GDPR - AVG

Wat leert het strategisch plan van de GBA voor 2026-2028?

Joris Deene
1 week geleden
153 keer bekeken
8 minuten leestijd

De Gegevensbeschermingsautoriteit (GBA) heeft haar ontwerp van strategisch plan voor 2026-2028 gepubliceerd. De GBA kampt met een stijgend aantal dossiers en een golf van nieuwe, complexe Europese wetgeving, maar wordt tegelijk geconfronteerd met een wervingsstop. De voorgestelde strategie is dan ook een duidelijke keuze: de GBA zal haar middelen niet langer versnipperen en kiest resoluut voor prioritering en samenwerking. Voor burgers en ondernemingen betekent dit een belangrijke verschuiving: verwacht minder individuele ondersteuning en meer proactieve, gerichte handhaving op strategische thema’s.

Deze strategie is momenteel een ontwerp dat openstaat voor publieke consultatie. Zowel burgers als organisaties kunnen hun feedback op de voorgestelde koers geven tot en met 19 november 2025.

Waarom deze koerswijziging? De GBA onder druk

De GBA opereert in wat zij zelf omschrijft als een “budgettair uitdagende context”. De drang om te prioriteren komt niet uit de lucht vallen, maar is een direct antwoord op een “drieledige uitdaging” die een normale werking onhoudbaar maakt.

1. Stijgende en complexere dossiers

De GBA ziet het aantal courante dossiers jaar na jaar stijgen. De tabel in het plan toont een duidelijke toename in onder meer klachten, meldingen van datalekken (inbreuken) en adviesaanvragen. Tegelijkertijd worden de dossiers inhoudelijk complexer door de snelle technologische evoluties.

2. Een ‘tsunami’ aan nieuwe EU-wetgeving

Naast de Algemene Verordening Gegevensbescherming (AVG/GDPR) moet de GBA een toezichtsrol spelen in een hele reeks nieuwe Europese regels, het zogenaamde “Digital Rulebook”. Het plan somt een indrukwekkende lijst op , waaronder:

Deze nieuwe taken komen bovenop de bestaande werklast.

3. Een harde wervingsstop

Om deze groeiende en complexere taken op te vangen, kan de GBA “niet automatisch op extra personeel rekenen”. Het plan is hierin zeer expliciet: er geldt een wervingsstop (kredieten voor extra personeel worden “in principe geweigerd”) die “in principe tot in 2029” loopt.

De GBA concludeert zelf dat ze te vaak opereert “onder druk van een onvoorspelbare en soms zelfs onbeheersbare dossierinstroom”. De nieuwe strategie moet dit doorbreken. De duidelijke boodschap is: “De GBA moet kunnen leiden”.

De kern van de strategie: prioritering in twee assen

Om haar middelen “maximaal” te laten renderen , zal de GBA haar keuzes baseren op twee assen: een hervorming van haar taken en processen, en een scherpe inhoudelijke focus.

As 1: een radicale hervorming van de kerntaken

Dit is waar burgers en organisaties de verandering het sterkst zullen voelen. De GBA zal bepaalde verplichte taken “op een andere manier… realiseren”.

Informatievragen: “zelfredzaamheid” wordt de norm

De GBA stopt met het systematisch op maat beantwoorden van de duizenden individuele informatievragen die ze jaarlijks ontvangt (ruim 3000 in 2024).

  • De motivatie: Het is onmogelijk en het betreft “geen wettelijke verplichting” om elke vraag op maat te beantwoorden.
  • De nieuwe aanpak: De GBA zet maximaal in op ’empowerment’: burgers en DPO’s (Data Protection Officers) moeten zelf in staat zijn de regels toe te passen. Dit gebeurt via heldere informatie op de website (FAQ’s, checklists, filmpjes).
  • Wat gebeurt er met uw vraag? Individuele vragen zullen “voortaan niet langer worden beantwoord”, maar dienen als “signalen” om de algemene informatieverstrekking te verbeteren.
  • Het voordeel: Deze shift moet capaciteit vrijmaken voor de Eerstelijnsdienst om haar rol als bemiddelaar te versterken.

Klachten: bemiddeling eerst, sancties voor zware gevallen

De GBA erkent dat de klachtenbehandeling een “grote uitdaging” vormt die proactief werk bemoeilijkt . Ze beschikt echter over een “beoordelingsmarge” en zal die als volgt inzetten:

  • Nieuwe standaard: Klachten die zich daartoe lenen, zullen “maximaal” worden behandeld via bemiddeling door de Eerstelijnsdienst.
  • Doel: Eenvoudige geschillen “vroegtijdig en pragmatisch op te lossen” met “minimale procedurele belasting”.
  • Methodes: Dit kan gaan van “norm-overdragende brieven” (waarin de regels worden uitgelegd) tot “constructieve dialogen”.
  • Gevolg: Dit versterkt de rol van de Eerstelijnsdienst aanzienlijk.

Handhaving: focus op “strategische dossiers”

De GBA wil evolueren naar een “meer proactief handhavingsbeleid” dat “minder klacht-gedreven” is.

  • Inspectiedienst: Deze zal haar middelen besteden aan “dossiers met een grote maatschappelijke impact (strategische dossiers)”. Niet-prioritaire zaken zullen “laagdrempelig” worden afgehandeld, bijvoorbeeld “ingevolge regularisatie gedurende het onderzoek”.
  • Geschillenkamer: Doordat er minder, maar beter voorbereide dossiers doorstromen, kan de Geschillenkamer zich richten op “nog meer kwaliteitsvolle beslissingen” in die strategische zaken.
  • Belangrijke nuance: Dit betekent niet het einde van sancties. Geldboetes en corrigerende maatregelen blijven een “belangrijke optie”, maar komen naast andere oplossingen te staan.

