De bescherming van onze privacy verdient een eerlijk en sereen debat

De laatste tijd haalt de Gegevensbeschermingsautoriteit (GBA) regelmatig de pers, en lang niet altijd in een positief kader. Dat is spijtig. Onze burgers hebben immers recht op een volwaardige bescherming van hun privacy, zonder daarbij hun andere grondrechten te verliezen, zoals het recht op gezondheid, sociale bescherming of veiligheid. Ze hebben ook recht op correcte informatie.

Al meer dan 30 jaar werk ik zelf mee aan privacybescherming binnen de Belgische overheden vanuit mijn basisvisie: benut de meerwaarde van informatisering en beveilig daarbij zeer degelijk de persoonsgegevens. Zorg voor een goed evenwicht tussen de grondrechten met degelijke structurele, organisatorische en ICT-technische maatregelen. Ik schreef hierover al eerder ‘Gegevensbescherming verdient een eensgezinde en multidisciplinaire-aanpak‘.

Feiten en fictie

In de pers ontstaat nu, door herhaalde aanvallen ‘ad hominem’, de indruk dat ik plots iets anders zou voorstaan dan robuuste en praktijkgerichte privacybescherming, in evenwicht met andere grondrechten. Het predikaat ‘big brother’ staat heel erg ver van mijn visie op e-government. En van de dagelijkse realiteit ! De artikels in kwestie, hoofdzakelijk vanuit het Franstalige landsdeel, koppelen telkens op nieuw een sfeer van verdachtmakingen aan uitgangspunten die factueel fout zijn. Allicht vanuit de hoop dat als men ze genoeg herhaalt, ze voor waar zouden worden aangenomen.

Concreet proberen sommigen de indruk te wekken dat

  • de Kruispuntbank van de Sociale Zekerheid en het eHealth-platform systemen zijn die massaal zouden indruisen tegen het grondrecht op gegevensbescherming;
  • de instelling van het Informatieveiligheidscomité in strijd zou zijn met de Algemene Verordening Gegevensbescherming (AVG);
  • mijn aanstelling als lid van het Kenniscentrum van de Gegevensbeschermingsautoriteit onwettig zou zijn, of zelfs strijdig zou zijn met de AVG, omwille van de onverenigbaarheid met mijn functie van administrateur-generaal van de Kruispuntbank van de Sociale Zekerheid (KSZ) en het eHealth-platform.

Geen van de drie beweringen is waar. De Kruispuntbank van de Sociale Zekerheid, het eHealth-platform en het Informatieveiligheidscomité zijn juist erg belangrijk voor onze privacy, als maatregelen van ‘gegevensbescherming-bij-ontwerp’. Al deze instanties zijn wettelijk in detail geregeld, en uiteraard in overeenstemming met de AVG. Hierover gaf ik al eerder uitleg in “De Kruispuntbank van de Sociale Zekerheid en het eHealth-platform: ‘big brother’ of ‘data protection by design’ ?‘ en in een zeer uitvoerige presentatie tijdens een hoorzitting in de Commissie Justitie van de Kamer van Volksvertegenwoordigers op 27 april 2021.

Nu verzoeken sommigen ook uitdrukkelijk om mij te ontheffen van mijn lidmaatschap van het Kenniscentrum van de GBA. Nochtans gebeurde mijn aanstelling als lid van het Kenniscentrum door de Kamer van Volksvertegenwoordigers, en is ze helemaal niet in strijd met de AVG of met de Belgische wet tot oprichting van de Gegevensbeschermingsautoriteit. Hieronder leg ik verder uit waarom.

Ik heb niet de wens om verschillen in visie in de pers te bespreken. Maar ik heb ook niet de gewoonte om me hierdoor te laten intimideren indien belangrijke maatschappelijke keuzes op het spel staan. Ik speel de bal, niet de persoon. Naar gewoonte ben ik open over mijn visie en mijn activiteiten, en steeds beschikbaar voor een inhoudelijk debat.

Gelekte brieven: vraag om censuur ?

In de gelekte brieven die de voorzitster van het Kenniscentrum en de directrice van de eerstelijnsdienst hebben geschreven aan het Parlement en zelfs aan de Europese Commissie, en waarin om mijn ontheffing als lid van het Kenniscentrum van de GBA wordt gevraagd, wordt uitdrukkelijk als reden verwezen naar mijn inhoudelijke standpunten. Nochtans voorziet artikel 45 § 1 van de hogervermelde wet dat “Een lid van het (…) Kenniscentrum (…) niet van zijn mandaat kan worden ontheven voor meningen die hij uit bij het vervullen van zijn functies“.

Ik neem aan dat een ontheffing al zeker niet aan de orde kan zijn wanneer de standpunten die ik inneem een consequente uitvoering zijn van de visie die ik uitdrukkelijk heb beschreven in de motivering van mijn kandidatuur als lid van het Kenniscentrum van de GBA. Juist op basis van deze motivering heeft de Kamer van Volksvertegenwoordigers me destijds aangesteld. Mijn verantwoordelijkheden waren publiek bekend en zijn sinds mijn aanstelling niet veranderd.

