Toen op 25 mei de GDPR van kracht werd, werd tegelijk ook de vroegere Privacycommissie officieel omgevormd tot de 'Gegevensbeschermingsautoriteit' (GBA). Die nieuwe privacyregulator kreeg ruimere bevoegdheden en moest meer slagkracht krijgen. Daarbij hoorde ook het vervangen van de zestien commissarissen in het directiecomité door vijf vastbenoemde directeurs. Een half jaar later is die nieuwe directie nog steeds niet benoemd geraakt.

Danielle Jacobs, voorzitter van Beltug, maakt zich zorgen: "Bedrijven willen in lijn zijn met de wetgeving, maar botsen op veel vraagtekens", zegt ze. "De onzekerheid bij het omgaan met de privacy van klanten en werknemers is nefast."

Volgens de Beltug Privacy Council, een groep van privacyspecialisten van dertig bedrijven, blijkt er bij het omzetten van wettelijke bepalingen naar IT-processen veel ruimte voor interpretatie. "De rol van en de begeleiding door de GBA is hierin cruciaal", klinkt het.

Zo zou Beltug veel vragen krijgen over het beheer van personeelsgegevens. "Wanneer wij met deze vraag aankloppen bij de GBA vernemen we dat de informatie op haar website rond 'privacy op de werkvloer' nog niet geactualiseerd werd, omdat men dit door het nieuwe management van de GBA wil laten behandelen", klinkt het. "Wij begrijpen dat de bestaande directie fundamentele keuzes wil overlaten aan de nieuwe directie, maar deze situatie is onhoudbaar."

Problemen met Duits

De benoeming is een taak van het parlement. Om de politiek van de urgentie van deze benoemingen te overtuigen, stuurde Beltug eind oktober een brief met haar bezorgdheid naar Kamervoorzitter Siegfried Bracke en naar de verschillende fractievoorzitters.

Bracke stelde toen in De Tijd dat de keuze van kandidaten vastloopt op de taalvereisten. Alle kandidaten moeten naast hun moedertaal ook het Engels beheersen en één van de vijf directieleden moet het Duits machtig zijn. 'Een persoon slaagde voor het taalexamen Duits, maar was gezakt voor Engels', verklaarde Bracke het uitblijven van de benoemingen.