Het strategisch plan van de GBA 2026-2028: naar proactieve handhaving

Wat staat er in het Strategisch Plan 2026–2028?

De GBA kiest voor een duidelijke strategische koers, met twee centrale principes als rode draad: prioritering en samenwerking. De doelstellingen zijn ambitieus, zeker in het licht van de gekende personeels- en budgettaire beperkingen waarmee de toezichthouder kampt. Tegelijk zijn het ook logische keuzes, gezien de structurele onderfinanciering en het toenemende aantal complexe dossiers.

De concrete accenten liggen op:

• Het versterken van de interne werking via duidelijke taakverdeling en prioritering;
• Een verschuiving naar een meer proactieve handhaving, minder klachtgedreven en meer strategisch gestuurd;
• Een duidelijke focus op grootschalige gegevensverwerkingen met hoog risico, zowel in de publieke als de private sector;
• Specifieke aandacht voor verwerkingen van gegevens van minderjarigen, in het verlengde van het Europees beleid rond kinderrechten online;
• Meer en structurele samenwerking met andere Belgische toezichthouders (zoals BIPT, BMA, BELAC…) én intensievere participatie op Europees niveau (EDPB, GPA, GPEN…);
• Een herstructurering van de klachtenafhandeling, met meer ruimte voor bemiddeling in eenvoudige dossiers en een efficiëntere doorstroming binnen de organisatie;
• Inzet op betere communicatie en transparantie via standaardadviezen, centrale informatiekanalen en thematische guidance.

Daarnaast bereidt de GBA zich voor op een reeks nieuwe bevoegdheden onder Europese regelgeving zoals de AI Act, Data Governance Act, Digital Services Act, Digital Markets Act, NIS2, EHDS, en meer. Dat zal de rol van de GBA aanzienlijk verruimen, o.a. als markttoezichthouder voor AI-toepassingen met hoog risico, en vraagt om bijkomende expertise en samenwerking met andere regulatoren.

Het plan is duidelijk geïnspireerd op de strategische prioriteiten van de European Data Protection Board (EDPB) en ligt inhoudelijk in lijn met de plannen van zusterautoriteiten zoals de CNIL in Frankrijk en de Autoriteit Persoonsgegevens (AP) in Nederland. Die zetten eveneens in op AI, bescherming van minderjarigen,, datasoevereiniteit, sectorgerichte controles en betere verankering van gegevensbescherming in maatschappelijke domeinen zoals onderwijs, zorg en mobiliteit.

Wat betekent dit concreet voor bedrijven?

Voor organisaties, en dan zeker voor marketeers, IT-verantwoordelijken en privacyprofessionals, zijn er een aantal directe gevolgen.

1. Grootschalige gegevensverwerkingen met hoog risico worden topprioriteit. De GBA gaat zich actiever richten op profiling, marketing, tracking, advertentietechnologie, datadeling met derde partijen, enzovoort. Als jouw bedrijf actief is in e-commerce, media, zorg, financiën of technologie, zit je allicht al in het vizier.
2. Verwerking van gegevens van minderjarigen komt centraal te staan. Wie zich richt op jongeren (educatieve tools, games, apps, marketingcampagnes, online platformen…) zal werk moeten maken van age assurance, parentale toestemming en aangepaste privacy policies.
3. Datalekken worden strikter geëvalueerd. De GBA wil haar capaciteit richten op inbreuken met grotere impact. Meld je een datalek waarbij fundamentele beveiligingsprincipes werden genegeerd, dan is de kans op controle voortaan reëel.
4. Controle wordt minder klachtgedreven. De GBA wil haar beleid niet langer laten afhangen van individuele klachten, maar meer thematisch en risicogedreven handhaven. Dat betekent dat je ook zonder klacht onderwerp kan zijn van controle.
5. Samenwerking met andere toezichthouders wordt de norm. Verwacht in de toekomst dat toezicht op data niet langer exclusief door de GBA gebeurt, maar in samenspel met andere regulatoren zoals BIPT (telecom), BMA (concurrentie), BELAC (certificatie) en mogelijk zelfs sectorale inspectiediensten.

De Belgische realiteit: nog te vaak een lege doos

Toch blijft er een fundamentele kloof tussen die strategische ambities en de realiteit op het terrein. Bij Sirius Legal begeleiden we dagelijks bedrijven en organisaties bij hun GDPR-compliance. En wat we zien, is weinig geruststellend.

De redenen zijn gekend: gebrek aan kennis, tijdsdruk, verkeerde prioriteiten, complexiteit of gewoon gemakzucht. Maar het grootste probleem is het gevoel van straffeloosheid. Er is zelden controle, laat staan een boete. En dus leeft bij veel bedrijven het idee dat het allemaal wel zal loslopen.

Dat ondermijnt de regels én schaadt wie wél investeert in compliance. Want vandaag is het vaak een concurrentieel nadeel om correct te werken. Bedrijven die investeren in veilige systemen, duidelijke policies en verantwoord datagebruik worden in de praktijk niet beloond, maar ingehaald door concurrenten die het zich “gemakkelijk maken”.

Wat moet er gebeuren met dit plan?

Wil de GBA haar strategisch plan geloofwaardig maken, dan is er nood aan meer actieve ondersteuning van bedrijven, duidelijke en toegankelijke richtlijnen, maar vooral: meer toezicht, meer gerichte controles en ook effectief sanctioneren waar nodig. Niet per se met hogere boetes, maar wél met meer zichtbaarheid en consequenties.

Tegelijk is er een enorme nood aan bruikbare tools voor kmo’s: modeldocumenten, sectorfiches, praktische checklists, opleidingen voor medewerkers. Niet iedereen heeft een DPO in huis. Als we bedrijven willen meekrijgen, moeten we ze ook écht ondersteunen.

Wat betekent dit voor jouw organisatie?

Als onderneming is het nú het moment om gegevensbescherming ernstig te nemen. Niet alleen omdat de regels het vereisen, maar omdat je klanten, partners en medewerkers dat verwachten. GDPR-compliance is vandaag geen juridische luxe, maar een essentieel onderdeel van je bredere risicobeheer en reputatiemanagement.

Een concreet begin? Zorg voor een actueel verwerkingsregister, werk aan toegangsbeheer en wachtwoordbeleid, voer een DPIA uit voor risicovolle verwerkingen, en weet wie je verwerkers zijn en op welke basis je met hen samenwerkt. Klinkt als veel werk? Dat klopt. Maar het is ook gewoon de norm.