EUROPESE COMMISSIE

Brussel, 24.6.2020

SWD(2020) 115 final

WERKDOCUMENT VAN DE DIENSTEN VAN DE COMMISSIE

[…]

bij

MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD

Gegevensbescherming als pijler van zeggenschap van de burger en de EU-aanpak van de digitale transformatie – twee jaar toepassing van de algemene verordening gegevensbescherming

{COM(2020) 264 final}

Inhoud

1    Achtergrond    

2    Handhaving van de AVG en werking van de mechanismen voor samenwerking en coherentie    

2.1    Gebruik van versterkte bevoegdheden door gegevensbeschermingsautoriteiten    

Specifieke onderwerpen voor de publieke sector    

Samenwerking met andere toezichthouders    

2.2    De mechanismen voor samenwerking en coherentie    

Eén loket    

Wederzijdse bijstand    

Coherentiemechanisme    

Uitdagingen    

2.3    Advies en richtsnoeren    

Voorlichting en advies door gegevensbeschermingsautoriteiten    

Richtsnoeren van het Europees Comité voor gegevensbescherming    

2.4    Middelen van de gegevensbeschermingsautoriteiten    

3    Geharmoniseerde regels, maar nog steeds enige fragmentatie en uiteenlopende benaderingen    

3.1    Tenuitvoerlegging van de AVG door de lidstaten    

Belangrijkste punten met betrekking tot nationale tenuitvoerlegging    

In overeenstemming brengen van het recht op bescherming van persoonsgegevens met het recht op vrijheid van meningsuiting en van informatie    

3.2    Facultatieve specificatieclausules en hun beperkingen    

Fragmentatie als gevolg van het gebruik van facultatieve specificatieclausules    

4    Burgers in staat stellen controle uit te oefenen over hun eigen gegevens    

5    Kansen en uitdagingen voor organisaties, met name kleine en middelgrote ondernemingen    

Toolbox voor ondernemingen    

6    Toepassing van de AVG op nieuwe technologieën    

7    Internationale doorgiften en mondiale samenwerking    

7.1    Privacy: een mondiale aangelegenheid    

7.2    De AVG-doorgiftetoolbox    

Adequaatheidsbesluiten    

Passende waarborgen    

Afwijkingen    50

Beslissingen van buitenlandse gerechten of autoriteiten: geen grond voor doorgiften    51

7.3    Internationale samenwerking op het gebied van gegevensbescherming    53

De bilaterale dimensie    53

De multilaterale dimensie    55

Bijlage I: Clausules voor facultatieve specificaties door nationale wetgeving

Bijlage II. Overzicht van de middelen van de gegevensbeschermingsautoriteiten

1Achtergrond

De algemene verordening gegevensbescherming 1 (hierna: “de AVG”) is het resultaat van acht jaar voorbereiding, ontwerpen maken en interinstitutionele onderhandelingen, en is na een overgangsperiode van twee jaar (mei 2016 – mei 2018) op 25 mei 2018 van toepassing geworden. Artikel 97 van de AVG verplicht de Commissie over de evaluatie en de toetsing van deze verordening verslag uit te brengen, te beginnen met een eerste verslag twee jaar nadat de verordening van toepassing is geworden en vervolgens iedere vier jaar.

De evaluatie maakt tevens deel uit van de veelzijdige benadering waarvoor de Commissie reeds voor het van toepassing worden van de AVG had gekozen en waaraan zij sindsdien voortvarend is blijven werken. Onderdeel van deze benadering is dat de Commissie met de lidstaten voortdurend bilaterale dialogen heeft gevoerd over de conformiteit van de nationale wetgeving met de AVG, actief bijdragen heeft geleverd aan de werkzaamheden van het Europees Comité voor gegevensbescherming (hierna: “het Comité”) door ervaringen over te dragen en expertise te verstrekken, gegevensbeschermingsautoriteiten heeft ondersteund en nauwe contacten heeft onderhouden met een zeer uiteenlopende groep belanghebbenden over de praktische toepassing van de verordening.

De evaluatie bouwt voort op de inventarisatie van de Commissie met betrekking tot het eerste jaar dat de AVG van toepassing was, die is samengevat in de mededeling van de Commissie van juli 2019 2 . De evaluatie is tevens een vervolg op de mededeling van de Commissie van januari 2018 3 met betrekking tot de toepassing van de AVG. De Commissie heeft tevens de richtsnoeren van september 2018 voor het gebruik van persoonsgegevens in het kader van verkiezingen vastgesteld, evenals de richtsnoeren van april 2020 voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie.

Hoewel de nadruk van deze evaluatie op de twee kwesties ligt waarop in artikel 97, lid 2, van de AVG wordt gewezen, namelijk internationale doorgiften en de mechanismen voor samenwerking en coherentie, wordt bij deze evaluatie een bredere benadering gevolgd om ook kwesties te behandelen die de afgelopen twee jaar door verschillende actoren aan de orde zijn gesteld.

Bij de voorbereiding van de evaluatie heeft de Commissie rekening gehouden met bijdragen van:

·de Raad 4 ;

·het Europees Parlement (Commissie burgerlijke vrijheden, justitie en binnenlandse zaken) 5 ;

·het Comité 6 en afzonderlijke gegevensbeschermingsautoriteiten 7 , op basis van een door de Commissie toegezonden vragenlijst;

·de feedback van de leden van de deskundigengroep met meerdere belanghebbenden ter ondersteuning van de toepassing van de AVG 8 , eveneens op basis van een door de Commissie toegezonden vragenlijst;

·en ad-hocbijdragen die werden ontvangen van belanghebbenden.

2Handhaving van de AVG en werking van de mechanismen voor samenwerking en coherentie

De AVG voorziet in een innovatief governancesysteem en heeft de basis gelegd voor een werkelijk Europese cultuur van gegevensbescherming, die niet alleen moet zorgen voor een geharmoniseerde interpretatie van de regels voor gegevensbescherming, maar ook voor een geharmoniseerde toepassing en handhaving ervan. De pijlers hiervan zijn de onafhankelijke nationale gegevensbeschermingsautoriteiten en het recent ingestelde Comité.

Aangezien de gegevensbeschermingsautoriteiten essentieel zijn voor het functioneren van het hele EU-systeem voor gegevensbescherming, monitort de Commissie hun daadwerkelijke onafhankelijkheid nauwlettend, ook wat betreft passende financiële, personele en technische middelen.

Het is nog te vroeg om de werking van de mechanismen voor samenwerkingen coherentie volledig te beoordelen, gezien de korte ervaring met de toepassing ervan 9 . Daarnaast hebben de gegevensbeschermingsautoriteiten nog niet het volledige scala aan instrumenten benut waarin de AVG voorziet om hun samenwerking verder te versterken.

2.1Gebruik van versterkte bevoegdheden door gegevensbeschermingsautoriteiten

De AVG heeft onafhankelijke gegevensbeschermingsautoriteiten vastgesteld en hun geharmoniseerde en doeltreffender handhavingsbevoegdheden toegekend. Sinds de AVG van toepassing is geworden, hebben deze autoriteiten gebruikgemaakt van een breed scala aan in de AVG voorziene bevoegdheden tot het nemen van corrigerende maatregelen, waaronder administratieve geldboeten (22 EU/EER-autoriteiten) 10 , waarschuwingen en berispingen (23), instructies om verzoeken van betrokkenen in te willigen (26), instructies om verwerkingen in overeenstemming met de AVG te brengen (27) en instructies om verwerking te rectificeren, wissen of beperken (17). Ongeveer de helft van de gegevensbeschermingsautoriteiten (13) heeft tijdelijke of definitieve verwerkingsbeperkingen opgelegd, waaronder verwerkingsverboden. Dit wijst op bewust gebruik van alle corrigerende maatregelen waarin de AVG voorziet; de gegevensbeschermingsautoriteiten deinsden er niet voor terug om administratieve geldboeten op te leggen in aanvulling op of in de plaats van corrigerende maatregelen, al naargelang de omstandigheden van elk individueel geval.

Het succes van de AVG dient niet te worden afgemeten aan de hand van het aantal opgelegde geldboeten, aangezien de AVG voorziet in een uitgebreider palet corrigerende bevoegdheden. Al naargelang de omstandigheden kan het afschrikkend effect van bijvoorbeeld een verwerkingsverbod of de opschorting van gegevensstromen veel groter zijn.

Specifieke onderwerpen voor de publieke sector

De AVG laat elke lidstaat vrij om te bepalen of en in hoeverre administratieve geldboeten worden opgelegd aan overheidsinstanties en overheidsorganen. Wanneer lidstaten van deze mogelijkheid gebruikmaken, doet dit geen afbreuk aan het recht van gegevensbeschermingsautoriteiten om gebruik te maken van alle andere corrigerende bevoegdheden ten aanzien van overheidsinstanties en overheidsorganen 12 .

Een ander specifiek onderwerp is het toezicht op gerechten: hoewel de AVG ook van toepassing is op de activiteiten van gerechten, zijn deze bij de uitoefening van hun gerechtelijke taken vrijgesteld van toezicht door gegevensbeschermingsautoriteiten. Krachtens het Handvest en het VWEU zijn lidstaten echter verplicht om het toezicht op die gegevensverwerkingen toe te vertrouwen aan een onafhankelijke instantie binnen de rechterlijke organisatie 13 .

Samenwerking met andere toezichthouders

Zoals bekendgemaakt in haar mededeling van juli 2019 ondersteunt de Commissie interactie met andere toezichthouders, met volledige inachtneming van hun respectieve bevoegdheden. Consumentenbescherming en mededinging zijn veelbelovende terreinen van samenwerking. Het Comité heeft zich bereid verklaard in overleg te treden met andere toezichthouders, met name met betrekking tot concentratie op digitale markten 14 . De Commissie heeft het belang van privacy en gegevensbescherming onderkend als kwalitatief criterium voor mededinging 15 . Leden van het Comité hebben met het Netwerk voor samenwerking met betrekking tot consumentenbescherming deelgenomen aan gezamenlijke workshops over samenwerking op het gebied van betere handhaving van de EU-wetgeving betreffende consumenten- en gegevensbescherming. Deze benadering zal worden gehanteerd om wederzijds begrip te kweken en praktische oplossingen te ontwikkelen voor problemen die consumenten ervaren, met name in de digitale economie.

Om een consistente aanpak van privacy en gegevensbescherming te waarborgen, en in afwachting van de vaststelling van de e-privacyverordening, is nauwe samenwerking met de autoriteiten die bevoegd zijn voor de handhaving van de e-privacyrichtlijn 16 , de lex specialis op het gebied van elektronische communicatie, absoluut noodzakelijk. Nauwere samenwerking met de autoriteiten die bevoegd zijn krachtens de richtlijn cyberbeveiliging 17 en met de samenwerkingsgroep voor netwerk- en informatiebeveiliging (NIS-samenwerkingsgroep) zou wederzijds voordeel opleveren voor zowel die autoriteiten als de gegevensbeschermingsautoriteiten.

2.2De mechanismen voor samenwerking en coherentie

De AVG heeft het samenwerkingsmechanisme (één loket voor marktdeelnemers, gezamenlijke operaties en wederzijdse bijstand tussen gegevensbeschermingsautoriteiten) en het coherentiemechanisme gecreëerd met het oog op de bevordering van een uniforme toepassing van de regels voor gegevensbescherming door middel van een coherente interpretatie en de beslechting van eventuele meningsverschillen tussen autoriteiten door het Comité.

Het Comité, waarin alle gegevensbeschermingsautoriteiten bijeenkomen, is ingesteld als een EU-orgaan met rechtspersoonlijkheid, is volledig operationeel en wordt ondersteund door een secretariaat 18 . Het Comité is van essentieel belang voor het goed functioneren van de twee hierboven genoemde mechanismen. Eind 2019 had het Comité 67 documenten vastgesteld, waaronder 10 nieuwe richtsnoeren 19 en 43 adviezen 20 21 .

De belangrijke rol van het Comité kwam voort uit de behoefte om snel tot een coherente interpretatie van de AVG te komen en onmiddellijk toepasbare oplossingen op EU-niveau te vinden. In het kader van de COVID-19-uitbraak bijvoorbeeld heeft het Comité in maart 2020 een verklaring aangenomen over de verwerking van persoonsgegevens, die onder meer handelt over de rechtmatigheid van verwerking en het gebruik van locatiegegevens van mobiele telefoons in die context 22 , en in april 2020 heeft het richtsnoeren vastgesteld inzake de verwerking van gezondheidsgegevens voor wetenschappelijk onderzoek in het kader van de COVID-19-uitbraak  23 en richtsnoeren voor het gebruik van locatiegegevens en instrumenten voor contacttracering in het kader van de uitbraak van COVID-19 24 . Het Comité heeft eveneens een aanzienlijke bijdrage geleverd aan de ontwikkeling van de EU-aanpak ten aanzien van traceringsapps door de Commissie en de lidstaten.

De dagelijkse samenwerking tussen de gegevensbeschermingsautoriteiten is gebaseerd op de uitwisseling van informatie en kennisgevingen van zaken die door de autoriteiten zijn geopend, of deze nu handelen in hun capaciteit als autoriteit of als lid van het Comité. Om de communicatie tussen autoriteiten te vergemakkelijken, verleende de Commissie hun aanzienlijke steun door een informatie-uitwisselingssysteem beschikbaar te stellen 25 . De meeste autoriteiten zijn van mening dat het systeem aan de behoeften van de mechanismen voor samenwerking en coherentie voldoet, ook al zou het verfijnd kunnen worden, bijvoorbeeld door het gebruikersvriendelijker te maken.

Het gaat nog maar om de beginfase, maar een aantal resultaten en problemen kunnen nu al worden gesignaleerd en worden hieronder weergegeven. Ze laten zien dat de gegevensbeschermingsautoriteiten tot dusver doelmatig gebruik van de instrumenten voor samenwerking hebben gemaakt, waarbij de voorkeur uitgaat naar flexibelere oplossingen.

Eén loket

Als algemene regel geldt dat de gegevensbeschermingsautoriteit van een lidstaat bij een grensoverschrijdende zaak betrokken kan zijn (i) als leidende autoriteit, wanneer de hoofdvestiging van de marktpartij zich in deze lidstaat bevindt of (ii) als betrokken autoriteit, wanneer de marktpartij een vestiging op het grondgebied van deze lidstaat heeft, wanneer burgers in deze lidstaat wezenlijke gevolgen ondervinden of wanneer een klacht bij deze autoriteit is ingediend.

