Het eerste deel van deze twee bijdragen probeert te verhelderen waarom de onthullingen van de twee directeurs van de Gegevensbeschermingsautoriteit (hierna GBA) twijfel gezaaid hebben over de onafhankelijkheid van het Kenniscentrum. Dit centrum heeft voornamelijk als missie om de wettigheid van ontwerpen van wetten en reglementen te onderzoeken, alsook hun overeenstemming met de AVG. In een tweede deel, analyseert de auteur de kwestie van onafhankelijkheid van het Algemeen Secretariaat van de Autoriteit.

Cet article est aussi disponible en français.

Tijdens de periode van de COVID-19 pandemie hebben de Belgische autoriteiten talrijke databases en technische hulpmiddelen opgezet, en dit met behulp van een grote verscheidenheid aan wetskrachtige normen (zie hier voor een lijst). Denk bijvoorbeeld aan contact tracing, de verwerking van vaccinatiegegevens, het Passenger Locator Form of het Covid Safe Ticket. Deze instrumenten hebben gemeenschappelijk dat ze persoonlijke gegevens verzamelen en met elkaar in verband brengen. Van deze persoonlijke gegevens kunnen er een aantal gekwalificeerd worden als gevoelig aangezien ze de gezondheid betreffen. Al die gegevens vallen onder de toepassing, op Europees niveau, van de Algemene verordening gegevensbescherming (hierna AVG). 

In België is de Gegevensbeschermingsautoriteit (hierna GBA) belast met de taak om te waken over het respect voor het privéleven door de publieke instellingen. Deze is samengesteld uit een Directiecomité en vijf directies, waaronder het Algemeen Secretariaat en het Kenniscentrum, waaraan in deze bijdrage meer aandacht wordt besteed. De voornaamste taak van het Kenniscentrum is verifiëren of de ontwerpteksten van reglementen en wetgeving in overeenstemming zijn met de wetgeving over de bescherming van persoonlijke gegevens. De adviezen die het Kenniscentrum hierover opstelt hebben als doel om de ontwerpers van deze teksten te adviseren over hun overeenstemming met de basisprincipes van de AVG. Het Algemeen Secretariaat kan adviezen formuleren in het kader van een gegevensbeschermingseffectbeoordeling (hierna: GEB), die gerealiseerd moet worden wanneer een beoogde verwerking mogelijk een verhoogd risico uitmaakt voor de rechten en vrijheden van natuurlijke personen. Ter illustratie heeft het Algemeen Secretariaat bijvoorbeeld een dergelijk advies over de GEB geformuleerd in de context van het ontwerp van de contact tracing app Coronalert. Om te verzekeren dat hun taken van controle op de publieke sector degelijk uitgevoerd kunnen worden, vereist artikel 52 van de AVG dat deze twee organen onafhankelijk zijn. Het Hof van Justitie van de Europese Unie (zaak C-518/07, paras. 19, 25 en 30), is van oordeel dat dit betekent dat de leden van de Autoriteit vrij moeten blijven van eender welke externe invloed, direct of indirect, inclusief die van de Staat, en dat zij van niemand instructies mogen vragen noch aanvaarden. Deze onafhankelijkheid is tijdens de pandemie op verschillende momenten aan de kaak gesteld door twee directeurs van de GBA (zie bijvoorbeeld het artikel van Magazine Axelle van april 2022), waarvan een reeds ontslag heeft genomen uit haar functies (zie het artikel van LN24 van december 2021).

In dit eerste deel focussen we op de kwestie van onafhankelijkheid van het Kenniscentrum. In deel twee analyseren we die van het Algemeen Secretariaat van de GBA en leggen we uit op welke manier de bescherming voor klokkenluiders, zoals neergelegd in Richtlijn EU 2019/1937 (nog niet omgezet in Belgisch recht) toegepast kan worden op de uitingen van deze directeurs. 

