GBA (Gegevensbeschermingsautoriteit): Audit
Datum: 2026-03-29 Status: ⚠️ Hervormd Categorie: Federale Regulatoren & Toezichthouders
Fase 1: Diepteonderzoek
1A. Wat is het precies?
De Gegevensbeschermingsautoriteit (GBA) in het Frans: Autorité de protection des données (APD): is de Belgische onafhankelijke toezichthouder voor de bescherming van persoonsgegevens. Ze is de opvolger van de voormalige Commissie voor de Bescherming van de Persoonlijke Levenssfeer (Privacycommissie).
Juridische basis: Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, gewijzigd door de Wet van 7 september 2023 en de Wet van 25 december 2023. De GBA is het nationale toezichthoudend orgaan zoals vereist door artikel 51 van de Algemene Verordening Gegevensbescherming (AVG/GDPR, Verordening (EU) 2016/679).
Oprichtingsdatum: 25 mei 2018 (operationeel, datum van inwerkingtreding GDPR). De voorganger, de Privacycommissie, bestond sinds 1992.
Bestuursniveau: Federaal. De GBA valt onder het toezicht van de Kamer van Volksvertegenwoordigers (niet van de uitvoerende macht), om haar onafhankelijkheid te waarborgen.
Budget (2023): €13.274.000 aan werkingskredieten (stijging van 32,8% t.o.v. 2022: €9.993.740).
Personeel (eind 2023): 68 medewerkers (eind 2022: 66). In 2023 werd het personeelskader met 20 FTE uitgebreid na een beslissing van de Kamer. Desondanks signaleert de GBA in haar strategisch plan herhaaldelijk dat haar middelen ontoereikend zijn. Ze had slechts 45,9 dossierbehandelaars voor 21 wettelijke taken.
Structuur. Vijf directies:
- Algemeen Secretariaat HR, budget, ICT, juridische zaken
- Eerstelijnsdienst klachtenontvangst, bemiddeling, informatie aan burgers
- Kenniscentrum adviezen, aanbevelingen (6 externe leden)
- Inspectiedienst onderzoeken en inspecties
- Geschillenkamer quasi-rechterlijke beslissingen en sancties (6 externe leden)
Het Directiecomité bestaat uit de 5 directiehoofden en vergaderde 29 keer in 2023.
1B. Wat doet het in de praktijk?
Kerntaken (conform GDPR art. 57):
- Toezicht op de naleving van de GDPR en de Belgische privacywetgeving
- Behandeling van klachten van burgers
- Uitvoeren van inspecties en onderzoeken
- Uitvaardigen van adviezen aan wetgever en overheid
- Opleggen van sancties (boetes, waarschuwingen, bevelen)
- Melden en opvolgen van datalekken
- Internationale samenwerking binnen het European Data Protection Board (EDPB)
Activiteiten in 2024:
- 3.051 informatieverzoeken + 933 telefoontjes
- 837 klachten ingediend
- 243 bemiddelingsdossiers (77 succesvol, 26 omgezet naar klacht)
- 1.455 meldingen van gegevensinbreuken (datalekken)
- 157 inspectieonderzoeken (stijging van 83% t.o.v. 2023: 86)
- 173 beslissingen door de Geschillenkamer
- 310 adviezen (118 specifiek, 192 standaard)
Belangrijk knelpunt: De GBA heeft geen bevoegdheid om boetes op te leggen aan de publieke sector. Dit is een fundamenteel gat in het toezicht. Precies de overheid die de meeste persoonsgegevens verwerkt (eHealth, KSZ, belastingen, politie) ontspringt de financiële sanctiedans.
Prestatie-indicatoren: De GBA publiceert jaarlijks een jaarverslag en beheersplan. Er bestaan KPI's, maar de doorlooptijd van klachten is lang en er is geen structureel resultaatcontract met benchmarks.