Deze nauwe samenwerking is de dagelijkse praktijk geworden: sinds de datum waarop de AVG van toepassing is geworden hebben gegevensbeschermingsautoriteiten in alle lidstaten op enig moment hetzij als leidende autoriteit, hetzij als betrokken autoriteit gefungeerd in grensoverschrijdende gevallen, zij het in verschillende mate.

Tussen 25 mei 2018 en 31 december 2019 werden 141 ontwerpbesluiten ingediend via de één-loketprocedure, waarvan er 79 tot definitieve besluiten hebben geleid. Op de datum van bekendmaking van dit verslag waren verschillende belangrijke besluiten met een grensoverschrijdend karakter en krachtens het één-loketmechanisme ophanden. Sommige van deze besluiten hebben betrekking op grote multinationale techbedrijven 27 . Verwacht wordt dat ze duidelijkheid verschaffen en bijdragen aan meer harmonisatie ten aanzien van de interpretatie van de AVG.

Wederzijdse bijstand

Gegevensbeschermingsautoriteiten hebben ruimschoots gebruikgemaakt van het instrument voor wederzijdse bijstand.

Het overgrote merendeel van de autoriteiten ziet wederzijdse bijstand als een zeer nuttig instrument voor samenwerking en heeft geen specifieke obstakels ervaren om de procedure voor wederzijdse bijstand toe te passen. De vrijwillige uitwisseling van wederzijdse bijstand, die geen wettelijke termijn of plicht kent waaraan moet worden voldaan, is vaker toegepast en wel in 2 427 procedures. De gegevensbeschermingsautoriteit van Ierland verzond en ontving het hoogste aantal verzoeken om wederzijdse bijstand (527 verzonden en 359 ontvangen), gevolgd door de Duitse autoriteiten (260 verzonden/356 ontvangen).

Gezamenlijke werkzaamheden 30 , die het mogelijk maken dat gegevensbeschermingsautoriteiten van verschillende lidstaten reeds in het onderzoeksstadium van grensoverschrijdende gevallen betrokken worden, hebben echter nog niet plaatsgevonden. Het Comité bezint zich op de praktische tenuitvoerlegging van dit instrument en hoe het gebruik ervan kan worden bevorderd.

Coherentiemechanisme

Tot dusver is slechts de eerste fase van het coherentiemechanisme gebruikt, namelijk de vaststelling van adviezen van het Comité 31 . Anderzijds is nog geen gebruik gemaakt van de geschillenbeslechting op Comiténiveau 32 of de spoedprocedure 33 .

Uitdagingen

Hoewel de gegevensbeschermingsautoriteiten in het Comité zeer actief samenwerken en het samenwerkingsinstrument voor wederzijdse bijstand intensief gebruiken, is het opbouwen van een werkelijk gemeenschappelijke gegevensbeschermingscultuur nog in volle gang.

Met name de omgang met grensoverschrijdende gevallen vraagt om een meer doelmatige en geharmoniseerde benadering en om doelmatig gebruik van alle samenwerkingsinstrumenten waarin de AVG voorziet. Er bestaat zeer brede consensus over dit aspect gezien het feit dat dit op verschillende manieren door het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming, belanghebbenden (binnen de deskundigengroep met meerdere belanghebbenden en daarbuiten) en de gegevensbeschermingsautoriteiten aan de orde is gesteld.

De belangrijkste punten die in dit kader moeten worden aangepakt, behelzen verschillen in:

·nationale administratieve procedures, met name met betrekking tot: klachtenprocedures, de ontvankelijkheidscriteria voor klachten, de duur van procedures ten gevolge van verschillende termijnen of het ontbreken van termijnen, het tijdstip in de procedure waarop het recht om te worden gehoord wordt toegekend, de informatie en betrokkenheid van klagers tijdens de procedure;

·interpretaties van begrippen die betrekking hebben op het samenwerkingsmechanisme, zoals relevante informatie, de begrippen “onverwijld” en “klacht”, het document dat wordt gedefinieerd als het “ontwerpbesluit” van de leidende gegevensbeschermingsautoriteit, minnelijke schikking (met name de procedure die leidt tot een minnelijke schikking en de rechtsvorm van de schikking); en

·de benadering van het moment waarop met de samenwerkingsprocedure wordt begonnen, de betreffende gegevensbeschermingsautoriteiten betrokken worden en informatie aan hen wordt verstrekt. Het ontbreekt klagers eveneens aan duidelijkheid over hoe hun zaak in grensoverschrijdende situaties wordt behandeld. Dit punt werd door diverse leden van de deskundigengroep met meerdere belanghebbenden benadrukt. Bovendien maken bedrijven melding van het feit dat nationale gegevensbeschermingsautoriteiten gevallen soms niet doorverwijzen naar de leidende gegevensbeschermingsautoriteit, maar deze behandelen als waren het nationale gevallen.

De Commissie is ingenomen met de aankondiging van het Comité dat het een reflectieproces in gang heeft gezet ten aanzien van manieren om deze bezwaren weg te nemen. Het Comité gaf aan dat het met name de procedurele stappen die gepaard gaan met de samenwerking tussen de leidende gegevensbeschermingsautoriteit en de betrokken gegevensbeschermingsautoriteiten wil verduidelijken, het nationale administratieve procesrecht wil analyseren, naar een gedeelde interpretatie van de belangrijkste concepten wil toewerken en de communicatie en samenwerking wil versterken, met inbegrip van gemeenschappelijke werkzaamheden. Het reflectieproces en de analyse van het Comité zouden moeten leiden tot efficiëntere werkregelingen in grensoverschrijdende gevallen 38 , onder andere door vaker gebruik te maken van de expertise van de Comitéleden en door de betrokkenheid van het secretariaat van het Comité te vergroten. Daarnaast dient te worden opgemerkt dat het Comité niet van zijn verantwoordelijkheid om een coherente interpretatie van de AVG te waarborgen kan worden ontslagen door simpelweg de kleinst gemene deler toe te passen.

Ten slotte dient het Comité als orgaan van de EU ook het EU-bestuursrecht toe te passen en een transparant besluitvormingsproces te waarborgen.

2.3Advies en richtsnoeren

Voorlichting en advies door gegevensbeschermingsautoriteiten

De diverse gegevensbeschermingsautoriteiten hebben nieuwe instrumenten gecreëerd, zoals hulplijnen voor burgers en ondernemingen, en toolkits voor ondernemingen 39 . Veel marktdeelnemers zijn blij met het pragmatisme van deze autoriteiten bij hun hulp bij de toepassing van de AVG. Diverse marktdeelnemers hebben actief en nauw samengewerkt en gecommuniceerd met gegevensbeschermingsfunctionarissen, onder meer via beroepsverenigingen van deze functionarissen. Veel autoriteiten hebben tevens richtsnoeren opgesteld betreffende de rol en de verplichtingen van gegevensbeschermingsfunctionarissen om hen bij hun dagelijkse activiteiten te ondersteunen en hebben specifiek op hen gerichte seminars georganiseerd. Dit is echter niet het geval bij alle gegevensbeschermingsautoriteiten.

Uit de feedback die van belanghebbenden werd ontvangen, kwam bovendien een aantal problemen met betrekking tot richtsnoeren en advies naar voren:

·het ontbreken van een coherente aanpak en coherente richtsnoeren ten aanzien van bepaalde aspecten (bijv. cookies 40 , de toepassing van gerechtvaardigd belang ten aanzien van inbreuk in verband met gegevensbescherming, kennisgevingen van gegevensinbreuken of gegevensbeschermingseffectbeoordelingen) tussen nationale gegevensbeschermingsautoriteiten of zelfs tussen gegevensbeschermingsautoriteiten binnen dezelfde lidstaat (bijv. in Duitsland ten aanzien van de begrippen verwerkingsverantwoordelijke en verwerker);

·de incoherentie van richtsnoeren die op nationaal niveau zijn vastgesteld met de richtsnoeren die door het Comité zijn vastgesteld;

·het ontbreken van openbare raadplegingen over bepaalde op nationaal niveau vastgestelde richtsnoeren;

·verschillende niveaus van betrokkenheid van belanghebbenden bij gegevensbeschermingsautoriteiten;

·vertraagde ontvangst van antwoorden op informatieverzoeken;

·problemen bij het verkrijgen van praktisch en waardevol advies van gegevensbeschermingsautoriteiten;

·de noodzaak om het niveau van sectorale expertise bij sommige gegevensbeschermingsautoriteiten te verhogen (bijv. gezondheidssector en farmaceutische sector).

Verscheidene van deze problemen hebben onder meer te maken met een gebrek aan middelen bij diverse gegevensbeschermingsautoriteiten (zie hieronder).

Richtsnoeren van het Europees Comité voor gegevensbescherming

Tot nu toe heeft het Comité meer dan 20 richtsnoeren betreffende belangrijke aspecten van de AVG vastgesteld 43 . De richtsnoeren zijn een essentieel hulpmiddel voor de coherente toepassing van de AVG en zijn daarom voor het merendeel gunstig ontvangen door belanghebbenden. Belanghebbenden hebben hun waardering uitgesproken voor de regelmatige openbare raadplegingen (om de zes tot acht weken). Zij vragen echter om meer overleg met het Comité. In dit kader zou de praktijk om voorafgaand aan het opstellen van de richtsnoeren workshops te organiseren over gerichte onderwerpen moeten worden voortgezet en uitgebreid, zodat de werkzaamheden van het Comité transparant, inclusief en relevant zijn. Belanghebbenden hebben eveneens gevraagd om in de richtsnoeren de interpretatie van de meest controversiële kwesties aan de orde te stellen omdat deze onderworpen zijn aan openbare raadpleging en geen onderdeel uitmaken van de adviezen krachtens artikel 64, lid 2, AVG. Sommige belanghebbenden vragen tevens om praktischer richtsnoeren waarin in detail wordt ingegaan op de toepassing van concepten en bepalingen van de AVG 44 . Leden van de deskundigengroep met meerdere belanghebbenden benadrukken de noodzaak van concretere voorbeelden die de gegevensbeschermingsautoriteiten zo min mogelijk ruimte geven voor afwijkende interpretaties. Tegelijkertijd moeten de verzoeken om verduidelijking van de toepassing van de AVG en om verkrijging van rechtszekerheid niet leiden tot aanvullende eisen of vermindering van de voordelen van de risicogestuurde benadering en de verantwoordingsplicht.

De onderwerpen waarover belanghebbenden aanvullende richtsnoeren zouden willen ontvangen van het Comité zijn onder meer: de reikwijdte van de rechten van betrokkenen (eveneens binnen het kader van hun werk); bijgewerkte versies van het advies over verwerking op basis van gerechtvaardigd belang; de begrippen verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke en verwerker, en de vereiste regelingen tussen de partijen 45 ; de toepassing van de AVG op nieuwe technologieën (zoals blockchain en kunstmatige intelligentie); verwerking in het kader van wetenschappelijk onderzoek (ook met betrekking tot internationale samenwerking); de verwerking van gegevens van kinderen; pseudonimisering en anonimisering; en de verwerking van gezondheidsgegevens.

Het Comité heeft al aangegeven dat het richtsnoeren zal uitvaardigen voor veel van deze onderwerpen en dat de werkzaamheden aan verschillende daarvan reeds zijn gestart (bijv. voor de toepassing van gerechtvaardigd belang als rechtsgrond voor verwerking).

Belanghebbenden verzoeken het Comité om in voorkomend geval de bestaande richtsnoeren te actualiseren en te herzien, rekening houdend met de ervaringen die sinds de bekendmaking ervan zijn opgedaan en van de gelegenheid gebruik te maken om waar nodig meer in detail te treden.

2.4Middelen van de gegevensbeschermingsautoriteiten

Alle gegevensbeschermingsautoriteiten moeten – als essentiële voorwaarde voor hun onafhankelijkheid – kunnen beschikken over de personele, technische en financiële middelen, en de bedrijfsruimten en infrastructuur die nodig zijn voor het effectief uitvoeren van hun taken en uitoefenen van hun bevoegdheden 46 .

De meeste gegevensbeschermingsautoriteiten hebben sinds de AVG in 2016 in werking is getreden, geprofiteerd van een toename van personeel en middelen 47 . Vele van hen melden echter dat zij nog steeds over onvoldoende middelen beschikken 48 .

In de tabel in bijlage II wordt een overzicht gegeven van de personele en budgettaire middelen van de nationale gegevensbeschermingsautoriteiten.

Het gebrek aan middelen heeft niet alleen een negatieve invloed op de capaciteit van de gegevensbeschermingsautoriteiten om de regels op nationaal niveau te handhaven, het beperkt ook hun mogelijkheden om deel te nemen en een bijdrage te leveren aan de mechanismen voor samenwerking en coherentie en aan de werkzaamheden die in het Comité worden verricht. Het succes van het één-loketmechanisme is, zoals wordt onderstreept door het Comité, afhankelijk van de tijd en inspanning die gegevensbeschermingsautoriteiten kunnen investeren in het afhandelen van en meewerken aan afzonderlijke grensoverschrijdende zaken. Het middelenprobleem wordt versterkt door de toegenomen rol van de autoriteiten bij het toezicht op de grootschalige IT-systemen die op dit moment worden ontwikkeld. Daarnaast hebben de gegevensbeschermingsautoriteiten in Ierland en Luxemburg specifieke behoeften aan middelen vanwege hun rol als leidende autoriteit bij de handhaving van de AVG tegenover grote techbedrijven, die voornamelijk in deze lidstaten gevestigd zijn.

Terwijl de Raad aandacht vraagt voor de effecten van het samenwerkingsmechanisme en de termijnen die hiervoor gelden op de werkzaamheden van de gegevensbeschermingsautoriteiten 50 , zijn lidstaten op grond van de AVG verplicht hun nationale gegevensbeschermingsautoriteiten te voorzien van adequate personele, financiële en technische middelen 51 .

Het secretariaat van het Comité, dat wordt verzorgd door de Europese Toezichthouder voor gegevensbescherming 52 , bestaat op dit moment uit twintig personeelsleden, onder wie juridische, IT- en communicatiedeskundigen. Beoordeeld moet worden of dit aantal moet toenemen om de secretariaatsfunctie in de toekomst doelmatig te kunnen blijven vervullen en het Comité en zijn subgroepen te voorzien van analytische, administratieve en logistieke ondersteuning, mede door het beheer van het informatie-uitwisselingssysteem.