Ik ben graag beschikbaar om op over al deze inhoudelijke aspecten verdere uitleg te verstrekken en verantwoording af te leggen aan het Parlement indien het dit wenst.

In detail: mijn lidmaatschap van het Kenniscentrum van de GBA is niet strijdig met de AVG

Artikel 52 van de AVG bepaalt dat elke toezichthoudende autoriteit (in België de GBA) de haar opgedragen taken en bevoegdheden in volledige onafhankelijkheid vervult en de leden van elke toezichthoudende autoriteit vrij blijven van al dan niet rechtstreekse externe invloed.  Artikel 52 luidt letterlijk als volgt:

  1. Elke toezichthoudende autoriteit treedt volledig onafhankelijk op bij de uitvoering van de taken en de uitoefening van de bevoegdheden die haar overeenkomstig deze verordening zijn toegewezen.
  2. Bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig deze verordening blijven de leden van elke toezichthoudende autoriteit vrij van al dan niet rechtstreekse externe invloed en vragen noch aanvaarden zij instructies van wie dan ook.
  3. De leden van toezichthoudende autoriteiten verrichten geen handelingen die onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden die onverenigbaar zijn met hun taken.
  4. Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit beschikt over de personele, technische en financiële middelen, en de bedrijfsruimten en infrastructuur die nodig zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en deelname aan het Comité.
  5. Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit eigen en zelfgekozen personeelsleden heeft, die onder de exclusieve leiding van het lid of de leden van de betrokken toezichthoudende autoriteit staan.
  6. Elke lidstaat zorgt ervoor dat op elke toezichthoudende autoriteit financieel toezicht wordt uitgeoefend zonder dat daarbij de onafhankelijkheid van de toezichthoudende autoriteit in het gedrang komt en dat het een afzonderlijke, publieke jaarbegroting heeft, die een onderdeel kan zijn van de algehele staats- of nationale begroting.

Dit artikel is volledig in lijn met drie arresten van het Europese Hof van Justitie (C-518/07, C-614/10 en C-288/12) over het begrip ‘onafhankelijkheid van de toezichthoudende autoriteit inzake gegevensbescherming’ onder de vroegere richtlijn. Het gaat over een arrest uit 2010 tegen Duitsland, een arrest uit 2012 tegen Oostenrijk en een arrest van 2014 tegen Hongarije.

In deze arresten zijn de betrokken landen veroordeeld omdat de toezichthoudende autoriteit niet voldoende onafhankelijk was. In het Duitse geval omdat ze aan administratief en financieel toezicht van de uitvoerende macht was onderworpen. In het Oostenrijkse geval omdat ze ondergebracht was bij de Kanselarij van de Eerste Minister, moest worden geleid door een ambtenaar van die Kanselarij en de Bondskanselier een onvoorwaardelijk recht had op informatie over alle aspecten van het beheer ervan. En in het Hongaarse geval omdat het mandaat van de voorzitter van de toezichthoudende autoriteit voortijdig kon worden beëindigd door de politieke macht.

In deze gevallen werd door het Europese Hof van Justitie geoordeeld dat daardoor de onafhankelijke werking van de toezichthoudende autoriteit inzake gegevensbescherming in het gedrang werd gebracht, aangezien er sprake is van – rechtstreekse of onrechtstreekse – beïnvloeding van buitenaf, in welke vorm ook, die de beslissingen zou kunnen sturen. Het Hof heeft aangegeven dat het loutere gevaar dat de instanties die belast zijn met het overheidstoezicht een politieke invloed kunnen uitoefenen op de beslissingen van de toezichthoudende autoriteit, volstaat om de onafhankelijke vervulling van de taken van deze autoriteit te hinderen.

De Belgische Gegevensbeschermingsautoriteit situeert zich bij het Parlement. Het is noch als orgaan, noch via zijn leden onderworpen aan enig administratief en financieel toezicht van de uitvoerende macht. Er is dus geen gevaar van politieke beïnvloeding door instanties die met dit toezicht belast zijn.

Wat specifiek de onafhankelijkheid van de leden van de toezichthoudende autoriteit betreft, voegt considerans 121 van de AVG het volgende toe: “teneinde de onafhankelijkheid van de toezichthoudende autoriteit te waarborgen, dienen de leden van de toezichthoudende autoriteit integer te handelen, zich te onthouden van alle handelingen die onverenigbaar zijn met hun taken en gedurende hun ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden te verrichten die onverenigbaar zijn met hun taken“.

Ik handel als lid van het Kenniscentrum van de GBA strikt volgens deze principes. Noch de AVG, noch de Europese rechtspraak sluiten uit dat ambtenaren of mandatarissen van een openbare functie deel kunnen uitmaken van het Kenniscentrum van de GBA – wat overigens slechts een tijdsinvestering vraagt van enkele uren per maand.