1C. Internationale vergelijking
| Land | Autoriteit | Budget | Personeel | Bevolking | Budget/inwoner |
|---|---|---|---|---|---|
| België | GBA/APD | €13,3 mln (2023) | 68 | 11,6 mln | €1,15 |
| Nederland | Autoriteit Persoonsgegevens (AP) | €25 mln (2023) → €37 mln (2024) | 180 (nodig: 470 vlg. KPMG) | 17,8 mln | €1,40–2,08 |
| Duitsland | BfDI (federaal) + 16 Länder-autoriteiten | ~€40 mln (BfDI alleen) | ~350 (BfDI) + ~750 (Länder) ≈ 1.100 totaal | 84 mln | ~€0,48 (BfDI) maar totaal ~€1,50+ |
| Denemarken | Datatilsynet | €5,8 mln (DKK 43,3 mln, 2020) | 57 | 5,9 mln | €0,98 |
| Ierland | DPC | €23,2 mln (2023) | 220 | 5,1 mln | €4,55 |
| Frankrijk | CNIL | €24,3 mln (2022) | 288 | 67,8 mln | €0,36 |
Analyse:
- België zit qua budget per inwoner in de middenmoot, maar is absoluut onderbemand gezien het volume klachten en de complexiteit van de taken.
- Nederland investeert significant meer per capita en heeft bijna 3x zoveel personeel voor een 1,5x grotere bevolking. En zelfs dat noemt KPMG onvoldoende.
- Duitsland werkt met een federaal gespreide structuur: de BfDI handelt federale overheid en telecom af, elke Länder-autoriteit doet de private sector. Dit voorkomt concentratie en vergroot de capaciteit.
- Ierland heeft het hoogste budget per inwoner, maar dat komt door de aanwezigheid van tech-hoofdkwartieren (Meta, Google, Apple, TikTok).
Wat werkt aantoonbaar beter?
Het Duitse model van gespreide bevoegdheid biedt inspiratie voor België's deelstatenstructuur. Elke Länder-autoriteit handelt privatesectorklachten af op haar grondgebied, de BfDI doet federale overheid en telecom/post. Dit creëert concurrentie en specialisatie.
Het Nederlandse model is relevant voor de schaalgrootte: één autoriteit voor een kleiner land, maar met veel meer middelen en een actievere handhavingshouding.
1D. Knelpunten en kritiek
1. De Frank Robben-crisis (2020-2022) Het zwaarste onafhankelijkheidsprobleem: Frank Robben zetelde als extern lid in het Kenniscentrum van de GBA terwijl hij tegelijk administrateur-generaal was van de Kruispuntbank van de Sociale Zekerheid (KSZ) en het eHealth-platform. Hij beoordeelde dus mee het privacybeleid van systemen die hij zelf ontwierp en beheerde. De Europese Commissie startte in juni 2021 een inbreukprocedure tegen België wegens schending van artikel 52 GDPR (onafhankelijkheid toezichthouder). Na zijn ontslag in februari 2022 stopte de Commissie de procedure.
2. Klokkenluiders en interne chaos Directrice Alexandra Jaspar (Kenniscentrum) nam ontslag en beschuldigde de GBA van het "begraven van dossiers" en partijdigheid. Meerdere medewerkers vertrokken. De organisatie La Quadrature du Net publiceerde een rapport over "systemische disfuncties" bij de GBA.
3. Wettelijke hervorming onder druk De GBA zelf waarschuwde dat het wetsontwerp tot wijziging van de GBA-wet (2022-2023) haar onafhankelijkheid bedreigde: het parlement zou inspraak krijgen in de interne organisatie en prioriteitenstelling, en de herbenoeming van directeurs zou afhangen van een parlementaire evaluatie zonder objectieve criteria.
4. Chronisch tekort aan middelen Met 68 medewerkers voor 21 GDPR-missies en duizenden klachten/meldingen per jaar is de GBA structureel onderbemand. De aanwervingsstop maakte versterking onmogelijk. Pas in 2023 kwamen er 20 extra FTE. Maar de GBA geeft zelf aan dat dit niet volstaat.
5. Geen boetebevoegdheid voor de publieke sector Een uniek Belgisch probleem: de GBA kan de overheid niet beboeten. Precies de grootste gegevensverwerkers. RSZ, FOD Financiën, politie, eHealth. Zijn onvatbaar voor financiële sancties. Dit ondermijnt de geloofwaardigheid van het toezicht fundamenteel.