3Geharmoniseerde regels, maar nog steeds enige fragmentatie en uiteenlopende benaderingen 

De AVG voorziet in een coherente benadering van de regels voor gegevensbescherming in de gehele EU en vervangt daarmee de verschillende nationale regelingen die uit hoofde van de gegevensbeschermingsrichtlijn uit 1995 bestonden.

3.1Tenuitvoerlegging van de AVG door de lidstaten

De AVG is sinds 25 mei 2018 direct van toepassing in alle lidstaten. De verordening verplicht de lidstaten om wetten uit te vaardigen, met name om nationale gegevensbeschermingsautoriteiten op te zetten en de algemene voorwaarden voor de leden ervan vast te stellen om ervoor te zorgen dat elke autoriteit bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk optreedt in overeenstemming met de AVG. Wettelijke verplichtingen en overheidstaken kunnen slechts grond voor de verwerking van persoonsgegevens zijn als ze zijn vastgelegd in nationaal recht of EU-recht. Bovendien moeten lidstaten regels vaststellen voor sancties, met name voor overtredingen waarvoor geen administratieve geldboeten gelden, en moeten zij het recht op bescherming van persoonsgegevens in overeenstemming brengen met het recht op vrijheid van meningsuiting en van informatie. Nationaal recht kan tevens een rechtsgrondslag bieden voor de vrijstelling van het algemene verbod om bijzondere categorieën van persoonsgegevens te verwerken, bijvoorbeeld om redenen van zwaarwegend algemeen belang op het gebied van volksgezondheid, met inbegrip van bescherming tegen ernstige grensoverschrijdende bedreigingen van de gezondheid. Daarnaast dienen lidstaten te zorgen voor de accreditatie van certificerende organen.

De Commissie monitort de tenuitvoerlegging van de AVG in de nationale wetgeving. Alle lidstaten met uitzondering van Slovenië hadden ten tijde van het opstellen van dit verslag nieuwe gegevensbeschermingswetgeving vastgesteld of hun wetgeving op dit terrein aangepast. De Commissie heeft Slovenië derhalve verzocht om duidelijkheid te verschaffen over de vooruitgang die tot op heden is geboekt en heeft erop aangedrongen dit proces af te ronden 53 .

Daarnaast wordt de naleving van nationale wetgeving met regels voor gegevensbescherming betreffende het Schengenacquis ook beoordeeld in het kader van het Schengenevaluatiemechanisme dat door de Commissie wordt gecoördineerd. De Commissie en de lidstaten evalueren gezamenlijk hoe landen het Schengenacquis op een aantal terreinen ten uitvoer leggen en toepassen; voor gegevensbescherming betreft dit grootschalige IT-systemen zoals het Schengeninformatiesysteem en het Via-informatiesysteem, met inbegrip van de rol van gegevensbeschermingsautoriteiten bij het toezicht op de verwerking van persoonsgegevens binnen die systemen.

Aan de aanpassing van sectorale wetgeving wordt op nationaal niveau nog altijd gewerkt. Sinds de AVG is opgenomen in de Overeenkomst betreffende de Europese Economische Ruimte, is zij ook van toepassing op Noorwegen, IJsland en Liechtenstein. Deze landen hebben ook hun nationale gegevensbeschermingswetgeving vastgesteld.

De Commissie zal gebruikmaken van alle instrumenten die tot haar beschikking staan, met inbegrip van inbreukprocedures, om ervoor te zorgen dat de lidstaten de AVG naleven.

Belangrijkste punten met betrekking tot nationale tenuitvoerlegging

De belangrijkste punten die tot op heden zijn vastgesteld als onderdeel van de lopende beoordeling van nationale wetgeving en bilaterale uitwisselingen met lidstaten zijn:

·beperkingen ten aanzien van de toepassing van de AVG: sommige lidstaten sluiten bijvoorbeeld de activiteiten van het nationale parlement volledig uit;

·verschillen in de toepasbaarheid van nader bepalende nationale wetgeving. Sommige lidstaten koppelen de toepasbaarheid van hun nationale wetgeving aan de plaats waar de goederen of diensten worden aangeboden, terwijl andere landen de toepasbaarheid koppelen aan de plaats waar de verwerkingsverantwoordelijke of verwerker is gevestigd. Dit druist in tegen het harmonisatiedoel van de AVG;

·nationale wetgevingen die vragen opwerpen over de evenredigheid van de aantasting van het recht op gegevensbescherming. De Commissie heeft bijvoorbeeld een inbreukprocedure tegen een lidstaat ingeleid die wetgeving had aangenomen die rechters verplichtte specifieke informatie over hun niet-beroepsmatige activiteiten te onthullen, hetgeen onverenigbaar is met het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens 54 ;

·het ontbreken van een onafhankelijke autoriteit die toeziet op de gegevensverwerking door gerechten in het kader van de uitoefening van hun gerechtelijke taken 55 .

·wetgeving inzake gebieden die door de AVG volledig worden gereguleerd maar die verdergaat dan de ruimte voor specificaties of beperkingen. Dit is met name het geval wanneer nationale voorschriften de voorwaarden voor verwerking op basis van een gerechtvaardigd belang bepalen, door te voorzien in een evenwicht tussen de respectievelijke belangen van de verwerkingsverantwoordelijke en van de betrokkenen, terwijl de AVG iedere verwerkingsverantwoordelijke verplicht om dat evenwicht individueel te realiseren en die rechtsgrond in te roepen.

·specificaties en aanvullende vereisten die verdergaan dan verwerking ter naleving van een wettelijke verplichting of vervulling van een publieke taak (bijv. voor videobewaking in de private sector of voor direct marketing); en voor begrippen die worden gebruikt in de AVG (bijv. “grootschalig” of “wissing”).

Een aantal van deze punten kan in zaken die nog aanhangig zijn worden opgehelderd door het Hof van Justitie 56 .

In overeenstemming brengen van het recht op bescherming van persoonsgegevens met het recht op vrijheid van meningsuiting en van informatie

Een specifiek onderwerp betreft de tenuitvoerlegging van de verplichting van lidstaten om het recht op bescherming van persoonsgegevens wettelijk in overeenstemming te brengen met het recht op vrijheid van meningsuiting en van informatie 57 . Dit onderwerp is zeer ingewikkeld omdat de beoordeling van het evenwicht tussen deze fundamentele rechten tevens bepalingen en waarborgen in mediarecht en persrecht in aanmerking moet nemen.

De Commissie zal doorgaan met haar beoordeling van de nationale wetgevingen op basis van de vereisten van het Handvest. De balans moet bij de wet worden geregeld, in overeenstemming zijn met de wezenlijke inhoud van de grondrechten en met de beginselen van evenredigheid en noodzakelijkheid (artikel 52, lid 1, van het Handvest). Regels voor gegevensbescherming mogen de uitoefening van het recht op vrijheid van meningsuiting en van informatie niet nadelig beïnvloeden, met name niet door ontmoedigingsbeleid of door de regels zo te interpreteren dat druk op journalisten wordt uitgeoefend om hun bronnen bekend te maken.

3.2Facultatieve specificatieclausules en hun beperkingen

De AVG biedt de lidstaten de mogelijkheid om op een beperkt aantal terreinen de toepassing nader te specificeren. Deze marge voor nationale wetgeving moet los worden gezien van de verplichting om bepaalde andere bepalingen van de AVG, zoals hierboven aangegeven, ten uitvoer te leggen. De clausules voor facultatieve specificaties zijn opgenomen in bijlage I.

De marges voor het nationale recht van de lidstaat zijn onderworpen aan de voorwaarden en beperkingen van de AVG en laten geen ruimte voor een parallel nationaal gegevensbeschermingsstelsel 58 . De lidstaten zijn verplicht hun nationale gegevensbeschermingswetgeving te wijzigen of in te trekken, met inbegrip van sectorale wetgeving die gegevensbeschermingsaspecten bevat.

Bovendien mag gerelateerde wetgeving van de lidstaat geen bepalingen bevatten die verwarring zou kunnen scheppen over de rechtstreekse toepassing van de AVG. Voor zover de AVG bepaalt dat de regels die zij bevat door lidstatelijk recht kunnen worden gespecificeerd of beperkt, kunnen de lidstaten indien nodig elementen van de AVG in hun recht opnemen om de samenhang te garanderen en om de nationale bepalingen begrijpbaar te maken voor degenen op wie zij van toepassing zijn 59 .

Belanghebbenden zijn van oordeel dat de lidstaten minder of geen facultatieve specificatieclausules dienen te gebruiken omdat deze niet bijdragen aan harmonisatie. De nationale verschillen in zowel de tenuitvoerlegging van wetten als hun interpretatie door gegevensbeschermingsautoriteiten maken EU-brede naleving van wetten aanzienlijk duurder.

Fragmentatie als gevolg van het gebruik van facultatieve specificatieclausules

·Leeftijdsgrens voor het verkrijgen van toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij

Een aantal lidstaten heeft gebruikgemaakt van de mogelijkheid om te voorzien in een lagere leeftijd dan 16 jaar voor toestemming met betrekking tot diensten van de informatiemaatschappij (artikel 8, lid 1, AVG). Negen lidstaten gebruiken de leeftijdsgrens van 16 jaar, acht lidstaten kozen voor 13 jaar, zes voor 14 jaar en drie voor 15 jaar 60 .

Dientengevolge moet een onderneming die in de hele EU diensten van de informatiemaatschappij verleent aan minderjarigen rekening houden met de leeftijd van de mogelijke gebruikers al naargelang in welke lidstaat zij wonen. Dit is in strijd met de hoofddoelstelling van de AVG om burgers en ondernemingen in alle lidstaten een gelijk niveau van bescherming dan wel kansen te bieden.

Deze verschillen leiden tot situaties waarin de lidstaat waarin de verwerkingsverantwoordelijke is gevestigd een andere leeftijdsgrens stelt dan de lidstaat waarin de betrokkenen wonen.

·Gezondheid en onderzoek

Bij de tenuitvoerlegging van afwijkingen van het algemene verbod om bijzondere categorieën van persoonsgegevens te verwerken 61 , hanteren de wetgevingen van de lidstaten uiteenlopende benaderingen van het niveau van specificatie en waarborgen, met inbegrip van die voor gezondheids- en onderzoeksdoeleinden. De meeste lidstaten hebben bijkomende voorwaarden voor de verwerking van genetische, biometrische of gezondheidsgegevens ingevoerd of gehandhaafd. Dit is tevens het geval voor afwijkingen die samenhangen met de rechten van betrokkenen voor onderzoeksdoeleinden 62 , zowel wat de omvang van de afwijkingen als wat de waarborgen betreft. 

Met de nog vast te stellen richtsnoeren van het Comité over het gebruik van persoonsgegevens op het gebied van wetenschappelijk onderzoek zal worden bijgedragen aan een geharmoniseerde benadering op dit gebied. De Commissie zal het Comité van inbreng voorzien, met name ten aanzien van gezondheidsonderzoek, maar ook in de vorm van concrete vragen en analyse van concrete scenario’s die zij van de onderzoeksgemeenschap heeft ontvangen. Het zou nuttig zijn als deze richtsnoeren vóór de lancering van het kaderprogramma Horizon Europa worden vastgesteld, met het oog op de harmonisatie van gegevensbeschermingspraktijken en de bevordering van de uitwisseling van gegevens om vooruitgang in het onderzoek te bewerkstelligen. Richtsnoeren van het Comité over de verwerking van persoonsgegevens op het gebied van gezondheid zouden ook nuttig zijn.

De AVG biedt een robuust kader voor nationale wetgeving op het gebied van volksgezondheid en is uitdrukkelijk ook van toepassing op grensoverschrijdende gevaren voor de gezondheid en de monitoring van epidemieën en de verspreiding daarvan 63 , hetgeen relevant was in het kader van de strijd tegen de COVID-19-pandemie.

Op EU-niveau heeft de Commissie op 8 april 2020 een aanbeveling betreffende een toolbox voor het gebruik van technologie en gegevens in dit kader vastgesteld, met inbegrip van mobiele toepassingen en het gebruik van geanonimiseerde mobiliteitsgegevens 64 , en op 16 april 2020 richtsnoeren in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie 65 . Het Comité heeft op 19 maart 2020 66 een verklaring over gegevensverwerking in dit kader afgegeven, op 21 april 2020 gevolgd door richtsnoeren voor gegevensverwerking voor onderzoeksdoeleinden en voor het gebruik van locatiegegevens en instrumenten voor contacttracering in dit kader 67 . Deze aanbevelingen en richtsnoeren verduidelijken hoe de beginselen en regels ten aanzien van de bescherming van persoonsgegevens van toepassing zijn in het kader van de strijd tegen de pandemie.

·Vergaande beperkingen van de rechten van betrokkenen

De meeste nationale wetgevingen op het gebied van gegevensbescherming die de rechten van betrokkenen beperken, geven geen nadere specificatie van de doelstellingen van het algemeen belang dat door deze beperkingen wordt gewaarborgd en/of voldoen onvoldoende aan de voorwaarden en waarborgen zoals vereist in artikel 23, lid 2, AVG 68 . Diverse lidstaten laten geen ruimte voor de evenredigheidsbeoordeling of breiden de beperkingen zelfs verder uit dan de reikwijdte van artikel 23, lid 1, AVG toelaat. Sommige nationale wetgevingen ontzeggen het recht op toegang tot persoonsgegevens die worden opgeslagen op basis van een bewaarplicht of in verband met het verrichten van publieke taken zonder deze beperking te beperken tot doelstellingen van algemeen belang, omdat dit onevenredig veel moeite van de verwerkingsverantwoordelijke zou kosten.

·Aanvullende voorschriften voor ondernemingen

Hoewel de vereiste van een verplichte functionaris voor gegevensbescherming is gebaseerd op de risicogestuurde benadering 69 , heeft één lidstaat 70 deze vereiste uitgebreid tot een kwantitatief criterium en ondernemingen waarin twintig of meer werknemers permanent betrokken zijn bij het geautomatiseerd verwerken van persoonsgegevens verplicht om een functionaris voor gegevensbescherming aan te wijzen, ongeacht de risico’s met betrekking tot de verwerkingsactiviteiten 71 . Dit heeft geleid tot bijkomende lasten.

