Enkele dagen geleden publiceerden 13 eminente academici in Le Soir een vurig pleidooi voor een onafhankelijke en sterke Gegevensbeschermingsautoriteit. Zij zien een drietal problemen ("clignotants") en waarschuwen dat zij waakzaam zullen blijven voor het respecteren van onze onafhankelijkheid.

Met de essentie van hun betoog ben ik het alvast volledig eens. Het volgt rechtstreeks uit onze Europeesrechtelijke verplichtingen dat de "controleur" voldoende onafhankelijk moet zijn van de gecontroleerden. De GBA is geen doekje voor het bloeden. Ook hun oproep tot waakzaamheid kunnen wij enkel toejuichen.

Waakzaamheid is niet alleen nuttig voor de verwerking van (persoons)gegevens, maar ook voor het toezicht op de toezichthouder. Of zelfs het parlement. Burgers en verantwoordelijken moeten goed worden geïnformeerd en op basis daarvan keuzes kunnen maken. En wanneer sommigen een stapje verder willen gaan en zich ook bekommeren om onze samenstelling en (toekomstige) prioriteiten, kunnen wij dat als rechtgeaarde democraten enkel toejuichen.

Wat baten kaars en bril...

Toch willen wij enkele zaken in een ruimer perspectief plaatsen. Vooreerst zoomt hun opinie heel sterk in op onze rol ten opzichte van de publieke sector. Zoals de Europese wetgeving vereist, worden wij geconsulteerd over ontwerpen van wet- of regelgeving. Ons Kenniscentrum brengt daarover advies uit, terwijl wij niet in staat zijn om voor talloze andere verwerkingsactiviteiten (ook uit de privésector) even goed advies "op maat" te geven.

Bovendien: sinds onze hervorming van 2019 is het geven van advies over wetgeving niet meer de belangrijkste manier waarop wij instaan voor de bescherming van burgers. Zoals de auteurs terecht aanhalen, kregen wij echte "tanden" (lees: sanctioneringsbevoegdheden). Zelfs als er al een probleem van (gepercipieerde?) belangenconflicten zou zijn in de fase van advisering over wetgeving, zou het voor een evenwichtig oordeel over onze Autoriteit correcter zijn ook die nieuwe activiteiten in rekening te nemen. En daarover kan ik met de hand op het hart (en rechtstreekse getuigenissen van de betrokken collega's) zeggen dat er nooit enige onterechte invloed is geweest.

We hebben nochtans tegen allerlei overheden (burgemeesters, provincies, regionale en federale overheidsdiensten, gezondheidsinstanties...) opgetreden, zoals het een sterke en onafhankelijke toezichthouder betaamt. In die zin "verkijkt" de kritiek op de adviesfase zich, of gaat het gewoon zelfs om een anachronisme. Wij doen immers zoveel meer dan vroeger...

Onafhankelijkheid is zeker cruciaal, maar is geen doel op zich.

Un train peut en cacher un autre

Een tweede bedenking is fundamenteler, die ook de vraag oproept over wat er precies bedoeld wordt met onafhankelijkheid. Zelfs als er gerechtvaardigde bezorgdheden zouden vallen te bewijzen (wat ik betwijfel, want er wordt nu al ruim 2 jaar op allerlei manieren naar gezocht), is het belangrijk om te beseffen dat onafhankelijkheid zeker cruciaal is, maar geen doel op zich. Het is een garantie om onze opdracht en missie naar behoren te (kunnen) realiseren. Onafhankelijkheid dient dus een hoger doel, namelijk de effectiviteit van het optreden van onze Autoriteit: de bescherming van burgers. De vraag is dus niet enkel of wij voldoende onafhankelijk zijn, maar of wij de privacy van de burgers voldoende beschermen.

Maar daarnaast is er ook de kwestie van onafhankelijkheid, in de zin dat we niet met anderen zouden mogen samenwerken. Is er iemand die gelooft dat wij burgers beter zouden beschermen als wij allemaal als kluizenaars - totaal afgesloten van de wereld - getuigen van de "ultieme" onafhankelijkheid? Wordt onafhankelijkheid dan niet met irrelevantie verward?

Zoals voor alle fundamentele rechten, geldt ook voor privacy dat het recht van de ene eindigt waar het (hetzelfde of een ander) recht van de andere begint. Ook daar moet het vizier dus veel ruimer. In ons Strategisch Plan 2020-2025 hebben wij als GBA trouwens vooropgesteld dat de aanpak voor een betere bescherming grotendeels over (minstens) twee sporen verloopt. Naast het effectief toepassen van de regels en opleggen van sancties (een sinds 2019 nieuwe taak die wij tot bijna jaloezie van Europese collega's erg overtuigend opnemen), willen wij burgers, bedrijven en verenigingen ook informeren, sensibiliseren en in staat stellen om reële risico's in te schatten en op basis daarvan geïnformeerde beslissingen of maatregelen te nemen.

Terug de ivoren toren in is echt geen optie. We zouden onze missie verloochenen.

Wij willen allerlei nieuwe instrumenten inzetten voor onze missie. Als kleine, onder problemen gebukt gaande toezichthouder hebben wij recent toch maar de eerste Europese gedragscode (over clouddiensten) goedgekeurd. Belgium leading in Europe... Het is een volstrekte illusie om te denken dat wij dat als GBA alleen aankunnen. Zeker voor die taak zijn partnerships en samenwerking essentieel. En ja, dat kan ook met collega-toezichthouders of overheidsdiensten zijn, maar even goed (sector)verenigingen of andere associaties. Natuurlijk mogen wij onze adviezen of beslissingen daardoor nooit laten beïnvloeden, maar terug de "ivoren toren" in is echt geen optie. We zouden onze missie verloochenen...

Ironie

Uiteraard wil ik hier geen naïeve of eenzijdige stelling innemen, of het debat onterecht vernauwen. Zijn zin voor nuance geraakt een echte academicus allicht nooit meer kwijt...

Mijn betoog is dus niet dat er voor de werking, onafhankelijkheid of effectiviteit van de GBA geen bedreigingen zijn. Die houden volgens mij veel meer verband met (vastgeroeste) structuren en processen dan met individuele personen. Met te weinig creativiteit of flexibiliteit, niet teveel.

Daarbij denk ik onder meer aan 1° het structurele en acute gebrek aan personeelsmiddelen (in de Europese klas geraken wij steeds verder achterop - meerdere auteurs zouden dit bijna vanop de eerste rij moeten kunnen getuigen) en de lopende initiatieven om het ondersteunend personeel met andere instellingen te "delen", aan 2° het gebrek aan eenheid binnen de Autoriteit (het volstrekt onwerkzame idee van "5 silo's" als zogezegde garantie voor (nog meer) onafhankelijkheid, terwijl dit in de praktijk enkel tot ineffectiviteit aanleiding gaf), aan 3° de fragmentatie van bevoegdheden tussen (te veel) federale én regionale privacy-toezichthouders (met respect van eenieders bevoegdheden zouden we kunnen samenwerken en soms zelf kunnen rationaliseren), aan 4° de op sommige vlakken (vb. budget en interne werking of organisatie) overmatige controle door de Kamer van Volksvertegenwoordigers, overigens ook één van onze "gecontroleerden"), aan 5° de onnodige complexiteit van de regels en de noodzaak van het vereenvoudigen of toegankelijker maken ervan (vb. pictogrammen in plaats van onleesbare privacy policies, wat uiteraard niet een louter juridische oefening is en praktijkkennis vergt), aan 6° het uitbouwen van bijkomende expertise en disciplines binnen de Autoriteit (de uitdagingen van morgen - of vandaag - zijn intrinsiek interdisciplinair). Ironisch genoeg bijna allemaal gekende factoren voort de beperking van onafhankelijkheid die destijds in mijn doctoraatsonderzoek de revue passeerden...

Uitnodiging

Tot slot: genuanceerd, eerlijk, geïnformeerd en transparant debat is in een democratie essentieel. De cruciale rol van de GBA op het vlak van de (toekomstige?) digitalisering van onze maatschappij is door Corona nog veel sneller duidelijk geworden dan ik verwachtte (of: kon hopen...). De vertrouwde gids zijn voor de digitale maatschappij en gegevens, dat moet onze opdracht of toetssteen zijn.

Dat is waarom we ondanks moeilijkheden en beperkingen recent toch - intussen met succes - gepleit hebben voor bijkomende bevoegdheden op het vlak van online privacy ("cookies"). Maar laten we dat debat op wetenschappelijk correcte wijze voeren : door herhaald en vrij gesprek te organiseren. Woord en wederwoord. Ik neem mij daarom de vrijheid de "waarschuwing" van de auteurs te beantwoorden met een oproep tot debat en zal hen eerstdaags een uitnodiging bezorgen. De materie is te belangrijk om - zelfs via persartikelen - te voeren!

Enkele dagen geleden publiceerden 13 eminente academici in Le Soir een vurig pleidooi voor een onafhankelijke en sterke Gegevensbeschermingsautoriteit. Zij zien een drietal problemen ("clignotants") en waarschuwen dat zij waakzaam zullen blijven voor het respecteren van onze onafhankelijkheid.Met de essentie van hun betoog ben ik het alvast volledig eens. Het volgt rechtstreeks uit onze Europeesrechtelijke verplichtingen dat de "controleur" voldoende onafhankelijk moet zijn van de gecontroleerden. De GBA is geen doekje voor het bloeden. Ook hun oproep tot waakzaamheid kunnen wij enkel toejuichen.Waakzaamheid is niet alleen nuttig voor de verwerking van (persoons)gegevens, maar ook voor het toezicht op de toezichthouder. Of zelfs het parlement. Burgers en verantwoordelijken moeten goed worden geïnformeerd en op basis daarvan keuzes kunnen maken. En wanneer sommigen een stapje verder willen gaan en zich ook bekommeren om onze samenstelling en (toekomstige) prioriteiten, kunnen wij dat als rechtgeaarde democraten enkel toejuichen.Toch willen wij enkele zaken in een ruimer perspectief plaatsen. Vooreerst zoomt hun opinie heel sterk in op onze rol ten opzichte van de publieke sector. Zoals de Europese wetgeving vereist, worden wij geconsulteerd over ontwerpen van wet- of regelgeving. Ons Kenniscentrum brengt daarover advies uit, terwijl wij niet in staat zijn om voor talloze andere verwerkingsactiviteiten (ook uit de privésector) even goed advies "op maat" te geven.Bovendien: sinds onze hervorming van 2019 is het geven van advies over wetgeving niet meer de belangrijkste manier waarop wij instaan voor de bescherming van burgers. Zoals de auteurs terecht aanhalen, kregen wij echte "tanden" (lees: sanctioneringsbevoegdheden). Zelfs als er al een probleem van (gepercipieerde?) belangenconflicten zou zijn in de fase van advisering over wetgeving, zou het voor een evenwichtig oordeel over onze Autoriteit correcter zijn ook die nieuwe activiteiten in rekening te nemen. En daarover kan ik met de hand op het hart (en rechtstreekse getuigenissen van de betrokken collega's) zeggen dat er nooit enige onterechte invloed is geweest.We hebben nochtans tegen allerlei overheden (burgemeesters, provincies, regionale en federale overheidsdiensten, gezondheidsinstanties...) opgetreden, zoals het een sterke en onafhankelijke toezichthouder betaamt. In die zin "verkijkt" de kritiek op de adviesfase zich, of gaat het gewoon zelfs om een anachronisme. Wij doen immers zoveel meer dan vroeger...Een tweede bedenking is fundamenteler, die ook de vraag oproept over wat er precies bedoeld wordt met onafhankelijkheid. Zelfs als er gerechtvaardigde bezorgdheden zouden vallen te bewijzen (wat ik betwijfel, want er wordt nu al ruim 2 jaar op allerlei manieren naar gezocht), is het belangrijk om te beseffen dat onafhankelijkheid zeker cruciaal is, maar geen doel op zich. Het is een garantie om onze opdracht en missie naar behoren te (kunnen) realiseren. Onafhankelijkheid dient dus een hoger doel, namelijk de effectiviteit van het optreden van onze Autoriteit: de bescherming van burgers. De vraag is dus niet enkel of wij voldoende onafhankelijk zijn, maar of wij de privacy van de burgers voldoende beschermen.Maar daarnaast is er ook de kwestie van onafhankelijkheid, in de zin dat we niet met anderen zouden mogen samenwerken. Is er iemand die gelooft dat wij burgers beter zouden beschermen als wij allemaal als kluizenaars - totaal afgesloten van de wereld - getuigen van de "ultieme" onafhankelijkheid? Wordt onafhankelijkheid dan niet met irrelevantie verward? Zoals voor alle fundamentele rechten, geldt ook voor privacy dat het recht van de ene eindigt waar het (hetzelfde of een ander) recht van de andere begint. Ook daar moet het vizier dus veel ruimer. In ons Strategisch Plan 2020-2025 hebben wij als GBA trouwens vooropgesteld dat de aanpak voor een betere bescherming grotendeels over (minstens) twee sporen verloopt. Naast het