Adviezen: triage op basis van impact

Wanneer de GBA om advies wordt gevraagd (bv. over nieuwe wetsontwerpen), zal ze een triage doen.

  • Een concreet advies op maat wordt enkel nog verleend “waarin dit een echte meerwaarde biedt en/of wanneer er sprake is van een belangrijke inmenging in de rechten en vrijheden van burgers”.
  • In “andere gevallen” kan de GBA een standaardadvies met algemene richtsnoeren verlenen.
  • Dit moet capaciteit vrijmaken om meer algemene aanbevelingen te doen, bij voorkeur op het niveau van de EDPB.

Datalekken en Gedragscodes

  • Datalekken: De GBA opteert voor een “hogere graad van prioritering” , ondersteund door een nieuw dossierbeheersysteem. Ook hier gaat de focus naar inbreuken “met een grote maatschappelijke impact”.
  • Gedragscodes: De GBA zal “strikt… waken” dat ze enkel significante middelen investeert in ontwerp-gedragscodes die een “reële toegevoegde waarde” bieden en geen “herhaling zijn van de bepalingen van de AVG”.

As 2: inhoudelijke focus op twee hoog-risico thema’s

De capaciteit die wordt vrijgemaakt, zal proactief worden ingezet op twee inhoudelijke prioriteiten. Als uw organisatie in een van deze domeinen actief is, staat u de komende drie jaar hoog op de radar.

Prioriteit 1: grootschalige gegevensverwerkingen met hoog risico

De GBA viseert “zowel in de privé-sector als in de publieke sector” verwerkingen die “mogelijks een hoog risico vormen voor de rechten en vrijheden van de betrokkenen”. Het plan geeft zelf zeer concrete voorbeelden:

  • Gezondheidssector: “de verwerking van gezondheidsgegevens door ziekenhuizen en zorgnetwerken” en “registratiesystemen bij bv… huisartsen”.
  • Financiële sector: “profilering in de bank -en verzekeringssector”.
  • Publieke sector: “databanken bij de fiscus”.
  • Datahandel: “advertentietechnologieën en andere grootschalige verwerkingen door databrokers”.

Prioriteit 2: verwerkingen van persoonsgegevens van minderjarigen

De GBA beschouwt minderjarigen als een “kwetsbare groep”.

  • De realiteit: Hun gegevens worden “continu… verzameld, gedeeld en geanalyseerd -vaak zonder dat ze zich bewust zijn van de implicaties”.
  • Het dubbele doel: De GBA wil hen niet alleen gericht beschermen , maar ook informeren en sensibiliseren zodat ze zelf de juiste reflexen ontwikkelen (empowerment).

Het tweede speerpunt: doorgedreven samenwerking

De GBA erkent dat ze niet alleen opereert in een “complex regelgevend landschap”. De tweede hefboom, naast prioritering, is “samenwerking”.

  1. Europees niveau (EDPB): Dit is de “belangrijkste rol” en van “groot strategisch belang”. De EDPB bepaalt “gezamenlijke Europese richtsnoeren” en behandelt “belangrijke grensoverschrijdende dossiers”. De GBA wil zich hier positioneren als een “actieve en betrouwbare Europese partner”.
  2. Nationaal niveau (andere toezichthouders): Gegevensbescherming is “steeds minder als een ‘aparte discipline’ te onderscheiden”. Dit vereist een “holistische benadering”. Concreet zijn er samenwerkingsprotocollen in voorbereiding met de BMA (inzake de Digital Markets Act), Belac (inzake certificatie) en het BIPT (inzake de AI-Act, DSA en Data-Act).
  3. De wetgever: De GBA wil ook proactief “trends, risico’s en lacunes… in de regelgeving signaleren” aan de wetgevende instanties.

Conclusie: Wat betekent dit voor uw organisatie?

Dit strategisch plan is een belangrijk signaal. De GBA transformeert van een reactieve, door klachten gedreven administratie naar een proactieve, op risico gebaseerde toezichthouder in België.

  1. Uw mening telt (nu): De GBA nodigt u uit om te reageren op dit ontwerpplan. U kunt het ontwerp strategisch plan raadplegen en uw feedback tot en met woensdag 19 november sturen naar strategie@apd-gba.be.
  2. Verantwoordingsplicht wordt cruciaal: Nu de GBA stopt met het systematisch beantwoorden van individuele vragen, wordt de “verantwoordingsplicht” (accountability) van u als organisatie nog belangrijker. U moet zelf aantonen dat u de regels volgt en kunt niet langer rekenen op de GBA als helpdesk.
  3. Risico op controle stijgt in prioritaire sectoren: Het slechte nieuws is dat als uw organisatie actief is in de zorg, financiën, ad-tech, of data van minderjarigen verwerkt , het risico op een proactieve controle de komende jaren significant groter is geworden.
  4. Bemiddeling als kans: Het goede nieuws is dat de sterke focus op bemiddeling voor eenvoudige geschillen een kans biedt. Het laat toe om dossiers “snel en pragmatisch” op te lossen, zonder direct te escaleren naar een zwaar onderzoek en een sanctie.
Heeft u vragen over de impact van dit strategisch plan op uw organisatie? Of wenst u uw huidige gegevensverwerking te laten auditeren in het licht van deze nieuwe prioriteiten? Onze advocaten, gespecialiseerd in gegevensbescherming en de AVG, staan klaar om uw dossier te analyseren. Neem vrijblijvend contact op voor een eerste advies.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics