Doorbraak in impasse bij directie privacywaakhond

Er is witte rook over de vervanging van de directie van de Gegevensbeschermingsautoriteit (GBA). Sinds mei vorig jaar had die geen directie meer. Dat verandert waarschijnlijk in maart.

Op 25 mei vorig jaar traden in de hele Europese Unie de nieuwe databeschermingsregels (GDPR) in werking. De federale regering versterkte in de aanloop daarnaar de bevoegdheden en de werking van de privacycommissie. De nieuwe Gegevensbeschermingsautoriteit (GBA) zou bedrijven ook kunnen sanctioneren.

Maar het bleef lang stil. Boosdoener was het uitblijven van een nieuw vijfkoppig directiecomité. De taalvereisten lagen daarbij aan de basis van de problemen. Elk directielid moest naast zijn moedertaal ook het Engels machtig zijn. Dat was het probleem niet.

De vereiste dat minstens een van de directieleden het Duits machtig moest zijn, lag moeilijker. Bij vorige selectieproeven georganiseerd door Selor, het selectiebureau waar de overheid mee werkt, was niemand geslaagd die Duits kon. Er vonden de afgelopen weken noodgedwongen nieuwe selectieproeven plaats.

Maart

Ditmaal zijn er wel geslaagden voor de Duitse taalproef, bevestigt Kamervoorzitter Siegfried Bracke (N-VA). De GBA valt onder de bevoegdheid van de Kamer: het halfrond legt de budgetten vast en keurt benoemingen goed na hoorzittingen.

Een van de knelpunten was dat één van de vijf leden van het directiecomité Duits moet kunnen.

Nu er geselecteerden zijn die Duits kunnen, kunnen de hoorzittingen in het halfrond aanvatten. Het moet mogelijk zijn om in maart, nog voor de ontbinding van het halfrond en de verkiezingen, directeurs te benoemen, valt te te horen.

Het moet de GBA eindelijk op volle toerental brengen. Willem Debeuckelaere, het waarnemend hoofd van de privacywaakhond, erkende begin januari dat de werking zonder directiecomité ‘gehandicapt’ was. ‘De inspectiedienst heeft door het uitblijven van een directiecomité geen aparte directeur’, stelde hij toen.

Controle

Er zijn voorlopig twee inspecteurs die, met de assistentie van het secretariaat, zich toeleggen op de eerstelijnszorg. ‘Ze beperken zich vooral tot het behandelen van klachten.’ Proactief inspecteren bij bedrijven, zoals in Nederland wel al gebeurt, is nog niet aan de orde.

België loopt internationaal achter in het afdwingen van de GDPR-regels. De Franse privacywaakhond CNIL liet al van zich horen, met een boete van 50 miljoen euro voor de zoekgigant Google. Ook in Duitsland en Portugal vielen er al boetes.

Het sluitstuk van de GDPR-regels is de verplichting voor bedrijven om binnen 72 uur een datalek te melden. Acht maanden na het in werking treden van de privacyregels zijn in ons land nog maar 442 datalekken gemeld. Dat is flink minder dan in de buurlanden: in het hele vorige jaar kreeg de Nederlandse privacytoezichthouder 21.000 meldingen.

Bron : Financieel Economische Tijd