Volledigheidshalve kijken we, ter vergelijking, nog naar de huidige samenstelling van de toezichthoudende autoriteiten in een aantal ons omringende landen:

Stel vast dat quasi overal (ex-)politieke mandatarissen en/of ambtenaren zijn aangesteld. Uiteraard is het risico op afhankelijkheid groter bij (ex-)politieke mandatarissen dan bij ambtenaren. Bij mijn weten loopt tegen geen enkele van deze organen een zaak bij het Europese Hof van Justitie.

In detail: mijn lidmaatschap van het Kenniscentrum van de GBA is niet strijdig met de wet tot oprichting van de Gegevensbeschermingsautoriteit

De voorwaarden voor aanstelling tot lid van het Kenniscentrum staan vermeld in artikel 38 van de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit. Dat artikel bepaalt:

 Art. 38. – Op het ogenblik van hun benoeming en tijdens hun mandaat moeten de leden van het directiecomité, leden van het kenniscentrum en leden van de geschillenkamer aan de volgende voorwaarden voldoen :
  1° burger zijn van een lidstaat van de Europese Unie;
  2° de burgerlijke en politieke rechten genieten;
  3° geen lid zijn van het Europees Parlement of van de Wetgevende Kamers, noch van een Gemeenschaps- of Gewestparlement;
  4° geen lid zijn van een federale regering, van een Gemeenschaps- of Gewestregering;
  5° geen functie uitoefenen in een beleidscel van de minister;
  6° geen mandataris van een openbare functie zijn.

Ik voldoe zonder enige twijfel aan alle voorwaarden 1° tot en met 5°. Door de 2 directieleden van de GBA wordt voorgehouden dat ik door het bekleden van de functie van administrateur-generaal van de Kruispuntbank van de Sociale Zekerheid (KSZ) en van het eHealth-platform een mandataris zou zijn van een openbare functie zou zijn in de zin van 6°.

De ratio legis van artikel 38, 5° en 6° is krachtens de commentaar bij de artikelen van de voormelde wet de volgende

“De wetgever acht de loyaliteit die wordt verwacht van een lid van een beleidscel of van een openbaar mandataris immers onverenigbaar met artikel 52 § 2 van de AVG waarin is gesteld dat de leden van de gegevensbeschermingsautoriteit “vrij [blijven] van al dan niet rechtstreekse externe invloed en […] instructies van wie dan ook [vragen noch aanvaarden]”.

Bij de parlementaire bespreking is de vraag gesteld naar de draagwijdte van het begrip ‘mandataris van een openbare functie’. Daarop is door de bevoegde staatssecretaris geantwoord dat het aan het Parlement toekomt om te oordelen over de invulling van dit begrip, in lijn met de Europese rechtspraak (zie het Verslag namens de Commissie voor de Justitie). Het Europese Hof van Justitie heeft zich naar mijn weten evenwel nooit uitgesproken over de notie ‘mandataris van een openbare functie’ in dit kader. Ik ga ervan uit dat de staatssecretaris heeft willen verwijzen naar de hoger vermelde arresten van het Europese Hof van Justitie inzake de onafhankelijkheid van de toezichthoudende autoriteit – waarmee er, zoals aangegeven, geen probleem is.

Bij mijn kandidaatstelling als lid van Kenniscentrum heb ik een gedetailleerd curriculum vitae bezorgd, met uitdrukkelijke vermelding van mijn functie als administrateur-generaal van de KSZ en het eHealth-platform, en uitvoerig toegelicht wat mijn visie is op de bescherming van de persoonlijke levenssfeer. Ik heb aangegeven dat deze of andere functies me op geen enkele wijze onderwierpen aan externe invloed of instructies. De KSZ en het eHealth-platform worden overigens beheerd door een Beheerscomité met vertegenwoordigers van de stakeholders, net zoals dat in een onderneming het geval is. Ik was ook voordien reeds geruime tijd lid van de Commissie voor de Bescherming van de Persoonlijke Levenssfeer terwijl ik administrateur-generaal was van de KSZ en het eHealth-platform, en heb nooit enige externe invloed ervaren of enige instructie gekregen.

Voor concrete dossiers waarin ik me zou kunnen bevinden in een situatie van een belangenconflict, neem ik uit eigen beweging geen deel aan de beraadslaging overeenkomstig artikel 58 van het Reglement van interne orde van de Gegevensbeschermingsautoriteit.

Door mijn aanstelling tot lid van het Kenniscentrum heeft het Parlement geoordeeld dat de functie van administrateur-generaal van de KSZ en het eHealth-platform me niet tot een ‘mandataris van een openbare functie’ in de zin van artikel 38, 6° van de hogervermelde wet maakt. Dit is een keuze geweest met kennis van zaken, nadat ook een nota terzake was opgesteld door de juridische dienst van de Kamer van Volksvertegenwoordigers. Het Parlement heeft aan het begrip ‘mandataris van een openbare functie’ aldus allicht een inhoud willen voorbehouden van een politiek verkozen mandataris, die onderhevig kan zijn aan politieke invloed of instructies.