4Burgers in staat stellen controle uit te oefenen over hun eigen gegevens

De AVG maakt grondrechten effectief, met name het recht op bescherming van persoonsgegevens, maar ook andere grondrechten die door het Handvest worden erkend, zoals de eerbiediging van het privé- en gezinsleven, het recht op vrijheid van meningsuiting en van informatie, non-discriminatie, vrijheid van gedachte, geweten en godsdienst, vrijheid van ondernemerschap en het recht op een doeltreffende voorziening in rechte. Deze rechten moeten tegen elkaar worden afgewogen conform het evenredigheidsbeginsel 72 .

De AVG geeft burgers wettelijk afdwingbare rechten, zoals het recht op toegang, rectificatie, wissing, bezwaar, overdraagbaarheid en het recht op meer transparantie. De AVG geeft burgers eveneens het recht om een klacht in te dienen bij een gegevensbeschermingsautoriteit, onder meer door middel van representatieve vorderingen en het recht op een doeltreffende voorziening in rechte.

Burgers zijn zich steeds meer bewust van hun rechten, zoals uit de resultaten van de Eurobarometer 73 van juli 2019 en van de enquête door het Bureau van de Europese Unie voor de grondrechten 74 blijkt.

Burgers maken steeds vaker gebruik van hun recht om een klacht in te dienen bij gegevensbeschermingsautoriteiten, hetzij individueel, hetzij als representatieve vordering 75 . Slechts enkele lidstaten hebben niet-gouvernementele organisaties in staat gesteld om zonder machtiging vorderingen in te dienen, in lijn met de mogelijkheid die de AVG biedt. Verwacht wordt dat de voorgestelde richtlijn betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten 76 , zodra deze is aangenomen, het kader voor representatieve vorderingen op het gebied van gegevensbescherming zal versterken.

Uit feedback van de deskundigengroep met meerdere belanghebbenden blijkt dat door organisaties een verscheidenheid aan maatregelen is getroffen om de uitoefening van rechten van betrokkenen te faciliteren, met inbegrip van tenuitvoerleggingsprocessen die individuele toetsing van verzoeken en een antwoord van de verwerkingsverantwoordelijke waarborgen, het gebruik van uiteenlopende kanalen (post, speciaal e-mailadres, website enz.), bijgewerkte interne procedures en beleid ten aanzien van tijdige interne afhandeling van verzoeken, en opleiding van medewerkers. Sommige ondernemingen hebben om de uitoefening van rechten van betrokkenen te faciliteren digitale portalen opgezet die toegankelijk zijn via de website van de onderneming (of voor werknemers via het intranet van de onderneming).

Verdere vooruitgang ten aanzien van de volgende punten is echter nodig:

·Niet alle verwerkingsverantwoordelijken voldoen aan hun verplichting om de uitoefening van rechten van betrokkenen te faciliteren 79 . Zij dienen te waarborgen dat betrokkenen een goed functionerend contactpunt hebben aan wie zij hun problemen kunnen uitleggen. Dit kan de functionaris voor gegevensbescherming zijn, van wie de contactgegevens proactief aan de betrokkene moeten worden bekendgemaakt 80 . De contactmodaliteiten mogen niet beperkt zijn tot e-mail, maar moeten de betrokkene in staat stellen om zich ook op andere manieren tot de verwerkingsverantwoordelijke te richten.

·Burgers ondervinden nog steeds moeilijkheden wanneer zij om toegang tot hun gegevens verzoeken, bijvoorbeeld van platforms, datamakelaars en adtech-bedrijven.

·Het recht op gegevensoverdraagbaarheid wordt nog niet ten volle benut. De Europese datastrategie (hierna: datastrategie) 81 , die op 19 februari 2020 door de Commissie is vastgesteld, heeft de noodzaak benadrukt om alle mogelijke toepassingen van dit recht te faciliteren (bijv. door met name technische interfaces en machineleesbare formaten verplicht te stellen die de overdraagbaarheid van gegevens in (bijna) real time mogelijk maken). Marktdeelnemers wijzen erop dat er soms moeilijkheden zijn om de gegevens op een gestructureerd, algemeen gebruikt, machineleesbaar formaat aan te leveren (ten gevolge van een gebrek aan standaardisering). Alleen organisaties in bepaalde sectoren, zoals banken, telecommunicatie, water- en warmtemeters, melden dat ze de noodzakelijke interfaces hebben ingevoerd 82 . Er zijn nieuwe technologische hulpmiddelen ontwikkeld om de uitoefening door burgers van hun rechten uit hoofde van de AVG te faciliteren die niet zijn beperkt tot gegevensoverdraagbaarheid (bijv. persoonlijke dataruimtes en persoonlijke informatiebeheerdiensten).

·Rechten van kinderen: verscheidene leden van de deskundigengroep met meerdere belanghebbenden benadrukken de noodzaak om informatie aan kinderen te verstrekken, en het feit dat veel organisaties voorbijgaan aan het feit dat kinderen betrokken kunnen zijn bij de verwerking van hun gegevens. De Raad benadrukte dat bij het opstellen van gedragscodes specifieke aandacht kan worden besteed aan de bescherming van kinderen. De bescherming van kinderen is eveneens een bijzonder aandachtspunt voor de gegevensbeschermingsautoriteiten 83 .

·Recht op informatie: Sommige ondernemingen hanteren een zeer legalistische benadering en zien privacyverklaringen als een juridische aangelegenheid, met informatie die ingewikkeld, moeilijk te begrijpen of onvolledig is, terwijl uit hoofde van de AVG juist alle informatie beknopt moet zijn, en duidelijke en eenvoudige taal moet worden gebruikt 84 . Het lijkt erop dat sommige ondernemingen de aanbevelingen van het Comité niet in acht nemen, bijvoorbeeld met betrekking tot de vermelding van de entiteiten waarmee zij gegevens delen.

·Diverse lidstaten hebben de rechten van betrokkenen door middel van nationale wetgeving aanzienlijk beperkt, en sommige gaan zelfs verder dan de marges van artikel 23 van de AVG.

·De uitoefening van de rechten van burgers wordt soms beperkt door de praktijken van enkele grote digitale spelers, die het voor burgers moeilijk maken om de instellingen te kiezen die hun privacy het best beschermen (en daarmee de verplichting schenden tot gegevensbescherming door ontwerp en door standaardinstellingen 85 ) 86 .

De belanghebbenden wachten met smart op de richtsnoeren over de rechten van betrokkenen van het Comité.

5Kansen en uitdagingen voor organisaties, met name kleine en middelgrote ondernemingen

Kansen voor organisaties

De AVG bevordert concurrentie en innovatie. Samen met de verordening inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens 87 waarborgt de AVG het vrije verkeer van gegevens binnen de EU en creëert ze een gelijk speelveld voor ondernemingen die buiten de EU zijn gevestigd. Door een geharmoniseerd kader voor de bescherming van persoonsgegevens te creëren, waarborgt de AVG dat alle partijen op de interne markt aan dezelfde regels gebonden zijn en van dezelfde kansen profiteren, ongeacht waar ze zijn gevestigd en waar de verwerking plaatsvindt. De technologische neutraliteit van de AVG vormt het gegevensbeschermingskader voor nieuwe technologische ontwikkelingen. De beginselen van gegevensbescherming door standaardinstellingen en door ontwerp stimuleren innovatieve oplossingen die van begin af aan rekening houden met gegevensbeschermingsoverwegingen en die de kosten van naleving van de regels voor gegevensbescherming kunnen verminderen.

Daarnaast wordt privacy een belangrijke concurrentieparameter, die door burgers bij het selecteren van hun diensten steeds vaker in overweging wordt genomen. Diegenen die beter geïnformeerd zijn en ontvankelijk zijn voor overwegingen van gegevensbeschermingsaard zoeken producten en diensten die de doelmatige bescherming van persoonsgegevens waarborgen. De tenuitvoerlegging van het recht op gegevensoverdraagbaarheid kan de toetredingsdrempels verlagen voor ondernemingen die vernieuwende, gegevensbeschermingsvriendelijke diensten verlenen. De effecten van een mogelijk breder gebruik van dit recht in verschillende sectoren van de markt dient te worden gemonitord De naleving van de regels voor gegevensbescherming en de transparante toepassing ervan zullen vertrouwen scheppen in het gebruik van persoonsgegevens en derhalve nieuwe kansen voor ondernemingen creëren.

Net als bij alle regulering zijn voor ondernemingen ook aan de regels voor gegevensbescherming inherente nalevingskosten verbonden. Deze kosten worden echter meer dan gecompenseerd door de kansen en voordelen van het toegenomen vertrouwen in digitale innovatie en de maatschappelijke voordelen die voortvloeien uit de eerbiediging van een grondrecht. Door een gelijk speelveld te waarborgen en gegevensbeschermingsautoriteiten te voorzien van wat ze nodig hebben om de regels doeltreffend te handhaven, voorkomt de AVG dat ondernemingen die in gebreke blijven gratis meeliften op het vertrouwen dat is opgebouwd door de ondernemingen die zich wel aan de regels houden.

Specifieke uitdagingen voor kleine en middelgrote ondernemingen

Over het algemeen leeft bij belanghebbenden, maar ook bij het Europees Parlement, het Comité en de gegevensbeschermingsautoriteiten, de opvatting dat de toepassing van de AVG met name problematisch is voor micro-, kleine en middelgrote ondernemingen (kmo’s) en kleine vrijwilligersorganisaties en liefdadigheidsinstellingen.

Volgens de risicogebaseerde aanpak is het niet juist om afwijkingen toe te passen op basis van de omvang van een bedrijf, aangezien omvang op zich geen indicatie geeft van de risico’s die de verwerking van persoonsgegevens kan opleveren voor burgers. De risicogebaseerde aanpak gaat flexibel hand in hand met doeltreffende bescherming. Bij deze aanpak wordt rekening gehouden met de behoeften van kmo’s die gegevensverwerking niet tot kerntaak hebben en worden hun verplichtingen met name op basis van de waarschijnlijkheid en ernst van de risico’s die gepaard gaan met de specifieke vorm van verwerking die zij uitvoeren geijkt 88 .

Kleinschalige verwerking en verwerking met een laag risico moeten niet op dezelfde manier worden behandeld als grootschalige verwerking en verwerking met een hoog risico, ongeacht de omvang van de onderneming die de verwerking uitvoert. Daarom moet, zoals het Comité heeft geconcludeerd, de risicogestuurde benadering die door de wetgever in de tekst wordt aangemoedigd in elk geval worden gehandhaafd, omdat de risico’s voor betrokkenen niet afhankelijk zijn van de omvang van de verwerkingsverantwoordelijken 89 . De gegevensbeschermingsautoriteiten dienen dit beginsel volledig over te nemen bij de handhaving van de AVG, bij voorkeur binnen het kader van een gemeenschappelijke Europese aanpak, zodat er geen belemmeringen voor de eengemaakte markt ontstaan.

De gegevensbeschermingsautoriteiten hebben diverse hulpmiddelen ontwikkeld en hebben hun voornemen om deze verder te verbeteren benadrukt. Sommige autoriteiten hebben voorlichtingscampagnes gelanceerd en organiseren zelfs gratis AVG-cursussen voor kleine en middelgrote ondernemingen.

Diverse maatregelen ter ondersteuning van specifiek kmo’s hebben financiële steun van de EU ontvangen. De Commissie heeft financiële steun verleend met drie reeksen subsidies voor in totaal 5 miljoen EUR, waarvan de meest recente twee specifiek gericht waren op de ondersteuning van nationale gegevensbeschermingsautoriteiten bij hun pogingen om burgers en kleine en middelgrote ondernemingen te bereiken. Daardoor werd in 2018 aan negen gegevensbeschermingsautoriteiten 2 miljoen EUR toegekend voor in 2018-2019 te nemen maatregelen (België, Bulgarije, Denemarken, Hongarije, Litouwen, Letland, Nederland, Slovenië en IJsland) 91 , en werd in 2019 1 miljoen EUR toegekend aan vier gegevensbeschermingsautoriteiten voor in 2020 te nemen maatregelen (België, Malta, Slovenië en Kroatië in samenwerking met Ierland) 92 . In 2020 zal nog eens 1 miljoen EUR worden toegekend.

Ondanks deze initiatieven melden kleine en middelgrote ondernemingen en start-ups dikwijls dat zij worstelen met de tenuitvoerlegging van de verantwoordingsplicht van de AVG 93 . Zij melden met name dat zij niet altijd genoeg begeleiding en praktisch advies van de nationale gegevensbeschermingsautoriteiten krijgen of dat het te lang duurt voordat zij begeleiding en advies krijgen. Het is ook voorgekomen dat autoriteiten liever niet betrokken raakten bij juridische kwesties. Wanneer kleine en middelgrote ondernemingen met dergelijke situaties te maken krijgen, nemen ze dikwijls externe adviseurs en advocaten in de arm om de tenuitvoerlegging van de verantwoordingsplicht en de risicogestuurde benadering (met inbegrip van de transparantie-eisen, registers van verwerkingsactiviteiten en inbreuken in verband met persoonsgegevens) te regelen. Dit kan ook leiden tot extra kosten voor deze ondernemingen.

Eén specifiek probleem is het registreren van verwerkingsactiviteiten, dat door kmo’s en kleine organisaties wordt gezien als een omslachtige administratieve last. De mogelijkheden die artikel 30, lid 5, AVG, biedt om van die verplichting af te wijken, zijn inderdaad zeer beperkt. De inspanningen om aan die verplichting te voldoen moeten daarentegen ook niet worden overschat. Voor kleine en middelgrote ondernemingen waar de verwerking van persoonsgegevens geen onderdeel is van de kernactiviteit, hoeven dergelijke registers niet ingewikkeld en omslachtig te zijn. Hetzelfde geldt voor vrijwilligers- en andere organisaties. Dergelijke vereenvoudigde registers zouden zijn geholpen met modellen van registers, die door sommige gegevensbeschermingsautoriteiten reeds worden gebruikt. Iedereen die persoonsgegevens verwerkt, moet als basisvereiste voor de verantwoordingsplicht hoe dan ook een overzicht hebben van zijn gegevensverwerkingsactiviteiten.

De ontwikkeling van praktische hulpmiddelen op EU-niveau door het Comité, zoals geharmoniseerde formulieren voor inbreuken in verband met persoonsgegevens en vereenvoudigde registers van verwerkingsactiviteiten, zou kmo’s en kleine organisaties 94 waar verwerking van persoonsgegevens geen kernactiviteit is, kunnen helpen om aan hun verplichtingen te voldoen.

