Wie controleert de GDPR?

Wie controleert de GDPR? Dit is een een veel gestelde vraag die ik tijdens mijn spreekbeurten, opleidingen en GDPR-implementaties projecten regelmatig voorgeschoteld krijg. Er is een extern controleorganisme namelijk de Gegevensbeschermingsautoriteit (GBA). Intern is deze rol voor de Data Protection Officer weggelegd.

Wat is de Gegevensbeschermingsautoriteit?

Deze federale overheidsinstelling ziet toe op de bescherming van de privacy van de personen bij de verwerking van de persoonsgegevens door bedrijven, instellingen… Zij is opgericht daar de Europese Privacy waakhond dergelijke autoriteit voorschrijft. Alhoewel de GDPR al vanaf mei 2018 van kracht is, werd de GBA pas in april 2019 benoemd. Haar voorganger was de Privacy commissie.

Binnen de GBA zijn een 80-tal personen werkzaam die in 6 directies werden onderverdeeld:

  • De eerstelijnsdienst ontvangt de klachten, bemiddelt en geeft voorlichting
  • De inspectiedienst onderzoekt de klachten en kan ter plaatse komen
  • De geschillenkamer bespreekt en motiveert de sancties
  • Het kenniscentrum verstrekt adviezen aan de bevoegde overheden;
  • Het algemeen secretariaat ondersteunt de werking en verzorgt de communicatie;
  • Het directiecomité

Welke bevoegdheden heeft de Gegevensbeschermingsautoriteit?

De werking van de GBA is geregeld in een federale wet van 3 december 2017. Het mag dus duidelijk zijn dat er binnen een wettelijk kader gewerkt moet worden. Bedrijven vallen niet ten prooi aan de willekeur en genieten zowel rechten als plichten. Ook beroep aantekenen bij het Marktenhof behoort tot de mogelijkheden.

Hoe komt een firma of een andere organisatie in contact met de Gegevensbeschermingsautoriteit?

Bedrijven kunnen op verschillende manieren met de GBA in contact komen:

  1. Bij de bekendmaking van een data lek: om de meldingen te stroomlijnen heeft de GBA een meldingsformulier op de haar website geplaatst.
  2. Om de aangestelde Data Protection Officer te registreren.
  3. Bij de afhandeling van een klacht die door een burger werd ingediend: de eerstelijnsdienst, de inspectiedienst en de geschillencommissie.

Welke feiten geven aanleiding tot een inspectie in een bedrijf?

  • De GBA ontvangt een verzoek tot bemiddeling of een klacht van een belanghebbende of betrokkene. Het indienen van bijvoorbeeld een klacht werd vrij laagdrempelig gehouden door middel van een meldingsformulier op de website van de Gegevensbeschermingsautoriteit. Daarbij is ook ieder bedrijf om de coördinaten van de GBA op te nemen in hun privacy beleid.
  • De GBA heeft zelf aanwijzingen van een mogelijk inbreuk op de verwerking van de persoonsgegevens binnen een bedrijf.Fishing Expeditions” waar de GBA bij een bedrijf ‘binnenvalt’ om zomaar het GDPR-dossier op te vragen en te doorgronden, zijn echter niet toegelaten. Van dergelijke praktijken hoef je dus geen schrik te hebben. Maar wanneer de GBA zelf het initiatief neemt duidt dit meestal op grote onregelmatigheden.
  • De GBA krijgt een opdracht van een rechterlijke instantie.
  • De GBA voert samen met de gegevensautoriteit van een andere Europese Staat een onderzoek uit.

Interne controle op de correcte toepassing van de GDPR?

De Data Protection Officer (DPO) of in het Nederlands de Functionaris voor Gegevensbescherming (FG) heeft verschillende opdrachten waaronder de controle uitoefenen of de regels binnen de organisatie correct worden toegepast. Deze surveillance kan als vervelend worden ervaren maar helpt zeker om de inspecties van de GBA te vermijden of toch vlot te laten verlopen.

De aanstelling van een DPO is in vele gevallen niet verplicht maar de organisatie kan wel vrijwillig een DPO aanstellen. Bij het ontbreken van een DPO is het toch aangeraden om een medewerker de correcte toepassing van de GDPR te laten controleren. Eén belangrijke opmerking: geef deze persoon de titel niet van DPO omdat de organisatie dan sowieso de regels van de GDPR voor de DPO’s dient te volgen.

In deze bijlage vind je een schema “Moet ik een DPO aanstellen?”

Rolf Vermeulen - Ubora

Rolf Vermeulen
GDPR & Security
+32 475 96 01 18

Bart Ocket
GDPR & Security
+32 491 08 37 84

Karel Mol
GDPR & Security
+32 476 30 91 47