De Gegevensbeschermingsautoriteit (GBA) heeft haar nieuwe strategisch plan gepubliceerd voor de periode 2026–2028. Normaal werkt de GBA met zesjarenplannen, maar deze keer kiest ze voor een compacter plan met een kortere looptijd. Waarom? Omdat het digitale speelveld sneller verandert dan ooit.
In deze blog vatten we de belangrijkste punten samen en vooral: wat dit betekent voor jouw organisatie of rol als betrokkene.
Meer proactieve handhaving
De GBA wil minder afhankelijk zijn van klachten en inbreukmeldingen. In 2024 waren dit er respectievelijk 837 en 1455. Die reactieve aanpak moet plaatsmaken voor gerichtere, proactieve inspecties op basis van maatschappelijke relevantie.
Voor organisaties betekent dit: wie actief is in de sectoren waarop de GBA focust, loopt meer kans op een spontane controle. Zichtbare compliance om klachten te vermijden zal niet langer volstaan.
Snellere afhandeling van geschillen
Vandaag duren ook kleine geschillen vaak meer dan zes maanden. De GBA wil die vertragingen aanpakken en middelen vrijmaken voor grotere dossiers.
Hoe?
- Mediation als eerste stap bij kleinere zaken (denk aan cameradisputen of toegangsverzoeken). Kom je niet constructief aan tafel? Dan volgt een versnelde handhavingsprocedure.
- Geen full-blown onderzoeken meer bij duidelijke GDPR-inbreuken. De Inspectiedienst zal sneller aansturen op directe remediëring.
Kortom: snellere afhandeling, meer capaciteit voor grote impactdossiers.
Geen individuele antwoorden meer op infoverzoeken
In 2024 ontving de GBA meer dan 3000 individuele vragen, vaak met wachttijden tot een jaar. Dat systeem is niet houdbaar.
De GBA kondigt dan ook aan:
- Geen systematische opvolging van individuele vragen meer.
- Herhaling van vragen? Die bundelt men in publieke FAQ’s, checklists en richtlijnen.
- Verwijzing naar de eigen site of EDPB-documenten wordt de norm.
Organisaties worden dus geacht zélf het juiste antwoord te vinden of juridisch te laten onderbouwen. Dit verhoogt de nood aan interne expertise of ondersteuning door een DPO of externe specialist.
Waar ligt de focus?
De GBA wil voortrekker zijn op twee vlakken:
Grootschalige verwerkingen
Zowel in de publieke als private sector. Denk aan:
- Gezondheidsdata in ziekenhuizen
- Profilering in banken en verzekeringen
- Registraties bij horecazaken of huisartsen
- AdTech en databrokers
Kindgegevens
Kinderen worden benoemd als kwetsbare doelgroep. De GBA kijkt hierbij naar:
- Sociale media voor minderjarigen
- Profilering en personalisatie
- Dark patterns bij toestemming
- “Sharenting” door ouders
- Dataflows van kinderapps
Als jouw organisatie hier actief is, reken dan op meer controle én bijkomende richtlijnen.
Aandachtspunten
- AI Act & GDPR: De GBA verwacht geen markttoezichthouder te worden voor de AI Act, maar wél tussen te komen waar persoonsgegevens betrokken zijn.
- Aanwervingsstop tot 2029: Met slechts 90 FTE’s wordt de GBA gedwongen tot efficiënter werken. Vandaar: kortere procedures, meer focus, minder versnippering.
- Wetgevingsadvies: Minder individuele feedback op ontwerpteksten, tenzij de impact groot is.
Wat betekent dit concreet voor jou?
De GBA streeft naar operationele excellentie met duidelijke prioriteiten. Verwacht wordt:
- Meer richtlijnen (zeker rond kindgegevens en grootschalige verwerking)
- Minder boetes, meer verplichte remediëring via mediation
- Minder directe interactie met de GBA = meer zelfredzaamheid
- Complexere handhaving van de digitale wetgeving, vooral bij AI en persoonsgegevens
Hoe bereid je je hierop voor?
- Versterk je data governance. Mediation zal sneller verlopen dan een volwaardig dossier, dus je moet snel kunnen schakelen.
- Zorg voor kennis in eigen huis. Vragen stellen zal steeds minder opleveren.
- Investeer in échte compliance. Oppervlakkig in orde zijn om klachten te vermijden? Dat is niet meer voldoende.
Werk je met kindgegevens of op grote schaal met persoonsgegevens (zoals AdTech, databrokers, ziekenhuizen, verzekeringen)? Dan zit je in de frontlinie. Bereid je daarop voor.
Laat je niet verrassen door een proactieve GBA. Zorg dat je huis op orde is, voordat ze komen aanbellen.