Verscheidene brancheorganisaties hebben zich ingespannen om de kennis van hun leden te versterken en hen te informeren, bijvoorbeeld door middel van conferenties en seminars, door ondernemingen van informatie te voorzien over beschikbare richtsnoeren of door de ontwikkeling van een privacybijstandsdienst voor leden. Zij maken bovendien melding van een toenemend aantal door denktanks en kmo-organisaties georganiseerde seminars, bijeenkomsten en evenementen over AVG-gerelateerde zaken.

Om het vrije verkeer van alle gegevens binnen de EU te versterken en te zorgen dat de AVG en de verordening vrij verkeer van niet-persoonsgebonden gegevens coherent worden toegepast, heeft de Commissie specifiek voor kleine en middelgrote ondernemingen een praktisch richtsnoer over de regels ten aanzien van de verwerking van gemengde datasets (bestaande uit zowel persoonsgebonden als niet-persoonsgebonden gegevens) uitgebracht 95 .

Toolbox voor ondernemingen

In de AVG worden instrumenten aangeboden die helpen aantonen dat de verordening wordt nageleefd, zoals gedragscodes, certificeringsmechanismen en standaardcontractbepalingen.

·Gedragscodes

Het Comité heeft richtsnoeren 96 uitgevaardigd om “houders van een gedragscode” te assisteren bij het opstellen, aanpassen of uitbreiden van gedragscodes, en om een praktische leidraad en hulp bij uitleg te bieden. Deze richtsnoeren vormen tevens een toelichting op de procedures rond indiening, goedkeuring en bekendmaking van gedragscodes op nationaal en Europese niveau, en zetten uiteen welke minimumcriteria zijn vereist.

Belanghebbenden zien gedragscodes als zeer nuttige hulpmiddelen. Hoewel vele codes op nationaal niveau ten uitvoer worden gelegd, is op dit moment een aantal EU-brede gedragscodes in voorbereiding (onder andere betreffende mobiele gezondheidsapps, gezondheidsonderzoek naar genomica, clouddiensten, direct marketing, verzekeringen, verwerking door preventie en diensten voor begeleiding van kinderen) 97 . Marktdeelnemers zijn van mening dat EU-brede gedragscodes op bredere schaal moeten worden gestimuleerd omdat zij coherente toepassing van de AVG in alle lidstaten bevorderen.

Gedragscodes vragen echter ook tijd en investering van marktdeelnemers, zowel om de codes te ontwikkelen als om de vereiste onafhankelijke toezichthoudende instanties op te zetten. Vertegenwoordigers van kleine en middelgrote ondernemingen wijzen erop hoe belangrijk en nuttig het is dat gedragscodes op hun situatie zijn afgestemd en geen buitensporige kosten met zich meebrengen.

Om die reden hebben brancheorganisaties in een aantal sectoren andere soorten zelfreguleringsmiddelen ingevoerd, zoals codes inzake goede praktijken en richtsnoeren. Hoewel dergelijke hulpmiddelen nuttige informatie kunnen verstrekken, zijn ze niet goedgekeurd door de gegevensbeschermingsautoriteiten en kunnen ze niet als middel dienen om naleving van de AVG te helpen aantonen.

De Raad benadrukt dat gedragscodes speciale aandacht dienen te schenken aan de verwerking van gegevens van kinderen en van gezondheidsgegevens. De Commissie steunt gedragscodes die de benadering op het gebied van gezondheid en onderzoek kunnen harmoniseren en de grensoverschrijdende verwerking van persoonsgegevens kunnen faciliteren 98 . Het Comité werkt op dit moment aan de goedkeuring van de ontwerpvereisten voor accreditatie voor instanties die toezicht houden op gedragscodes die door een aantal gegevensbeschermingsautoriteiten zijn ingediend 99 . Zodra transnationale of EU-gedragscodes gereed zijn om voor goedkeuring te worden ingediend bij de gegevensbeschermingsautoriteiten, zullen ze worden onderworpen aan raadpleging door het Comité. Met name voor werkterreinen waar grote hoeveelheden gegevens (bijv. clouddiensten) of gevoelige gegevens (bijv. gezondheid/onderzoek) worden verwerkt, is het belangrijk dat transnationale gedragscodes snel worden ingevoerd

·Certificering

Certificering kan ook een nuttig instrument zijn om aan te tonen dat aan specifieke voorwaarden uit de AVG wordt voldaan. Hierdoor kan de rechtszekerheid voor ondernemingen worden vergroot en de AVG wereldwijd worden ondersteund.

Zoals opgemerkt in het onderzoek naar certificering dat in april 2019 is gepubliceerd 100 , moet het doel zijn om toepassing van relevante regelingen te faciliteren. De ontwikkeling van certificeringsregelingen in de EU wordt ondersteund door de richtsnoeren die het Comité inzake certificeringscriteria 101 en de accreditatie van certificeringsorganen 102 heeft uitgevaardigd.

Beveiliging en gegevensbescherming door ontwerp zijn essentiële elementen die voor certificeringsregelingen in het kader van de AVG in aanmerking moeten worden genomen en baat zouden hebben bij een gemeenschappelijke, ambitieuze aanpak in de hele EU. De Commissie zal de huidige contacten tussen het Europees Agentschap voor netwerk- en informatiebeveiliging (Enisa), de gegevensbeschermingsautoriteiten en het Comité blijven ondersteunen.

Na de vaststelling van de cyberbeveiligingsverordening verzocht de Commissie Enisa twee certificeringsregelingen voor te bereiden, waaronder één regeling voor clouddiensten 103 . Nadere regelingen betreffende cyberbeveiliging van diensten en producten voor consumenten worden momenteel bestudeerd. Hoewel deze uit hoofde van de cyberbeveiligingsverordening vastgestelde certificeringsregelingen niet expliciet gegevensbescherming en privacy betreffen, dragen ze ertoe bij dat consumenten meer vertrouwen in digitale diensten en producten krijgen. Dergelijke regelingen kunnen niet alleen bewijs leveren van de naleving van de beginselen van ingebouwde veiligheid, maar ook van de tenuitvoerlegging van passende technische en organisatorische maatregelen met betrekking tot de beveiliging van de verwerking van persoonsgegevens.

·Standaardcontractbepalingen

De Commissie werkt aan standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers 104 , tevens in het licht van de modernisering van de standaardcontractbepalingen voor internationale doorgiften (zie punt 7.2). Een handeling van de Unie, vastgesteld door de Commissie, is bindend in de hele EU waardoor volledige harmonisatie en rechtszekerheid worden gewaarborgd.

6Toepassing van de AVG op nieuwe technologieën

Een technologieneutraal kader dat openstaat voor nieuwe technologieën

De AVG is technologieneutraal, vertrouwenwekkend en gebaseerd op beginselen 105 . Deze beginselen, met inbegrip van rechtmatige en transparante verwerking, doelbinding en minimale gegevensverwerking, geven de bescherming van persoonsgegevens een solide fundament, ongeacht de toegepaste verwerkingen en technieken.

Leden van de deskundigengroep met meerdere belanghebbenden melden dat de AVG in het algemeen een positief effect op de ontwikkeling van nieuwe technologieën heeft gehad en een goede basis voor innovatie biedt. De AVG wordt beschouwd als een essentieel en flexibel instrument, dat ervoor kan zorgen dat de ontwikkeling van nieuwe technologieën in overeenstemming is met de grondrechten. De tenuitvoerlegging van de kernbeginselen van de verordening is met name essentieel voor gegevensintensieve verwerking. De risicogestuurde en technologieneutrale benadering van de AVG zorgt voor een niveau van gegevensbescherming dat toereikend is om de verwerkingsrisico’s weg te nemen, met inbegrip van die door opkomende technologieën.

Belanghebbenden melden dat met name de AVG-beginselen doelbinding en verdere verwerking voor verenigbare doeleinden, minimale gegevensverwerking, opslagbeperking, transparantie, verantwoording en de voorwaarden waaronder geautomatiseerde besluitvormingsprocessen rechtmatig kunnen worden gebruikt 106 , de bezorgdheid over het gebruik van kunstmatige intelligentie voor een belangrijk deel wegnemen.

De toekomstbestendige en risicogestuurde benadering van de AVG zal ook op het mogelijke toekomstige kader voor kunstmatige intelligentie en bij de tenuitvoerlegging van de datastrategie worden toegepast. De datastrategie heeft tot doel de beschikbaarheid van gegevens en de instelling van gemeenschappelijke Europese dataruimtes te bevorderen, die worden ondersteund door gefedereerde cloudinfrastructuurdiensten. Wat betreft persoonsgegevens voorziet de AVG in het wettelijk hoofdkader, waarin per geval doelmatige oplossingen kunnen worden ontworpen afhankelijk van de aard en inhoud van iedere dataruimte.

De AVG heeft zowel binnen als buiten de EU het bewustzijn over de bescherming van persoonsgegevens verruimd en heeft ondernemingen ertoe aangezet om bij innovaties hun handelwijze te veranderen en voortaan rekening te houden met de beginselen van gegevensbescherming. Maatschappelijke organisaties merken echter op dat ondanks de positieve effecten van de AVG op de ontwikkeling van nieuwe technologieën, de grote digitale spelers hun praktijken nog niet fundamenteel hebben gewijzigd ten gunste van privacyvriendelijkere verwerking. Krachtige en doeltreffende handhaving van de AVG ten aanzien van grote digitale platforms en geïntegreerde ondernemingen, onder meer op gebieden als onlinereclame en microtargeting, is essentieel om burgers te kunnen beschermen.

De Commissie is bezig de bredere kwesties met betrekking tot het marktgedrag van grote digitale spelers te analyseren in het kader van het wetgevingspakket digitale diensten 107 . Wat betreft onderzoek op het gebied van sociale media herinnert de Commissie eraan dat de AVG door socialemediaplatforms niet kan worden gebruikt als excuus om de toegang van onderzoekers en feitencontroleurs tot niet-persoonsgebonden gegevens te beperken, zoals statistieken over welke gerichte advertenties naar welke categorieën mensen zijn verzonden, de criteria voor het ontwerp van deze gerichte advertenties, informatie over nepaccounts enz.

De technologieneutrale en toekomstbestendige benadering van de AVG is tijdens de COVID-19-pandemie op de proef gesteld en bleek succesvol te zijn. De ontwikkeling van middelen om de verspreiding van het virus tegen te gaan en te bewaken werd ondersteund door de op beginselen gebaseerde regels van de verordening.

Uitdagingen

De ontwikkeling en toepassing van nieuwe technologieën doen geen afbreuk aan deze beginselen. De uitdagingen zitten in de verduidelijking van hoe beginselen die zich hebben bewezen, kunnen worden toegepast op het gebruik van specifieke technologieën zoals kunstmatige intelligentie, blockchain, het internet der dingen, gezichtsherkenning en kwantumcomputers.

In dit kader hebben het Europees Parlement en de Raad de noodzaak benadrukt om door continue monitoring duidelijk te krijgen hoe de AVG van toepassing is op nieuwe technologieën en grote techbedrijven. Daarnaast waarschuwen belanghebbenden dat de beoordeling of de AVG doelmatig blijft eveneens continue monitoring vereist.

Belanghebbenden uit het bedrijfsleven benadrukken dat innovatie vereist dat de AVG op een beginselgebaseerde manier wordt toegepast, overeenkomstig het ontwerp van de verordening, en niet op een starre, formele wijze. Zij zijn van mening dat richtsnoeren van het Comité over hoe de AVG-beginselen, -begrippen en -regels moeten worden toegepast op nieuwe technologieën zoals kunstmatige intelligentie, blockchain en het internet de dingen, rekening houdend met de risicogestuurde benadering, zouden bijdragen aan het verschaffen van duidelijkheid en meer rechtszekerheid. Dergelijke zachte wetgevingsinstrumenten zijn bij uitstek geschikt om de toepassing van de AVG op nieuwe technologieën te vergezellen, omdat ze voor meer rechtszekerheid zorgen en in lijn met de technologische ontwikkelingen kunnen worden beoordeeld. Sommige belanghebbenden wijzen er ook op dat sectorale richtsnoeren over hoe de AVG op nieuwe technologieën moet worden toegepast eveneens nuttig kunnen zijn.

Het Comité stelde dat het de effecten van opkomende technologieën op de bescherming van persoonsgegevens zal blijven analyseren.

Belanghebbenden benadrukken ook hoe belangrijk het is dat toezichthouders diepgaand inzicht krijgen in de manier waarop technologie wordt gebruikt en in gesprek gaan met het bedrijfsleven over de ontwikkeling van opkomende technologieën. Zij zijn van mening dat wat regelgeving betreft een “reguleringstestzone” – als een manier om begeleiding te krijgen bij de toepassing van de regels – een interessante optie zou zijn om nieuwe technologieën te testen en ondernemingen te helpen om gegevensbescherming door standaardinstellingen en door ontwerp in nieuwe technologieën toe te passen.

Wat verdere beleidsmaatregelen betreft adviseren belanghebbenden om alle toekomstige beleidsvoorstellen ten aanzien van kunstmatige intelligentie voort te laten bouwen op bestaande wetgevingskaders en af te stemmen op de AVG. Eventuele specifieke onderwerpen moeten voordat nieuwe voorschriften worden voorgesteld zorgvuldig worden beoordeeld op basis van relevant bewijs.

In haar witboek over kunstmatige intelligentie presenteert de Commissie een aantal beleidsopties, waarover belanghebbenden tot 14 juni 2020 hun mening konden geven. In het witboek wordt ten aanzien van gezichtsherkenning, een technologie die aanzienlijke gevolgen voor de rechten van burgers kan hebben, gewezen op het huidige wetgevingskader en wordt een openbaar debat geopend over eventuele specifieke omstandigheden die het gebruik van kunstmatige intelligentie voor het doel van gezichtsherkenning en andere biometrische identificatie op afstand op openbare plaatsen rechtvaardigen, en over gemeenschappelijke waarborgen.

7Internationale doorgiften en mondiale samenwerking

7.1Privacy: een mondiale aangelegenheid

De behoefte aan bescherming van persoonsgegevens kent geen grenzen. Burgers overal ter wereld waarderen en koesteren de bescherming en beveiliging van hun gegevens steeds meer.

