwerpen van normatieve teksten over COVID-19 crisis. De GBA legde hierbij de focus op de naleving van de beginselen van rechtmatigheid, voorzienbaarheid, noodzakelijkheid, proportionaliteit en andere beginselen en regels in de AVG. De adviezen gingen over de invoering van een systeem voor het traceren van risicovolle contacten, de Coronalert-app, registraties en verwerking van gegevens met betrekking tot vaccinaties tegen COVID-19. Veelvoorkomende tekortkomingen aan de normatieve teksten hadden betrekking op:

  • (1) het gebrek aan precisie in de omschrijving van de doeleinden van de beoogde gegevensverwerking;
  • (2) het niet-limitatieve karakter van de categorieën verwerkte gegevens en van de betrokken personen;
  • (3) het feit dat niet bepaald werd voor welke derden de verzamelde gegevens toegankelijk mogen worden gemaakt.

Ten slotte stelde de GBA dat de proactieve houding noodzakelijk bleek. Zo monitorde de GBA de evolutie van allerhande nieuwe technologieën en praktijken die bijdroegen aan de strijd tegen het virus om ervoor te zorgen dat privacy steeds centraal stond.

Andere thema’s van het jaar

De focus van de GBA lag het voorbije jaar natuurlijk niet alleen bij de COVID-19 crisis, ook andere belangrijke thema’s werden vernoemd in het jaarverslag. Deze zullen hieronder kort besproken worden.

Overheden

Een van de prioriteiten voor de GBA in 2020 was de naleving van de regelgeving van persoonsgegevensbescherming door overheden. Aangezien overheden vaak enorme hoeveelheden aan (gevoelige) persoonsgegevens verzamelen, is de bescherming van de privacy van de burger essentieel. In veel situaties heeft de burger helemaal geen keuze in het al dan niet delen van persoonsgegevens, aangezien de verwerking vaak gebeurt op basis van een wettelijke verplichting. Aangezien de overheid een voorbeeldfunctie invult, acht de GBA haar verantwoordelijkheid voor de naleving van de privacywetgeving hoger.

De focus van de GBA lag dit jaar dus voornamelijk bij het adviseren van publieke verwerkingsverantwoordelijken en indien nodig werd er over gegaan tot handhaving. Er werden adviezen gegeven over de rechtmatigheid van de persoonsgegevensverwerking door de overheid, over de naleving inzake de gegevensbeschermingsbeginselen en over het gegevensbescherming door ontwerp-beginsel (data protection by design), over de transparantieverplichtingen en de rechten van de betrokkenen en over toegang tot en de verwerking van persoonsgegevens vervat in het Rijksregister en andere registers door overheden.

Direct marketing

Een andere sector die de aandacht kreeg in 2020 was direct marketing. Dagelijks worden miljoenen mensen in België gecontacteerd door directmarketingcommunicaties op basis van de persoonsgegevens die de bedrijven over hun hebben verzameld. Vaak zijn ze zich niet bewust over wat hun rechten zijn en hoe ze die kunnen uitoefenen. Hier kwam de GBA concreet tussen door het behandelen van verzoeken om informatie, bemiddelingen en klachten over persoonsgegevensverwerkingen die in verband staan met directmarketingactiviteiten. Ook werden er enkele beslissingen genomen door de Geschillenkamer over deze thematiek.

Een van de belangrijkste was de beslissing over de directmarketingpraktijken van een organisatie die aanbiedingen doet aan aanstaande moeders (beslissing 04/2021 van 27 januari 201). Er kwam ook een belangrijke aanbeveling door het kenniscentrum van de GBA betreffende de verwerking van persoonsgegevens voor directe marketingdoeleinden.

Bescherming van persoonsgegevens online

De bescherming van de persoonsgegevens online is zeker geen nieuw thema voor de GBA. Met de snelle vooruitgang van technologieën evolueert de onlinewereld mee, waardoor er nieuwe uitdagingen komen voor gegevensbescherming.

Vooral het cookiebeheer van grote Belgische mediawebsites werd aandachtig bestudeerd aan de hand van een grootschalig proefonderzoek. Verder heeft de Geschillenkamer ook talrijke beslissingen uitgesproken over online privacy zoals een beslissing betreffende datingsites, een beslissing over Google België en een beslissing betreffende toegang tot FisconetPlus.

DPO

Voor de GBA zijn DPO’s (Data Protection Officers) van essentieel belang voor de bescherming van persoonsgegevens van de Belgische samenleving in de praktijk. De GBA wil DPO’s dan ook zo veel mogelijk ondersteunen in de uitoefening van hun taken.

De GBA heeft in het jaar 2020 een aantal ondersteunende instrumenten uitgewerkt voor DPO’s in België. De GBA heeft bijvoorbeeld documenten en ‘tools’ ter beschikking gesteld om DPO’s, maar ook verwerkingsverantwoordelijken over het algemeen te helpen met het implementeren van de AVG-verplichtingen.

Daarnaast is er ook een adviesaanvraagdocument gecreëerd om zo DPO’s toe te laten op een eenvoudige wijze informatie te ontvangen over de verwerking van persoonsgegevens door de organisatie die zij bijstaan. De GBA heeft ook een presentatie over de algemene beginselen in de AVG ter beschikking gesteld voor DPO’s die zij kunnen gebruiken om de organisaties en medewerkers te infomeren over de beginselen van de AVG.

Ten slotte, werden er ook 10 basisregels door de GBA naar voor geschoven die DPO’s over het algemeen moeten respecteren.

Sensibilisering

De GBA heeft een belangrijke informerende bevoegdheid. In 2020 kregen drie doelgroepen haar aandacht, namelijk kmo’s, kinderen/jongeren en het ruime publiek. De sensibiliseringsprojecten worden in dit onderdeel kort vernoemd.

Het project BOOST ging van start in 2020 met als doel de ondersteuning van kmo’s bij het naleven van de AVG. Het resultaat van het project waren een aantal instrumenten zoals een brochure met een uitgebreid antwoord op de top 3 meest gestelde vragen in 2020, een handleiding over het omgaan met de rechten van betrokkenen en een document- en briefsjablonen voor alle door de AVG voorziene en mogelijke verzoeken van betrokkenen.

De website Ikbeslis.be was een belangrijke realisatie voor de bescherming van de privacy van kinderen en jongeren. De website is het portaal voor jongeren en kinderen om voor hun op maat informatie te verkrijgen rond de bescherming van hun persoonsgegevens.

Voor de algemene bevolking vervulde de Eerstelijnsdienst een belangrijke taak inzake de bewustmaking van gegevensbescherming. De communicatie over zo een gevoelig onderwerp als gegevensbescherming, verloopt niet altijd even eenvoudig. Hierdoor werd in 2020 de communicatiemethoden van de eerstelijnsdienst grondig herzien en werd er gebruik gemaakt van een externe dienstverlener die de exclusieve bevoegdheid kreeg om het werkmateriaal van de Eerstelijnsdienst leesbaar en toegankelijk te maken. De website van de GBA werd ook in een nieuw jasje gestoken, om zo verder bij te dragen aan een betere toegankelijkheid van de informatie. Uit de cijfers van 2020 blijkt dat deze nieuwe aanpak succesvol was, aangezien de GBA 19,44 % minder informatie moest verstrekken over vragen rond gegevensverwerkingen.

Nuttige bronnen:

Lees hier het originele artikel