Fase 2: Toetsing aan de 9 Principes
| # | Principe | Oordeel | Onderbouwing |
|---|---|---|---|
| 1 | Subsidiariteit | ⚠️ | Gegevensbescherming is door de GDPR Europees geregeld met nationale uitvoering. Federaal is het juiste niveau voor grensoverschrijdende zaken, maar voor puur regionale klachten (bv. Vlaamse overheid, Waalse bedrijven) zou deelstatelijke afhandeling efficiënter zijn. Zoals in Duitsland. |
| 2 | Transparantie | ⚠️ | De GBA publiceert jaarverslagen, beslissingen en adviezen. Maar de Frank Robben-crisis toonde aan dat belangenconflicten jarenlang verborgen bleven. De burger wist niet wie werkelijk besliste. |
| 3 | Verantwoordelijkheid = Financiering | ❌ | De GBA wordt gefinancierd via een dotatie van de Kamer. Haar budget is structureel te laag voor haar wettelijke taken. De financier (Kamer) bepaalt indirect de slagkracht maar draagt geen gevolgen van tekorten. Bovendien: geen boetebevoegdheid voor de publieke sector = geen financiële verantwoordingsplicht voor de overheid. |
| 4 | Eenvoud | ⚠️ | De interne structuur met 5 directies is relatief helder. Maar het geheel van privacytoezicht in België is complex: GBA federaal + geen deelstatelijke DPA's + gemeenschapscommissies + sectorale regulatoren die ook data-aspecten raken (BIPT, FSMA). De burger weet niet altijd waar hij terecht kan. |
| 5 | Schaalgrootte | ❌ | 68 medewerkers voor 11,6 miljoen inwoners en duizenden dossiers per jaar is te klein. Ter vergelijking: Nederland heeft 180 FTE voor 17,8 miljoen inwoners en noemt dat zelf onvoldoende (KPMG: 470 nodig). België zou proportioneel minstens 120-150 FTE moeten hebben. |
| 6 | Concurrerende bevoegdheden | ❌ | Er is geen enkele deelstatelijke privacyregulator in België. Alles is gecentraliseerd bij de GBA. Geen concurrentie, geen innovatie, geen specialisatie per regio. Terwijl Vlaanderen, Wallonië en Brussel elk hun eigen digitale overheidsprojecten hebben. Duitsland bewijst dat gespreide bevoegdheid wérkt. |
| 7 | Resultaatgericht | ⚠️ | De GBA publiceert activiteitscijfers (klachten, beslissingen) maar meet niet structureel haar impact op nalevingsgedrag. Geen resultaatcontract, geen benchmarking met andere EU-DPA's. Doorlooptijden van klachten zijn lang. |
| 8 | Digitaal-eerst | ⚠️ | Klachten en meldingen kunnen digitaal ingediend worden. Maar er is geen volwaardig online portaal met dossieropvolging voor burgers. De digitalisering van interne processen loopt achter. De GBA zocht in 2026 nog een ICT Helpdesk-medewerker. |
| 9 | Internationaal bewezen | ❌ | Het Belgische model (één kleine federale autoriteit, geen boetes voor overheid, chronisch onderbemand) wijkt af van wat in Duitsland, Nederland en Ierland aantoonbaar beter werkt: meer middelen, federale spreiding, en volledige sanctiebevoegdheid. |
Synthese: 0 ✅ · 5 ⚠️ · 4 ❌
De GBA faalt op schaalgrootte (veel te klein), concurrerende bevoegdheden (alles gecentraliseerd), verantwoordelijkheid = financiering (geen boetes voor overheid, te weinig budget), en internationaal bewezen (afwijkend van succesvolle modellen). De grootste winst zit in: (1) substantiële opschaling, (2) deelstatelijke spreiding naar Duits model, en (3) volledige boetebevoegdheid inclusief publieke sector.