Artikel 23 van de wet tot oprichting van de GBA (hierna WOG) legt aan de overheden en aan de parlementen op om voor de uitvaardiging van iedere reglementaire of wettelijke norm die een verwerking van gegevens voorziet, een advies aan het Kenniscentrum te vragen. Het doel van deze preventieve controle is om te verzekeren dat artikel 22 van de Grondwet nageleefd wordt. Er wordt bijgevolg nagegaan of een formele wet de essentiële elementen van de beoogde verwerkingen bepaalt. Overeenkomstig de eisen van de Grondwet dient de verwerking neergelegd te zijn in een wet, decreet of ordonnantie die de expliciet volgende zaken vaststelt: het legitiem doel van de verwerking, de identiteit van de verwerkingsverantwoordelijk(en), de categorie van personen die beoogd wordt bij de verwerking, de categorieën van geschikte, pertinente en niet-overtollige gegevens die verwerkt dienen te worden, de maximale opslagtijd en (indien nodig) de uitwisseling/communicatie met en de toegang tot de gegevens van derden/derde instanties. Zoals het Grondwettelijk Hof (arrest 2/2021, paras. B.22.1 e.v.) en de Raad van State (advies 68.936/AV, paras. 101 e.v.) hebben bevestigd, kunnen deze essentiële elementen niet worden gedelegeerd aan de uitvoerende macht. Hierdoor wordt verzekerd dat een democratisch verkozen en beraadslagende vergadering over de inmenging in het privéleven beslist. Een delegatie aan de uitvoerende macht is enkel mogelijk waar deze de uitwerking van de maatregelen betreft waarvan de essentiële elementen vooraf zijn vastgelegd door de wetgever. Gelet op deze belangrijke taak van legaliteits- en proportionaliteitscontrole, is het zeer belangrijk om de onafhankelijkheid van de leden van het Kenniscentrum tegenover de uitvoerende macht te bewaken. Om deze reden beschouwt artikel 38 van de WOG uitdrukkelijk dat een mandaat in een publieke functie onverenigbaar is met de functie van lid van het Kenniscentrum. Dit werd recent verduidelijkt in het nieuwe wetsontwerp van de Staatssecretaris voor de bescherming van de persoonlijke levenssfeer, dat ieder lid van het kenniscentrum verbiedt om openbaar mandaathouder, openbaar beheerder of openbaar mandataris in de zin van artikel 2 van de wet van 6 januari 2014 houdende oprichting van een Federale Deontologische Commissie te worden.

Desalniettemin waren tot voor kort drie leden van het Kenniscentrum nog mandatarissen van een openbare functie. Als gevolg van de onthullingen van de Ligue des droits humains hebben twee van hen hun ontslag gegeven in februari 2021 (zie het artikel in l’Echo van 18 februari 2021). De derde – die onder andere algemeen beheerder is van de Kruispuntbank van de Sociale Zekerheid en van het eHealth-platform, twee instellingen die als missie hebben om omvangrijke databanken te beheren in de twee grootste sectoren van het land – heeft gewacht tot de Europese Commissie een inbreukprocedure tegen België had ingesteld alvorens zijn functies bij de GBA neer te leggen (zie het artikel in Le Soir van 7 februari 2022). Op zijn website schrijft die dat hij “van oordeel [blijft] dat [z]ijn functie bij de GBA geen probleem van onafhankelijkheid stelde”. Volgens hem heeft “[d]e strijd tegen de COVID-19 pandemie […] vaak pijnlijk duidelijk gemaakt hoe moeilijk het is om snel en daadkrachtig op te treden als de regelgeving te operationeel gedetailleerd is en te traag kan worden veranderd. Ook in ‘normale’ tijden is het niet wenselijk dat regelgeving dermate gedetailleerd is dat ze wenselijke evoluties verhindert. Er wordt best een onderscheid gemaakt tussen enerzijds inhoudelijke en gegevensbeschermende doelstellingen, die in wetgeving moeten worden vastgelegd, en anderzijds de manier waarop deze doelstellingen worden bereikt. Bij de keuze van de manier waarop de doelstellingen operationeel worden bereikt, dient voldoende ruimte te worden gelaten om optimaal in te spelen op de concrete behoeften en risico’s van elke omgeving”. In andere woorden lijkt dit ex-lid van het Kenniscentrum – waarvan een van de missies is om te waken over het respect voor artikel 22 van de Grondwet – van mening dat omwille van pragmatische redenen het mogelijk zou moeten zijn om deze hoogste rechtsnorm buiten spel te zetten. Het belang van deze norm in tijden van pandemie werd nogmaals onderstreept door de Raad van State. Het is begrijpelijk dat om politieke redenen dit soort praktische argumentatie ingeroepen zou kunnen worden door een wetgever die op zoek naar een balans tussen verschillende doelstellingen. Het doet echter mogelijke twijfels rijzen inzake de onafhankelijkheid van een lid van de Autoriteit die net als taak heeft het recht op privéleven te beschermen. Bovendien kan een parallel getrokken worden tussen deze overweging contra legem en de betrokkenheid van dit lid van het Kenniscentrum bij het Informatieveiligheidscomité (zie het artikel in Le Soir van 10 februari 2022). Op het vlak van contact tracing hadden de auteurs van het samenwerkingsakkoord initieel voorzien om bepaalde essentiële elementen niet zelf te bepalen maar over te laten aan de discretie van dit Comité. Dit heeft de Raad van State (advies 67.719/VR, para. 27) ertoe gebracht te reageren in zeer sterke bewoordingen:

“Het verlenen van verordenende bevoegdheid aan een openbare instelling, zoals het informatieveiligheidscomité, is in beginsel niet in overeenstemming met de algemene publiekrechtelijke beginselen omdat erdoor geraakt wordt aan het beginsel van de eenheid van de verordenende macht en een rechtstreekse parlementaire controle ontbreekt. Bovendien ontbreken de waarborgen waarmee de klassieke regelgeving gepaard gaat, zoals die inzake de bekendmaking, de preventieve controle van de Raad van State, afdeling Wetgeving, en de duidelijke plaats in de hiërarchie der normen. Dergelijke delegaties kunnen dan ook enkel worden gebillijkt voor zover zij zeer beperkt zijn en een niet-beleidsmatige karakter hebben, door hun detailmatige of hoofdzakelijk technische draagwijdte. De instellingen die de betrokken reglementering dienen toe te passen moeten hierbij zowel aan rechterlijke controle als aan politieke controle onderworpen zijn.”

Ten gevolge van een aanmaningsbrief en een advies van de Europese Commissie die de aandacht gevestigd hebben op de wettelijke onverenigbaarheid van de verschillende functies van dit lid van het Kenniscentrum, heeft hij uiteindelijk zijn ontslag gegeven in februari 2022. Hoewel het te betreuren valt dat het parlement het voortouw niet genomen heeft in deze zaak, heeft deze persoonlijke beslissing toch een einde gemaakt aan de eerste reeks schendingen van het Unierecht die door de twee directeurs aan de kaak werden gesteld. Het tweede probleem van onafhankelijk van de GBA, dat ditmaal het Algemeen Secretariaat betreft is hiermee echter niet opgelost. Over deze kwestie heeft het parlement besloten om een procedure van ontheffing uit het mandaat te starten, niet enkel tegenover de directeur van dit Algemeen Secretariaat – die tevens voorzitter van de GBA is – maar ook tegenover de klokkenluidster die haar ontslag nog niet gegeven heeft. In het tweede deel van deze bijdrage analyseren we deze tweede onafhankelijkheidskwestie, net als de toepassing van de regels van Richtlijn (EU) 2019/1937 op zij die publiekelijk deze inbreuken hebben gesignaleerd.

Lees hier deel 2 van deze bijdrage.

Tijd voor Mensenrechten biedt een platform aan mensenrechtenexperten, en gaat de kwaliteit van bijdragen na voor die op het platform verschijnen. Analyses en standpunten blijven niettemin de verantwoordelijkheid van de auteur.


Franck Dumortier

Franck Dumortier is onderzoeker bij het Cyber & Data Security Lab van de VUB.

1 reactie

Klokkenluiders stellen onafhankelijkheid GBA aan de kaak (Deel 2) – Tijd voor Mensenrechten · 31 mei 2022 op 14:54

[…] tweede deel (zie deel 1) analyseert de kwestie van onafhankelijkheid van het Algemeen Secretariaat van de Autoriteit, dat […]

Een reactie achterlaten

Avatar plaatshouder

Je e-mailadres zal niet getoond worden. Vereiste velden zijn gemarkeerd met *