Tegelijkertijd kunnen we in onze verbonden wereld het belang van gegevensstromen voor burgers, overheden, ondernemers en, meer in het algemeen, de maatschappij als geheel, niet meer negeren. Deze vormen een integraal onderdeel van handel, samenwerking tussen overheidsinstanties en sociale interacties. In dat opzicht benadrukt de huidige COVID-19-pandemie eveneens hoe essentieel de overdracht en de uitwisseling van persoonsgegevens zijn voor veel essentiële activiteiten, zoals het waarborgen van de continuïteit van het landsbestuur en bedrijfsactiviteiten – door thuiswerken en andere oplossingen mogelijk te maken die sterk afhankelijk zijn van informatie- en communicatietechnologie –, het ontwikkelen van samenwerking op het gebied van wetenschappelijk onderzoek naar diagnostiek, behandelingen en vaccins, en de bestrijding van nieuwe vormen van cybercriminaliteit, zoals fraudeconstructies waarbij op internet namaakgeneesmiddelen worden aangeboden die COVID-19 zouden kunnen voorkomen of genezen.

Tegen deze achtergrond moeten de bescherming van de persoonlijke levenssfeer en het faciliteren van gegevensstromen meer dan ooit hand in hand gaan. De EU bevindt zich dankzij haar stelsel voor gegevensbescherming, dat openstaat voor internationale doorgiften maar burgers tegelijkertijd een hoog niveau van bescherming biedt, in een zeer goede positie om veilige en betrouwbare gegevensstromen te bevorderen. De AVG blijkt internationaal inmiddels als een referentiepunt te fungeren; door de verordening zijn wereldwijd tal van landen zich gaan bezinnen op een modernisering van hun privacyregels.

Het gaat om een echte mondiale trend, van Chili tot Zuid-Korea, van Brazilië tot Japan, van Kenia tot India, van Tunesië tot Indonesië en van Californië tot Taiwan, om maar een paar voorbeelden te noemen. Deze voorbeelden zijn niet alleen vanuit kwantitatief, maar ook vanuit kwalitatief oogpunt opmerkelijk: Veel privacywetten die onlangs zijn aangenomen of zich in een proces bevinden om aangenomen te worden, zijn gebaseerd op een basale reeks gedeelde waarborgen, rechten en handhavingsmechanismen die in de EU worden toegepast. In een wereld die te vaak wordt gekenmerkt door verschillende, zelfs uiteenlopende benaderingen van regelgeving, is deze trend naar mondiale convergentie een zeer positieve ontwikkeling, die nieuwe mogelijkheden biedt om de bescherming van burgers in Europa te vergroten terwijl tegelijkertijd gegevensstromen worden gefaciliteerd en de transactiekosten voor ondernemers worden verlaagd.

7.2De AVG-doorgiftetoolbox 

Naarmate steeds meer private en publieke marktdeelnemers vertrouwen op internationale gegevensstromen als onderdeel van hun routinewerkzaamheden, bestaat er een toenemende behoefte aan flexibele instrumenten die aan verschillende sectoren, bedrijfsmodellen en doorgiftesituaties kunnen worden aangepast. Om aan deze behoeften te voldoen, biedt de AVG een gemoderniseerd instrumentarium om de doorgifte van persoonsgegevens van de EU naar derde landen en internationale organisaties te vergemakkelijken, en zorgt er tevens voor dat de gegevens in hoge mate beschermd blijven. Deze continuïteit van de bescherming is belangrijk gezien het feit dat heden ten dage gegevens zeer eenvoudig grenzen overschrijden en de vormen van bescherming die de AVG garandeert onvolledig zouden zijn als deze zich zouden beperken tot verwerking binnen de EU.

Met hoofdstuk V van de AVG heeft de wetgever de opzet van de doorgifteregels bevestigd die uit hoofde van Richtlijn 95/46 reeds bestonden: doorgifte van persoonsgegevens kan plaatsvinden wanneer de Commissie een vaststelling van adequaatheid met betrekking tot een derde land of internationale organisatie heeft genomen of, bij afwezigheid daarvan, wanneer de verwerkingsverantwoordelijke of verwerker in de EU (“gegevensexporteur”) passende waarborgen biedt, bijvoorbeeld door middel van een overeenkomst met de ontvanger (“gegevensimporteur”). Daarnaast blijven wettelijke gronden (zogenoemde afwijkingen) bestaan voor doorgiften in specifieke situaties waarvoor de wetgever heeft besloten dat op grond van een afweging van belangen, gegevensdoorgifte onder bepaalde voorwaarden is toegestaan. Tegelijkertijd heeft de hervorming de bestaande regels verduidelijkt en vereenvoudigd, bijvoorbeeld door de voorwaarden voor een vaststelling van adequaatheid en bindende bedrijfsvoorschriften gedetailleerd te formuleren, door de toestemmingsvereisten te beperken tot een zeer gering aantal specifieke zaken en door de meldingsplicht volledig af te schaffen. Bovendien zijn nieuwe doorgifte-instrumenten geïntroduceerd, zoals gedragscodes en certificeringsregelingen, en zijn de mogelijkheden verruimd om bestaande instrumenten te gebruiken, zoals standaardcontractbepalingen.

De digitale economie van tegenwoordig maakt het mogelijk dat marktdeelnemers buiten de EU rechtstreeks, zij het op afstand, kunnen deelnemen aan de interne markt van de Europese Unie en kunnen concurreren om Europese klanten en hun persoonsgegevens. Wanneer zij zich bij het aanbieden van goederen of diensten specifiek richten op Europeanen of hun gedrag monitoren, horen zij de EU-wetgeving op dezelfde wijze na te leven als EU-marktdeelnemers dat moeten. Dit blijkt uit artikel 3 van de AVG, dat de rechtstreekse toepasselijkheid van de regels voor gegevensbescherming in de Europese Unie uitbreidt naar bepaalde verwerkingen door verwerkingsverantwoordelijken en verwerkers buiten de EU. Dit zorgt voor de noodzakelijke waarborgen en bovendien voor een gelijk speelveld voor alle ondernemingen die op de EU-markt actief zijn.

Het brede bereik van de AVG is een van de redenen waarom de effecten van de verordening ook in andere delen van de wereld worden gevoeld. Het gedetailleerde richtsnoer van het Comité over de territoriale reikwijdte van de AVG, dat het na een uitgebreide openbare raadpleging heeft verstrekt en dat is voorzien van concrete voorbeelden, is daarom voor marktdeelnemers buiten de EU belangrijk om te bepalen of, en zo ja, welke verwerkingen rechtstreeks onder de waarborgen van de verordening vallen 109 .

De vergroting van het toepassingsbereik van de EU-wetgeving betreffende gegevensbescherming biedt op zich echter onvoldoende garantie voor naleving in de praktijk. Het is van essentieel belang om te waarborgen dat marktdeelnemers buiten de EU de verordening naleven en dat deze naleving doeltreffend wordt gehandhaafd, iets dat eveneens wordt benadrukt door de Raad 110 . Het aanwijzen van een vertegenwoordiger in de EU (artikel 27, leden 1 en 2, AVG), die door individuele personen of toezichthoudende autoriteiten naast of in plaats van de verantwoordelijke onderneming van buiten de EU kan worden benaderd 111 , speelt in dit opzicht een sleutelrol. Aan deze aanpak, die ook steeds vaker in andere kaders gehanteerd wordt 112 , moet krachtiger worden vastgehouden, teneinde zonneklaar te maken dat het feit dat buitenlandse marktdeelnemers niet over een vestiging in de EU beschikken, hen niet ontslaat van hun verplichtingen uit hoofde van de AVG. Wanneer deze marktdeelnemers niet voldoen aan hun verplichting om een vertegenwoordiger te aan te wijzen 113 , dienen de toezichthoudende autoriteiten gebruik te maken van het volledige handhavingsinstrumentarium van artikel 58 van de AVG (bijv. openbare waarschuwingen, tijdelijke of permanente verboden om in de EU te verwerken, handhaving tegen gezamenlijke verwerkingsverantwoordelijken die in de EU zijn gevestigd).

Ten slotte is het zeer belangrijk dat het Comité zijn werkzaamheden op het gebied van de nadere verduidelijking van het verband tussen artikel 3 betreffende de rechtstreekse toepassing van de AVG en de regels ten aanzien van internationale doorgiften in hoofdstuk V afrondt 114 .

Adequaatheidsbesluiten

De van belanghebbenden ontvangen inbreng bevestigt dat besluiten waarbij een beschermingsniveau passend werd verklaard (adequaatheidsbesluiten) voor EU-marktdeelnemers een essentieel instrument blijven om persoonsgegevens veilig aan derde landen door te geven 115 . Dergelijke besluiten bieden de meest omvangrijke, eenvoudige en kosteneffectieve oplossing voor gegevensdoorgiften, omdat deze worden gelijkgesteld met doorgiften binnen de EU en derhalve het veilige en vrije verkeer van persoonsgegevens waarborgen zonder aanvullende voorwaarden of de noodzaak van toestemming. Adequaatheidsbesluiten ontsluiten daarom commerciële kanalen voor EU-marktdeelnemers en faciliteren de samenwerking tussen overheidsinstanties, terwijl geprivilegieerde toegang wordt gegeven tot de eengemaakte markt van de EU. Voortbouwend op een op de richtlijn van 1995 gebaseerde praktijk voorziet de AVG uitdrukkelijk in de mogelijkheid om de adequaatheid te bepalen inzake een bepaald grondgebied van een derde land of inzake een specifieke sector of bedrijfstak van een derde land (zogeheten “gedeeltelijke” adequaatheid).

De AVG bouwt voort op de ervaring van de afgelopen jaren en de door het Hof van Justitie gegeven verduidelijkingen, die een gedetailleerde catalogus van elementen beschrijven die de Commissie bij haar beoordeling in aanmerking moet nemen. De norm voor een passend beschermingsniveau vereist een niveau van bescherming dat vergelijkbaar (of “in feite overeenkomend”) is met het niveau dat binnen de EU wordt gewaarborgd 116 . Dit omvat een uitgebreide beoordeling van het systeem van het derde land als geheel, met inbegrip van de degelijkheid van de bescherming van de privacy, de daadwerkelijke tenuitvoerlegging en handhaving ervan en de regels voor toegang tot persoonsgegevens door overheidsinstanties, met name voor doeleinden van wetshandhaving en openbare veiligheid 117 .

Dit komt ook tot uiting in het richtsnoer dat door de voormalige Groep gegevensbescherming artikel 29 werd vastgesteld (en onderschreven door het Comité), met name de zogenaamde “adequaatheidsreferentie”, die de elementen die de Commissie in aanmerking moet nemen bij de uitvoering van een adequaatheidsbeoordeling nader verduidelijkt, mede door het verschaffen van een overzicht van “essentiële garanties” voor toegang tot persoonsgegevens door overheidsinstanties 118 . Dat laatste bouwt met name voort op de jurisprudentie van het Europees Hof voor de Rechten van de Mens. Hoewel de norm “in feite overeenkomend” geen puntsgewijze replicatie (“fotokopie”) van de EU-regels inhoudt, gezien het feit dat de middelen die zorgen voor een vergelijkbaar niveau van bescherming per privacysysteem kunnen verschillen en dikwijls een afspiegeling zijn van uiteenlopende rechtstradities, vereist deze niettemin een hoog niveau van bescherming.

Deze norm wordt gerechtvaardigd door het feit dat een adequaatheidsbesluit een derde land in principe de voordelen biedt van de eengemaakte markt wat het vrij verkeer van gegevens betreft. Het betekent echter ook dat er soms relevante verschillen kunnen bestaan tussen het niveau van de gewaarborgde bescherming in het derde land in kwestie en dat van de AVG die overbrugd moeten worden, bijvoorbeeld door aanvullende waarborgen overeen te komen. Deze waarborgen dienen positief te worden beoordeeld omdat ze de bescherming van burgers in de EU alleen maar vergroten. Tegelijkertijd is de Commissie het met het Comité eens over het belang van continue monitoring van deze waarborgen in de praktijk, met inbegrip van doeltreffende handhaving door de gegevensbeschermingsautoriteit in het derde land 119 .

De AVG verduidelijkt dat adequaatheidsbesluiten “levende instrumenten” zijn die voortdurend gemonitord en periodiek getoetst moeten worden 120 . Conform deze vereisten heeft de Commissie regelmatige gedachtewisselingen met de betreffende autoriteiten voor een proactieve follow-up van nieuwe ontwikkelingen. Sinds de vaststelling van het besluit over het EU-VS-privacyschild in 2016 121 heeft de Commissie samen met vertegenwoordigers van het Comité drie jaarlijkse beoordelingen uitgevoerd om alle aspecten van het functioneren van het kader te evalueren 122 . Deze evaluaties waren gebaseerd op informatie die via uitwisselingen met de Amerikaanse autoriteiten verkregen was, maar ook op inbreng van andere belanghebbenden, zoals gegevensbeschermingsautoriteiten, maatschappelijke organisaties en brancheverenigingen in de EU. Deze hebben verbetering van het praktisch functioneren van verschillende elementen van het kader mogelijk gemaakt. In een breder perspectief hebben de jaarlijkse evaluaties bijgedragen aan een diepgaandere dialoog met de Amerikaanse overheid over privacy in het algemeen en de beperkingen en waarborgen met betrekking tot nationale veiligheid in het bijzonder.

In het kader van haar eerste evaluatie van de AVG moet de Commissie ook de adequaatheidsbesluiten evalueren die op grond van de richtlijn van 1995 zijn vastgesteld 123 . De diensten van de Commissie voeren intensief overleg met elk van de elf betrokken landen en gebieden, teneinde na te gaan hoe hun systemen voor de bescherming van persoonsgegevens zich sinds de vaststelling van het adequaatheidsbesluit hebben ontwikkeld en of zij voldoen aan de normen van de AVG. De noodzaak om de continuïteit te waarborgen van dergelijke besluiten, die een essentieel instrument zijn voor handel en internationale samenwerking, is een van de factoren die verschillende van deze landen en gebieden ertoe hebben aangezet hun privacywetgeving te moderniseren en te versterken. Deze ontwikkelingen moeten in elk geval worden toegejuicht. Met een aantal van deze landen en gebieden wordt gesproken over aanvullende beschermingsmaatregelen om relevante verschillen in de bescherming aan te pakken.

Aangezien het Hof van Justitie in een op 16 juli te wijzen arrest evenwel verduidelijkingen kan verschaffen die relevant kunnen zijn voor bepaalde onderdelen van de adequaatheidsnorm, zal de Commissie afzonderlijk verslag uitbrengen over de beoordeling van de genoemde elf adequaatheidsbesluiten, nadat het Hof van Justitie zijn arrest in die zaak heeft gewezen 124 .