effectief toepassen van de regels en opleggen van sancties (een sinds 2019 nieuwe taak die wij tot bijna jaloezie van Europese collega's erg overtuigend opnemen), willen wij burgers, bedrijven en verenigingen ook informeren, sensibiliseren en in staat stellen om reële risico's in te schatten en op basis daarvan geïnformeerde beslissingen of maatregelen te nemen.Wij willen allerlei nieuwe instrumenten inzetten voor onze missie. Als kleine, onder problemen gebukt gaande toezichthouder hebben wij recent toch maar de eerste Europese gedragscode (over clouddiensten) goedgekeurd. Belgium leading in Europe... Het is een volstrekte illusie om te denken dat wij dat als GBA alleen aankunnen. Zeker voor die taak zijn partnerships en samenwerking essentieel. En ja, dat kan ook met collega-toezichthouders of overheidsdiensten zijn, maar even goed (sector)verenigingen of andere associaties. Natuurlijk mogen wij onze adviezen of beslissingen daardoor nooit laten beïnvloeden, maar terug de "ivoren toren" in is echt geen optie. We zouden onze missie verloochenen...Uiteraard wil ik hier geen naïeve of eenzijdige stelling innemen, of het debat onterecht vernauwen. Zijn zin voor nuance geraakt een echte academicus allicht nooit meer kwijt... Mijn betoog is dus niet dat er voor de werking, onafhankelijkheid of effectiviteit van de GBA geen bedreigingen zijn. Die houden volgens mij veel meer verband met (vastgeroeste) structuren en processen dan met individuele personen. Met te weinig creativiteit of flexibiliteit, niet teveel.Daarbij denk ik onder meer aan 1° het structurele en acute gebrek aan personeelsmiddelen (in de Europese klas geraken wij steeds verder achterop - meerdere auteurs zouden dit bijna vanop de eerste rij moeten kunnen getuigen) en de lopende initiatieven om het ondersteunend personeel met andere instellingen te "delen", aan 2° het gebrek aan eenheid binnen de Autoriteit (het volstrekt onwerkzame idee van "5 silo's" als zogezegde garantie voor (nog meer) onafhankelijkheid, terwijl dit in de praktijk enkel tot ineffectiviteit aanleiding gaf), aan 3° de fragmentatie van bevoegdheden tussen (te veel) federale én regionale privacy-toezichthouders (met respect van eenieders bevoegdheden zouden we kunnen samenwerken en soms zelf kunnen rationaliseren), aan 4° de op sommige vlakken (vb. budget en interne werking of organisatie) overmatige controle door de Kamer van Volksvertegenwoordigers, overigens ook één van onze "gecontroleerden"), aan 5° de onnodige complexiteit van de regels en de noodzaak van het vereenvoudigen of toegankelijker maken ervan (vb. pictogrammen in plaats van onleesbare privacy policies, wat uiteraard niet een louter juridische oefening is en praktijkkennis vergt), aan 6° het uitbouwen van bijkomende expertise en disciplines binnen de Autoriteit (de uitdagingen van morgen - of vandaag - zijn intrinsiek interdisciplinair). Ironisch genoeg bijna allemaal gekende factoren voort de beperking van onafhankelijkheid die destijds in mijn doctoraatsonderzoek de revue passeerden...Tot slot: genuanceerd, eerlijk, geïnformeerd en transparant debat is in een democratie essentieel. De cruciale rol van de GBA op het vlak van de (toekomstige?) digitalisering van onze maatschappij is door Corona nog veel sneller duidelijk geworden dan ik verwachtte (of: kon hopen...). De vertrouwde gids zijn voor de digitale maatschappij en gegevens, dat moet onze opdracht of toetssteen zijn.Dat is waarom we ondanks moeilijkheden en beperkingen recent toch - intussen met succes - gepleit hebben voor bijkomende bevoegdheden op het vlak van online privacy ("cookies"). Maar laten we dat debat op wetenschappelijk correcte wijze voeren : door herhaald en vrij gesprek te organiseren. Woord en wederwoord. Ik neem mij daarom de vrijheid de "waarschuwing" van de auteurs te beantwoorden met een oproep tot debat en zal hen eerstdaags een uitnodiging bezorgen. De materie is te belangrijk om - zelfs via persartikelen - te voeren!