Fase 3: HART-voorstel
3A. Classificatie
🟠 Hervormd De GBA blijft bestaan als federale autoriteit maar wordt fundamenteel versterkt en aangevuld met deelstatelijke privacytoezichthouders.
3B. Concreet voorstel
Wat verandert er:
Verdrievoudiging personeel: Van ~70 naar minimaal 200 FTE (federaal + deelstatelijk samen). Budget naar minimaal €30 miljoen (vergelijkbaar met Nederland per capita).
Deelstatelijke privacytoezichthouders naar Duits model:
- Elke deelstaat (Vlaanderen, Wallonië, Brussel, Ostbelgien) krijgt een eigen privacytoezichthouder voor klachten over regionale en lokale overheden en de private sector op hun grondgebied.
- De federale GBA houdt toezicht op federale overheidsdiensten, telecom, grensoverschrijdende zaken, en coördineert de internationale samenwerking (EDPB).
Volledige sanctiebevoegdheid: De GBA (en deelstatelijke DPA's) krijgen de bevoegdheid om boetes op te leggen aan de publieke sector. Geen uitzonderingen. Wie persoonsgegevens verwerkt, is onderworpen aan toezicht. Inclusief de overheid.
Resultaatcontract: De GBA rapporteert jaarlijks aan de Kamer met bindende KPI's: doorlooptijd klachten, percentage afgehandelde dossiers, nalevingsindex, benchmarking met andere EU-DPA's.
Onafhankelijkheid verankerd: Geen enkel lid van de GBA of deelstatelijke DPA's mag een andere overheidsfunctie uitoefenen. Benoemingen via het Onafhankelijk Benoemingsorgaan (HART-voorstel) op basis van competentie, niet politieke kleur.
Internationaal referentiemodel: Duitsland (BfDI + Länder-DPA's) voor de structuur, Nederland (AP) voor de ambitie qua middelen en handhaving.
Geschatte impact:
- Besparing: niet van toepassing. Dit is een investering, geen besparing.
- Opbrengst: sterkere handhaving levert hogere boete-inkomsten op (recycled naar budget DPA's), betere GDPR-naleving, en bescherming van burgerrechten.
- Efficiëntiewinst: kortere doorlooptijden door deelstatelijke spreiding, regionale specialisatie.
Implementatiepad:
- Fase 1 (0-2 jaar): Budgetverhoging GBA naar €25 mln, boetebevoegdheid uitbreiden naar publieke sector, aanwervingsstop opheffen.
- Fase 2 (2-4 jaar): Oprichting deelstatelijke DPA's bij de staatshervorming, overdracht van regionale dossiers.
- Fase 3 (4-6 jaar): Volledige operationalisering, resultaatcontracten actief, eerste benchmarking.
Vereiste wetswijzigingen: Wijziging GBA-wet (3 december 2017), nieuwe deelstatelijke decreten, eventueel bijzondere wet bij overdracht bevoegdheden.
Fase 4: Partijpunt (Website-klare tekst)
Deel A: Het partijpunt
GBA (Gegevensbeschermingsautoriteit): Hervormd
België's privacywaakhond heeft 68 medewerkers voor 11,6 miljoen inwoners, mag de overheid niet beboeten, en werd door Europa op de vingers getikt voor belangenverstrengeling. HART maakt er een slagkrachtige toezichthouder van, met deelstatelijke afdelingen naar Duits model en volledige sanctiebevoegdheid.
Deel B: De uitleg
Hoe het nu werkt
De Gegevensbeschermingsautoriteit (GBA) is de Belgische privacywaakhond. Opgericht in 2018 als opvolger van de oude Privacycommissie, ziet ze toe op de naleving van de GDPR. De Europese privacyverordening. De GBA behandelt klachten van burgers, voert inspecties uit, geeft adviezen en kan boetes opleggen. In 2024 ontving ze 837 klachten, 1.455 datalekken en nam de Geschillenkamer 173 beslissingen. Ze werkt met een budget van €13,3 miljoen en 68 medewerkers.
Wat er mis gaat
Drie fundamentele problemen.