De Commissie deelt volledig de oproep van belanghebbenden om het overleg met geselecteerde derde landen in verband met mogelijke nieuwe vaststellingen van adequaatheid te intensiveren 127 . Zij onderzoekt actief of deze mogelijkheid te realiseren valt met andere belangrijke partners in Azië, Latijns-Amerika en het Europees nabuurschapsgebied, daarbij voortbouwend op de huidige trend naar grotere mondiale convergentie op het gebied van gegevensbeschermingsnormen. Uitgebreide privacywetgeving is bijvoorbeeld vastgesteld of staat op het punt vastgesteld te worden in Latijns-Amerika (Brazilië, Chili) en er zijn veelbelovende ontwikkelingen in Azië (bijv. India, Indonesië, Maleisië, Sri Lanka, Taiwan en Thailand), Afrika (bijv. Ethiopië, Kenia) en in de Oost- en Zuid-Europese buurlanden (bijv. Georgië, Tunesië). De Commissie zal, waar mogelijk, de verwezenlijking van uitgebreide adequaatheidsbesluiten betreffende zowel de private als de publieke sector nastreven 128 .

Het is voor de Commissie dankzij de AVG bovendien mogelijk geworden om vaststellingen van adequaatheid voor internationale organisaties vast te stellen. Omdat sommige internationale organisaties bezig zijn hun gegevensbeschermingsstelsels te moderniseren door de invoering van uitgebreide regels en mechanismen voor onafhankelijk toezicht en beroep in rechte, kon deze weg voor de eerste keer bewandeld worden.

Ten slotte is de Commissie ingenomen met het feit dat andere landen bezig zijn gegevensdoorgifte-instrumenten in te stellen die identiek zijn aan een vaststelling van adequaatheid. Vaak erkennen zij hiermee dat de EU en de landen waarvoor de Commissie een adequaatheidsbesluit heeft vastgesteld veilige bestemmingen voor doorgiften zijn 131 . Door het toenemend aantal landen dat profiteert van EU-adequaatheidsbesluiten enerzijds, en deze vorm van erkenning door andere landen anderzijds, kan een netwerk van landen ontstaan waar gegevens vrij en veilig kunnen worden doorgegeven. De Commissie juicht deze ontwikkeling toe omdat hierdoor de voordelen van een adequaatheidsbesluit voor derde landen verder zullen toenemen en mondiale convergentie steeds dichterbij komt. Deze vorm van synergie kan ook een nuttige bijdrage leveren aan de ontwikkeling van kaders voor veilig en vrij gegevensverkeer, zoals in de context van het initiatief “Data Free Flow with Trust” (zie hieronder).

Passende waarborgen

De AVG voorziet in aanvulling op de vaststelling van adequaatheid, die een allesomvattende oplossing is, in een aantal andere doorgifte-instrumenten. De flexibiliteit van deze “toolbox” blijkt uit artikel 46 AVG, waarin gegevensdoorgiften op basis van “passende waarborgen” worden geregeld, met inbegrip van afdwingbare rechten en doeltreffende rechtsmiddelen voor betrokkenen. Om passende waarborgen te garanderen, zijn verschillende instrumenten beschikbaar zodat wordt voldaan aan de doorgiftebehoeften van zowel commerciële marktdeelnemers als overheidsinstanties.

·Standaardcontractbepalingen

De eerste groep instrumenten betreft contractuele hulpmiddelen, die hetzij op maat gemaakte ad-hocclausules voor gegevensbescherming zijn die zijn overeengekomen tussen een EU-gegevensexporteur en een gegevensimporteur buiten de EU waarvoor toestemming is verkregen van de bevoegde gegevensbeschermingsautoriteit (artikel 46, lid 3, onder a), AVG, hetzij vooraf door de Commissie goedgekeurde standaardbepalingen (artikel 46, lid 2, onder c) en d), AVG 132 ). De belangrijkste instrumenten zijn de zogenaamde standaardcontractbepalingen. Dit zijn standaardbepalingen betreffende gegevensbescherming die de gegevensexporteur en de gegevensimporteur op vrijwillige basis in hun overeenkomsten kunnen opnemen (bijv. een dienstverleningsovereenkomst waarvoor de doorgifte van persoonsgegevens vereist is) en waarin de vereisten met betrekking tot de passende waarborgen worden uiteengezet.

Standaardcontractbepalingen zijn het mechanisme voor gegevensdoorgifte dat veruit het meest wordt benut 133 . Duizenden bedrijven in de EU maken er gebruik van om een brede waaier van diensten aan te bieden aan hun klanten, leveranciers, partners en werknemers, waaronder diensten die essentieel zijn voor de werking van de economie. Uit het wijdverbreide gebruik ervan blijkt dat ze erg nuttig zijn voor ondernemingen die de verordening willen naleven en met name voor ondernemingen die niet de middelen hebben om met al hun commerciële partners te onderhandelen over individuele overeenkomsten. Omdat standaardcontractbepalingen gestandaardiseerd en vooraf goedgekeurd zijn, vormen ze voor ondernemingen een eenvoudig toe te passen instrument waarmee ze kunnen voldoen aan de vereisten op het gebied van gegevensbescherming in het kader van doorgifte.

De bestaande reeksen standaardcontractbepalingen 134 zijn vastgesteld en goedgekeurd op basis van de richtlijn uit 1995. Deze standaardcontractbepalingen blijven van kracht totdat zij, indien nodig, bij besluit van de Commissie worden gewijzigd, vervangen of ingetrokken (artikel 46, lid 5, AVG). Overeenkomstig de AVG kunnen de standaardcontractbepalingen zowel voor internationale doorgiften als binnen de EU worden gebruikt. De Commissie werkt samen met belanghebbenden om gebruik te maken van deze mogelijkheden en om bestaande bepalingen te actualiseren 135 . Om te zorgen dat standaardcontractbepalingen ook in de toekomst doelmatig zijn, heeft de Commissie via de deskundigengroep met meerdere belanghebbenden feedback verzameld van ervaringen van belanghebbenden met standaardcontractbepalingen en in september 2019 daarover een speciale workshop gehouden. Ook heeft de Commissie daartoe veelvuldig contact gehad met ondernemingen die gebruikmaken van standaardcontractbepalingen en met maatschappelijke organisaties. Het Comité is tevens bezig een aantal richtsnoeren die relevant zouden kunnen zijn voor de evaluatie van de standaardcontractbepalingen te actualiseren, bijvoorbeeld ten aanzien van de begrippen verwerkingsverantwoordelijke en verwerker.

Bij de behandeling van deze punten zoekt de Commissie tevens naar manieren om de huidige “architectuur” van de standaardcontractbepalingen gebruikersvriendelijker te maken, bijvoorbeeld door de diverse reeksen standaardcontractbepalingen te vervangen door een enkel, allesomvattend document. De kunst is om een goed evenwicht te vinden tussen de behoefte aan duidelijkheid en een bepaalde mate van standaardisering aan de ene kant, en de noodzakelijke flexibiliteit aan de andere kant, waardoor bepalingen gebruikt kunnen worden door een aantal marktdeelnemers met verschillende eisen, in uiteenlopende contexten en voor verschillende typen doorgiften.

Een ander belangrijk aspect dat moet worden overwogen, is de mogelijke noodzaak, gezien de huidige procesvoering voor het Hof van Justitie 137 , om de waarborgen met betrekking tot toegang door buitenlandse overheidsinstanties tot gegevens die op basis van standaardcontractbepalingen worden doorgegeven, met name voor doeleinden van nationale veiligheid, te verduidelijken. Wellicht moet de gegevensimporteur of de gegevensexporteur, of beide, verplicht worden gesteld om actie te ondernemen en de rol van de gegevensbeschermingsautoriteiten in dat kader te verduidelijken. Hoewel de herziening van de standaardcontractbepalingen redelijk vergevorderd is, moet niettemin op het arrest van het Hof worden gewacht om te zien of aanvullende vereisten in de herziene bepalingen noodzakelijk zijn voordat een ontwerpbesluit over een nieuwe reeks standaardcontractbepalingen bij het Comité kan worden ingediend voor advies en vervolgens kan worden voorgesteld voor vaststelling via de comitéprocedure 138 .

Parallel daaraan houdt de Commissie contact met internationale partners die vergelijkbare instrumenten ontwikkelen 139 . Deze dialoog, die onder andere bestaat uit het uitwisselen van ervaringen en beste praktijken, zou een aanzienlijke bijdrage kunnen leveren aan de verdere ontwikkeling van convergentie in de praktijk en zou op die manier naleving met grensoverschrijdende doorgifteregels faciliteren voor ondernemingen die in verschillende delen van de wereld actief zijn.

·Bindende bedrijfsvoorschriften

Een ander belangrijk instrument zijn de zogenaamde bindende bedrijfsvoorschriften. Dit zijn juridisch bindende beleidsmaatregelen en regelingen die van toepassing zijn op de leden van een ondernemingsgroep, met inbegrip van de werknemers (artikel 46, lid 2, onder b) en artikel 47 van de AVG). Door het gebruik van bindende bedrijfsvoorschriften is vrij verkeer van persoonsgegevens tussen de diverse groepsonderdelen wereldwijd mogelijk – en hoeven geen contractuele regelingen te worden afgesproken tussen alle bedrijfsonderdelen – terwijl naleving van hetzelfde hoge niveau van bescherming van persoonsgegevens in de hele groep wordt gewaarborgd. Bindende bedrijfsvoorschriften zijn met name een goede oplossing voor grote, ingewikkelde ondernemingsgroepen en voor nauwe samenwerking tussen ondernemingen die gegevens uitwisselen tussen verscheidene rechtsgebieden. Uit hoofde van de AVG kunnen, anders dan bij de richtlijn van 1995, bindende bedrijfsvoorschriften worden gebruikt door een groep ondernemingen die betrokken zijn bij een gemeenschappelijke economische activiteit maar geen deel uitmaken van dezelfde ondernemingsgroep.

Procedureel moeten bindende bedrijfsvoorschriften worden goedgekeurd door de bevoegde gegevensbeschermingsautoriteit op basis van een niet-bindend advies van het Comité 140 . Ter begeleiding van dit proces heeft het Comité de “referenties” van de bindende bedrijfsvoorschriften (tot vaststelling van materiële normen) voor verwerkingsverantwoordelijken 141 en verwerkers 142 getoetst in het licht van de AVG, en blijft het deze documenten actualiseren op basis van de praktische ervaring die door de toezichthoudende autoriteiten is opgedaan. Het Comité heeft eveneens diverse richtlijnen vastgesteld om aanvragers te helpen en het aanvraag- en goedkeuringsproces van bindende bedrijfsvoorschriften te stroomlijnen 143 . Volgens het Comité zitten er op dit moment meer dan veertig bindende bedrijfsvoorschriften in de pijplijn voor goedkeuring, waarvan naar verwachting de helft voor het einde van 2020 zal zijn goedgekeurd 144 . Het is belangrijk dat gegevensbeschermingsautoriteiten aan verdere stroomlijning van het goedkeuringsproces blijven werken, aangezien de lengte van deze procedures door belanghebbenden dikwijls wordt genoemd als een praktische belemmering voor een breder gebruik van bindende bedrijfsvoorschriften.

Ten slotte kunnen, specifiek met betrekking tot door de gegevensbeschermingsautoriteit van het Verenigd Koninkrijk – de Information Commissioner Office – goedgekeurde bindende bedrijfsvoorschriften, ondernemingen deze na het einde van de overgangsperiode overeenkomstig het terugtrekkingsakkoord tussen de EU en het Verenigd Koninkrijk blijven gebruiken als geldig doorgiftemechanisme uit hoofde van de AVG, maar alleen als ze zo zijn gewijzigd dat ieder verband met de rechtsorde van het Verenigd Koninkrijk is vervangen door toepasselijke verwijzingen naar ondernemingen en bevoegde autoriteiten in de EU. Goedkeuring van alle nieuwe bindende bedrijfsvoorschriften dient te worden verkregen van een van de toezichthoudende autoriteiten in de EU.

·Certificeringsmechanismen en gedragscodes

Naast de modernisering en verbreding van de toepassing van de reeds bestaande doorgifte-instrumenten heeft de AVG ook nieuwe instrumenten geïntroduceerd en daarmee de mogelijkheden voor internationale doorgiften vergroot. Hiertoe behoren het gebruik, onder bepaalde voorwaarden, van goedgekeurde gedragscodes en certificeringsmechanismen (zoals privacyzegels of -merktekens) om passende waarborgen te garanderen. Dit zijn bottom-upinstrumenten die maatwerkoplossingen mogelijk maken – als een algemeen mechanisme voor verantwoordingsplicht (zie de artikelen 40 tot en met 42 van de AVG) en, specifiek, voor internationale gegevensdoorgiften – en bijvoorbeeld inspelen op specifieke kenmerken en behoeften van een bepaalde sector of bedrijfstak of van bepaalde gegevensstromen. Doordat deze het ijkpunt vormen van de verplichtingen en de risico’s, zouden gedragscodes voor kleine en middelgrote ondernemingen een zeer nuttige en kosteneffectieve manier kunnen zijn om aan hun AVG-verplichtingen te voldoen.

Hoewel het Comité richtsnoeren heeft vastgesteld met betrekking tot certificeringsmechanismen en de stimulering hiervan binnen de EU, zijn de werkzaamheden van het Comité met betrekking tot de ontwikkeling van criteria om certificeringsmechanismen goed te keuren als instrumenten voor internationale doorgiften nog in volle gang. Hetzelfde geldt voor gedragscodes, waarvoor het Comité op dit moment bezig is richtsnoeren te ontwikkelen zodat deze als instrument voor doorgiften kunnen worden gebruikt.

Aangezien het belangrijk is om marktdeelnemers de beschikking te geven over een breed scala aan doorgifte-instrumenten die aan hun behoeften zijn aangepast en gezien het potentieel dat met name certificeringsmechanismen hebben om gegevensdoorgiften te faciliteren en tegelijkertijd een hoog niveau van gegevensbescherming te waarborgen, dringt de Commissie er bij het Comité op aan om zijn richtsnoer op dit gebied zo snel mogelijk te voltooien. Dit betreft zowel materiële (criteria) als procedurele aspecten (goedkeuring, monitoring enz.). Belanghebbenden hebben te kennen gegeven veel belangstelling te hebben voor deze doorgiftemechanismen en zouden de toolkit van de AVG in volle omvang moeten kunnen gebruiken. De richtsnoeren van het Comité zullen naarmate meer privacysystemen vergelijkbare instrumenten gaan gebruiken tevens een bijdrage leveren aan de wereldwijde bevordering van het EU-model van gegevensbescherming en aan de stimulering van convergentie.

