'Gehandicapte' privacywaakhond draait op halve kracht

De nieuwe privacywaakhond moet de naleving van de GDPR-regels nagaan. ©ANP XTRA

De oprichting van de nieuwe Gegevensbeschermingsautoriteit (GBA), die de naleving van de strenge Europese privacyregels (GDPR) moet controleren, is nog altijd niet rond.

In januari is het niet alleen voor studenten blokken geblazen. Ook de overgebleven kandidaten voor het directiecomité van de Gegevensbeschermingsautoriteit (GBA) hebben een examen voor de kiezen: Duits. Het doel? Een kandidaat vinden die het Duits voldoende machtig is, zodat het directiecomité van de GBA eindelijk uit de startblokken kan schieten.

De nieuwe privacywaakhond heeft scherpere tanden en kan bedrijven boetes opleggen die tot 4 procent van hun wereldwijde jaaromzet kunnen bedragen

De federale regering keurde vorig jaar, in de aanloop naar de komst van de Europese privacyregels (GDPR) in mei, een hervorming van de privacycommissie goed. De GBA kreeg bredere bevoegdheden dan haar voorganger, zodat ze misbruiken bij de bescherming van persoonsgegevens beter zou kunnen controleren. De nieuwe privacywaakhond heeft ook scherpere tanden en kan bedrijven boetes opleggen die tot 4 procent van hun wereldwijde jaaromzet kunnen bedragen

Maar meer dan een halfjaar na de invoering van de privacyregels is de nieuwe GBA nog altijd ‘gehandicapt’. Dat zegt Willem Debeuckelaere, het waarnemend hoofd van de privacywaakhond. Het probleem ligt bij de taalvereisten. Elke kandidaat moet naast zijn moedertaal ook Engels beheren. Dat is niet het probleem. Maar de regels vereisen ook dat minstens een van de directieleden het Duits machtig moet zijn.

Taalproeven

Eerdere taalproeven via Selor, het selectiebureau van de overheid, leverden geen kandidaat op die voldoende Duits spreekt. Zolang die er niet is, kan niemand van het vijfkoppige directiecomité aantreden. Dat bemoeilijkt de verwerking van de klachten en de inspectie bij bedrijven aanzienlijk.

Onze twee inspecteurs beperken zich tot het behandelen van klachten. Proactief inspecteren bij bedrijven is nog niet aan de orde.
Willem Debeuckelaere
Waarnemend hoofd GBA

‘De inspectiedienst heeft door het uitblijven van een directiecomité geen aparte directeur’, stelt Debeuckelaere. Er zijn nu twee inspecteurs die, met assistentie van het secretariaat, zich toeleggen op de eerstelijnszorg. ‘Ze beperken zich vooral tot het behandelen van klachten.’ Proactief inspecteren bij bedrijven, zoals in Nederland wel al gebeurt, is nog niet aan de orde.

De GBA moest midden december zelfs haar toevlucht nemen tot een noodgreep om de werking te verzekeren. Ze keurde een tijdelijk huishoudelijk reglement goed, zodat er enige interne werking mogelijk was. Het parlement, dat de GBA controleert, bekrachtigde het reglement. ‘Het geeft ons de kans toch enigzins in een nieuw kader te werken en klachten te behandelen’, aldus Debeuckelaere. Nu is het dus hopen op een Duitskundige kandidaat bij examens volgende week, bevestigt Kamervoorzitter Siegfried Bracke (N-VA)

Halve kracht

Budgettair zijn er geen problemen. De GBA kreeg voorlopig het geld dat ze nodig heeft, bevestigt Debeuckelaere. Al is niet uit te sluiten dat ook daar in de loop van het jaar moet worden bijgestuurd. Het feit dat de regering in lopende zaken is, heeft ook geen impact. De werking van de GBA valt volledig onder de bevoegdheid van het parlement.

Het feit dat de privacywaakhond alleszins nog een tijdje op halve kracht opereert, komt zeer ongelegen. Eind november maakte de GBA al bekend dat er door de GDPR veel werk op haar af komt. Bedrijven zijn door de nieuwe regels verplicht binnen 72 uur een datalek te melden. Sinds 25 mei gebeurde dat 317 keer, wat een explosieve toename is tegenover 2017. Toen waren er in een heel jaar amper 13 meldingen.

België loopt daardoor ook internationaal achterop in het afdwingen van de GDPR. In Duitsland en Portugal hebben de respectievelijke privacywaakhonden al de eerste boetes uitgedeeld. Een Duits sociaal netwerk kreeg een boete van 20.000 euro omdat het de gegevens van zijn gebruikers onvoldoende had beveiligd. In Portugal kreeg een ziekenhuis een boete van 400.000 euro omdat bepaalde data zonder toestemming werden gebruikt.

 

Lees verder

Advertentie
Advertentie

Tijd Connect