Europese Commissie onderzoekt onafhankelijkheid Gegevensbeschermingsautoriteit

De Europese Commissie wil een inbreukprocedure starten tegen de Gegevensbeschermingsautoriteit (GBA). De commissie stelt dat de privacytoezichthouder onvoldoende onafhankelijk is voor het toetsen van de naleving van de GDPR. Verschillende bestuursleden van de GBA zouden ministers tijdens het schrijven van wetsvoorstellen van informatie voorzien over het volgen van de GDPR. Twee van hen zouden inmiddels zijn opgestapt, maar een derde, Frank Robben, is nog steeds actief bij de toezichthouder. Er is ook nog een vierde panellid, Bart Preneel, die in een comité zit dat besluiten neemt over het uitwisselen van data in de publieke sector. Ook hij is actief bij de GBA.

Volgens Politico zeggen beide nog zetelende bestuursleden dat hun posities geen invloed hebben op de onafhankelijkheid van de toezichthouder. Wat Preneel betreft kunnen we daar zeker in komen, over de positie van Robben bestaat al langer heel wat twijfel. Hij is administrateur-generaal van de Kruispuntbank van de Sociale Zekerheid en van het eHealth-platform. Maar behalve topambtenaar is hij als gedelegeerd bestuurder van Smals ook de belangrijkste IT-leverancier voor de overheid. Vandaar de vragen die de Europese Commissie zich stelt over zijn onafhankelijkheid om in de GBA te zetelen.

Terwijl een onderzoek naar het gebrek aan onafhankelijkheid van Frank Robben zeker terecht is, lijkt dit vooral op episode zoveel in de machtsstrijd die al sedert de oprichting in 2019 woedt binnen de Gegevensbeschermingsautoriteit. Binnen het vijfkoppig directiecomité zijn er duidelijk twee stromingen in de manier van denken over privacy en het gebruik van persoonlijke gegevens. De ene stroming, waartoe onder meer directeur David Stevens en de geviseerde Frank Robben, denkt eerder pragmatisch en stelt zich flexibeler op wat betreft het gebruik van persoonlijke data. De andere stroming is veeleer principieel ingesteld en is ervan overtuigd dat persoonlijke gegevens zoveel als mogelijk afgeschermd moeten worden. De meest in het oog springende namen hierbij zijn Alexandra Jaspar, hoofd van het Kenniscentrum waar onder meer ook Robben in zetelt, en Charlotte Dereppe, die de Eerstelijnsdienst leidt. Die meningsverschillen lopen bovendien nog eens via een communautaire breuklijn, overgoten met een partijpolitiek sausje.

Het conflict heeft er in de praktijk al een paar keer toe geleid dat de GBA over bepaalde zaken met verschillende standpunten naar buiten kwam die mekaar soms gewoon tegenspraken. Het meest recente voorbeeld daarvan is de databank die gebruikt moest worden voor de contacttracing. In een advies van het Kenniscentrum werd de databank met de grond gelijk gemaakt. In de tekst, ondertekend door Jaspar, luidde de conclusie dat de databank illegaal was. David Stevens vond die tekst dan weer te scherp geschreven en schoof het recht op gezondheid naar voren. Het ging volgens hem wel om een verregaande ingreep in de privacy, maar zolang het tijdelijk en uitzonderlijk was, kon hij er nog enig begrip voor opbrengen. Het is het soort welles-nietes spelletjes die er mee voor zorgen dat de adviezen van de GBA steeds meer uitblinken in onduidelijkheid. Het onverkwikkelijke verhaal doet de reputatie van de Gegevensbeschermingsautoriteit op zijn zachtst gezegd geen goed.

Wie weet kan het onderzoek van de Europese Commissie aanleiding zijn om orde op zaken te stellen aan de top van de GBA, zodat eindelijk de nodige stappen kunnen worden gezet naar een goed functionerende en vooral sterke privacywaakhond waarmee terdege rekening moet worden gehouden. Al dat gekrakeel en gekleuter kan wie zich om zijn of haar privacy bekommert alleszins missen als de pest.

Meer lezen via Politico, Tweakers (inclusief de comments)