Ten eerste: de GBA is structureel onderbemand. Met 68 medewerkers moet ze 21 wettelijke taken uitvoeren voor 11,6 miljoen Belgen. Ter vergelijking: Nederland heeft 180 medewerkers voor 17,8 miljoen inwoners. En zelfs dat is volgens een KPMG-analyse minder dan de helft van wat nodig is. België zou naar verhouding minstens 120 mensen moeten hebben.
Ten tweede: de GBA mag geen boetes opleggen aan de overheid. Precies de instanties die de meeste persoonsgegevens verwerken. De belastingdienst, de sociale zekerheid, de politie, het eHealth-platform. Zijn onvatbaar voor financiële sancties. Dat is alsof je een verkeerspolitie hebt die vrachtwagens niet mag beboeten.
Ten derde: de onafhankelijkheid was jarenlang een fictie. Topambtenaar Frank Robben zetelde in de GBA terwijl hij tegelijk baas was van de Kruispuntbank van de Sociale Zekerheid en het eHealth-platform. Hij beoordeelde dus het privacybeleid van zijn eigen systemen. De Europese Commissie startte een inbreukprocedure tegen België. Pas na zijn ontslag in 2022 werd die stopgezet. De wetswijziging van december 2023 versterkte de onafhankelijkheid, maar het structurele probleem. Te weinig middelen, te weinig tanden. Blijft.
Hoe het elders werkt
Duitsland heeft een federaal gespreide structuur die voor België leerzaam is. De Bundesbeauftragte für den Datenschutz (BfDI) houdt toezicht op de federale overheid en telecom/post, met circa 350 medewerkers. Daarnaast heeft élke deelstaat een eigen privacytoezichthouder die klachten over regionale overheden en de private sector behandelt. Samen zijn dat meer dan 1.100 privacyprofessionals voor 84 miljoen inwoners. Dit systeem creëert specialisatie, snelheid, en concurrentie tussen deelstaten.
Nederland investeert fors meer per capita: €37 miljoen budget in 2024 voor de Autoriteit Persoonsgegevens (180 FTE), bijna drie keer het Belgische budget. En zelfs dat noemt het Nederlandse parlement onvoldoende.
In beide landen heeft de toezichthouder wél volledige sanctiebevoegdheid over de publieke sector.
Wat HART voorstelt
Een drieledige hervorming:
Meer middelen. Het budget van de GBA gaat naar minimaal €25-30 miljoen, het personeelsbestand naar minimaal 200 FTE. Dat brengt België op het niveau van vergelijkbare landen. De aanwervingsstop wordt onmiddellijk opgeheven.
Deelstatelijke afdelingen. Bij de staatshervorming krijgt elke deelstaat een eigen privacytoezichthouder die klachten over regionale overheden en lokale bedrijven behandelt. Naar het bewezen Duitse model. De federale GBA behoudt het toezicht op federale diensten, telecom en grensoverschrijdende zaken, en coördineert de Europese samenwerking.
Volledige sanctiebevoegdheid. De uitsluiting van de publieke sector wordt geschrapt. Elke instelling die persoonsgegevens verwerkt. Privaat of publiek. Is onderworpen aan hetzelfde toezicht en dezelfde sancties. Geen uitzonderingen.
Daarnaast worden benoemingen voortaan uitsluitend op competentie gedaan via het Onafhankelijk Benoemingsorgaan. Geen enkel GBA-lid mag een andere overheidsfunctie uitoefenen. De GBA rapporteert jaarlijks met meetbare KPI's: doorlooptijd van klachten, nalevingsgraad, benchmarking met andere Europese toezichthouders.
Wat het oplevert
Dit is geen besparingsverhaal maar een investering in burgerrechten. Wat het concreet oplevert: snellere klachtenbehandeling door regionale spreiding, een overheid die zelf ook aan de privacyregels moet voldoen (op straffe van boetes), meer vertrouwen van burgers in de digitale overheid, en een België dat in Europa niet langer achterloopt als het gaat om privacybescherming.
Sterkere handhaving genereert bovendien boete-inkomsten die terugvloeien naar het budget van de toezichthouders. Een model dat in Ierland en Nederland al werkt.