Er kunnen waardevolle lessen worden getrokken uit de huidige inspanningen op het gebied van privacystandaardisering, zowel op Europees als op internationaal niveau. Een interessant voorbeeld is de onlangs gepubliceerde internationale norm ISO 27701 145 , die tot doel heeft bedrijven te helpen voldoen aan privacyvereisten en risico’s te beheren met betrekking tot de verwerking van persoonsgegevens via privacy-informatiemanagementsystemen. Hoewel certificering overeenkomstig de norm als zodanig niet voldoet aan de vereisten van de artikelen 42 en 43 van de AVG, kan de toepassing van privacy-informatiemanagementsystemen bijdragen aan de verantwoordingsplicht, ook in het kader van internationale gegevensdoorgiften.

·Internationale overeenkomsten en administratieve regelingen

Dankzij de AVG kunnen ook passende waarborgen worden gegeven voor gegevensdoorgiften tussen overheidsinstanties of overheidsorganen op basis van internationale overeenkomsten (artikel 46, lid 2, onder a), of administratieve regelingen (artikel 46, lid 3, onder b)). Hoewel beide instrumenten dezelfde uitkomst wat betreft waarborgen dienen te garanderen, met inbegrip van afdwingbare rechten en doeltreffende rechtsmiddelen voor betrokkenen, verschillen ze wat betreft juridisch karakter en vaststellingsprocedure.

In tegenstelling tot internationale overeenkomsten, die bindende verplichtingen onder internationaal recht scheppen, zijn administratieve regelingen (bijv. in de vorm van een memorandum van overeenstemming) gewoonlijk niet bindend en is daarom voorafgaande goedkeuring door de bevoegde gegevensbeschermingsautoriteit vereist (zie ook overweging 108 van de AVG). Een vroeg voorbeeld betreft de administratieve regeling voor de doorgifte van persoonsgegevens tussen financiële toezichthouders binnen en buiten de EER die samenwerken onder de paraplu van de International Organisation of Securities Commission (IOSCO), ten aanzien waarvan het Comité begin 2019 advies heeft uitgebracht 146 . Sindsdien heeft het Comité zijn interpretatie van het begrip “minimale waarborgen”, die internationale (samenwerkings)overeenkomsten en administratieve regelingen tussen overheidsinstanties of overheidsorganen (met inbegrip van internationale organisaties) moeten bevatten om te kunnen voldoen aan de vereisten van artikel 46 AVG verder ontwikkeld. Op 18 januari 2020 heeft het Comité ontwerp-richtsnoeren 147 vastgesteld en daarmee beantwoord aan het verzoek van de lidstaten om nadere verduidelijking en leidraden met betrekking tot wat kan worden beschouwd als passende waarborgen voor doorgifte tussen overheidsinstanties 148 . Het Comité beveelt overheidsinstanties ten zeerste aan deze richtsnoeren te gebruiken als referentiepunt voor hun onderhandelingen met derde partijen 149 .

De richtsnoeren laten zien hoe flexibel dergelijke instrumenten ontworpen zijn, ook ten aanzien van belangrijke aspecten zoals toezicht 150 en beroep in rechte 151 . Dit zou overheidsinstanties in staat moeten stellen om moeilijkheden te overwinnen op het gebied van bijvoorbeeld het waarborgen van afdwingbare rechten van betrokkenen door middel van niet-bindende regelingen. Een belangrijk aspect van dergelijke regelingen is dat ze voortdurend door de bevoegde gegevensbeschermingsautoriteit worden gemonitord – ondersteund door informatie- en documentatieverplichtingen – en dat de gegevensstromen worden opgeschort als passende waarborgen in de praktijk niet langer kunnen worden gegarandeerd.

Afwijkingen

Tot slot verduidelijkt de AVG het gebruik van zogenoemde afwijkingen. Afwijkingen zijn specifieke wettelijk erkende grondslagen voor gegevensdoorgiften (bijv. uitdrukkelijke toestemming 152 , uitvoering van een overeenkomst of gewichtige redenen van algemeen belang) waarop entiteiten zich onder bepaalde voorwaarden en bij afwezigheid van andere doorgifte-instrumenten kunnen beroepen.

Om het gebruik van deze wettelijke grondslagen te verduidelijken, heeft het Comité specifieke richtsnoeren 153 uitgevaardigd en in een aantal gevallen artikel 49 geïnterpreteerd met betrekking tot specifieke doorgiftescenario’s 154 . Vanwege hun uitzonderlijke karakter is het Comité van mening dat afwijkingen restrictief, per geval, moeten worden uitgelegd. Ondanks hun strikte uitleg betreffen deze grondslagen een breed scala aan doorgiftescenario’s. Hieronder vallen met name gegevensdoorgiften door zowel overheidsinstanties als particuliere entiteiten die nodig zijn op grond van gewichtige redenen van algemeen belang, bijvoorbeeld tussen mededingings-, financiële, fiscale of douaneautoriteiten, diensten met bevoegdheid op het gebied van de sociale zekerheid of de volksgezondheid (zoals het opsporen van contacten in het kader van de bestrijding van besmettelijke ziekten of met het oog op de terugdringing en/of uitbanning van doping in de sport) 155 . Een ander gebied is dat van de grensoverschrijdende samenwerking met het oog op wetshandhaving, met name met betrekking tot zware misdaad 156 .

Het Comité heeft verduidelijkt dat, hoewel het relevante algemene belang in de wetgeving van de EU of de lidstaten moet zijn erkend, dit eveneens kan worden vastgesteld op basis van het volgende: “een internationale overeenkomst of een internationaal verdrag waarin een bepaalde doelstelling wordt erkend en wordt voorzien in internationale samenwerking om die doelstelling te bevorderen, kan een indicator vormen bij het beoordelen of er sprake is van een algemeen belang overeenkomstig artikel 49, lid 1, onder d), gesteld dat de EU of de lidstaten partij zijn bij die overeenkomst of dat verdrag” 157 .

Beslissingen van buitenlandse gerechten of autoriteiten: geen grond voor doorgiften

Hoofdstuk V van de AVG bepaalt niet alleen de gronden voor gegevensdoorgiften, maar verduidelijkt in artikel 48 ook dat rechterlijke uitspraken en besluiten van administratieve autoriteiten buiten de EU op zich geen gronden vormen, tenzij ze worden erkend of afdwingbaar zijn op basis van een internationale overeenkomst (zoals een verdrag inzake wederzijdse rechtsbijstand). Iedere verstrekking door een entiteit in de EU op verzoek van het buitenlandse gerecht of de buitenlandse autoriteit op grond van een dergelijke uitspraak of een dergelijk besluit is een internationale gegevensdoorgifte die gebaseerd moet zijn op een van de vermelde doorgifte-instrumenten 158 .

De AVG is geen blokkadestatuut en staat onder bepaalde omstandigheden doorgifte toe in antwoord op een passend wetshandhavingsverzoek van een derde land. Het belangrijke punt is dat op grond van de EU-wetgeving moet worden bepaald of een verzoek passend is en op basis van welke waarborgen dergelijke doorgiften kunnen plaatsvinden.

De waarborging van courtoisie is belangrijk aangezien wetshandhaving – bijvoorbeeld op het gebied van misdaad en met name cybercriminaliteit – in toenemende mate grensoverschrijdend is en derhalve dikwijls tot jurisdictieproblemen leidt en mogelijke wetsconflicten creëert 164 . Het is geen verrassing dat deze problemen het best kunnen worden aangepakt door middel van internationale overeenkomsten die de noodzakelijke beperkingen en waarborgen voor grensoverschrijdende toegang tot persoonsgegevens bieden en daarbij tegelijkertijd een hoog niveau van gegevensbescherming aan de kant van de verzoekende autoriteit waarborgen.

De Commissie voert op dit moment namens de EU multilaterale onderhandelingen over een tweede aanvullend protocol bij het Verdrag van Boedapest van de Raad van Europa inzake cybercriminaliteit, ter uitbreiding van de bestaande regels om grensoverschrijdende toegang te krijgen tot elektronisch bewijsmateriaal in strafrechtelijke onderzoeken en tegelijkertijd ter verzekering van passende gegevensbeschermingswaarborgen als onderdeel van het protocol 165 . Eveneens zijn bilaterale onderhandelingen gestart over een overeenkomst tussen de EU en de Verenigde Staten over grensoverschrijdende toegang tot elektronisch bewijsmateriaal ten behoeve van justitiële samenwerking in strafzaken 166 . De Commissie rekent tijdens deze onderhandelingen op de steun van het Europees Parlement en de Raad en de richtsnoeren van het Comité.

Meer in het algemeen is het van belang ervoor te zorgen dat als bedrijven die actief zijn op de Europese markt op grond van een rechtmatig verzoek wordt verzocht om gegevens te delen voor rechtshandhavingsdoeleinden, zij hieraan gehoor kunnen geven zonder met wetsconflicten te maken te krijgen en met volledige inachtneming van de grondrechten van de EU. Om dergelijke doorgiften te verbeteren, streeft de Commissie ernaar samen met haar internationale partners passende rechtskaders te ontwikkelen om wetsconflicten te voorkomen en doeltreffende vormen van samenwerking te ondersteunen, met name door voor de nodige waarborgen inzake gegevensbescherming te zorgen en zo bij te dragen tot een doeltreffender bestrijding van criminaliteit.

7.3Internationale samenwerking op het gebied van gegevensbescherming

Bevordering van convergentie tussen verschillende privacysystemen houdt ook in dat we van elkaar moeten leren door kennis, ervaring en beste praktijken uit te wisselen. Dergelijke uitwisselingen zijn van essentieel belang om nieuwe uitdagingen, die in toenemende mate mondiaal van aard en omvang zijn, te kunnen aanpakken. Om die reden heeft de Commissie de dialoog die zij met een breed scala aan spelers op allerlei fora op bilateraal, regionaal en multilateraal niveau over gegevensbescherming en gegevensstromen voert, geïntensiveerd.

De bilaterale dimensie

Sinds de vaststelling van de AVG bestaat er toenemende belangstelling in de ervaringen van de EU op het gebied van het opstellen van en onderhandelen over moderne privacyregels en de tenuitvoerlegging ervan. De dialoog met landen die vergelijkbare processen doormaken, heeft diverse vormen aangenomen.

De diensten van de Commissie hebben opmerkingen gemaakt in het kader van een aantal openbare raadplegingen door buitenlandse overheden die overwegen wetgeving op het gebied van privacy in te voeren, bijvoorbeeld de Verenigde Staten 167 , India 168 , Maleisië en Ethiopië. In sommige derde landen mochten de diensten van de Commissie getuigen voor de bevoegde parlementaire organen, bijvoorbeeld in Brazilië 169 , Chili 170 , Ecuador en Tunesië 171 .

Daarnaast vonden in het kader van lopende hervormingen van gegevensbeschermingswetgevingen specifieke bijeenkomsten plaats met regeringsvertegenwoordigers of parlementaire delegaties uit vele regio’s van de wereld, waaronder Georgië, Kenia, Taiwan, Thailand en Marokko. Als onderdeel hiervan werden seminars en studiebezoeken georganiseerd, onder andere met vertegenwoordigers van de Indonesische regering en met een delegatie van stafmedewerkers van het Amerikaanse Congres. Dit bood de mogelijkheid om belangrijke concepten van de AVG te verduidelijken, wederzijds begrip van privacyaangelegenheden te verbeteren en de voordelen van convergentie te benadrukken, waardoor een hoog niveau van bescherming van individuele rechten, handel en samenwerking kan worden gewaarborgd. In sommige gevallen bestond ook de mogelijkheid om te waarschuwen tegen bepaalde misvattingen op het gebied van gegevensbescherming die kunnen leiden tot de invoering van protectionistische maatregelen, zoals gedwongen gegevenslokalisering.

Sinds de vaststelling van de AVG heeft de Commissie eveneens contact gehad met verscheidene internationale organisaties, ook met het oog op het belang van gegevensuitwisseling met die organisaties op een aantal beleidsterreinen. Met name met de Verenigde Naties is een dialoog op gang gebracht om gesprekken met alle betrokken belanghebbenden te faciliteren, die moet zorgen voor soepele gegevensdoorgiften en meer convergentie tussen de betreffende gegevensbeschermingsstelsels. Onderdeel van deze dialoog is dat de Commissie nauw met het Comité zal samenwerken om nader te verduidelijken hoe publieke en private marktdeelnemers in de EU kunnen voldoen aan hun AVG-verplichtingen bij het uitwisselen van gegevens met internationale organisaties zoals de VN.

De Commissie staat klaar om de lessen die zij heeft geleerd van haar hervormingsproces te blijven delen met geïnteresseerde landen en internationale organisaties, net zoals zij van andere systemen heeft geleerd bij de ontwikkeling van haar voorstel voor nieuwe EU-regels voor gegevensbescherming. Deze vorm van dialoog is van wederzijds belang voor de EU en haar partners omdat hierdoor beter begrip kan worden verkregen van het zich snel ontwikkelende privacylandschap en inzichten over nieuwe juridische en technologische oplossingen kunnen worden uitgewisseld.

De multilaterale dimensie

In aanvulling op bilaterale uitwisselingen neemt de Commissie ook actief deel aan een aantal multilaterale fora om gedeelde waarden en convergentie op regionaal en mondiaal niveau te bevorderen.

Het feit dat steeds meer landen over de hele wereld toetreden tot het “Verdrag 108” van de Raad van Europa, het enige wettelijk bindende multilaterale instrument op het gebied van de bescherming van persoonsgegevens, is een ander duidelijk teken van deze tendens van (opwaartse) convergentie 172 . Het verdrag staat ook open voor landen die geen lid zijn van de Raad van Europa en is al geratificeerd door 55 landen, waaronder een aantal Afrikaanse en Latijns-Amerikaanse landen 173 . De Commissie heeft een aanzienlijke bijdrage geleverd aan de positieve uitkomst van de onderhandelingen over de modernisering van het verdrag 174 en heeft ervoor gezorgd dat het dezelfde beginselen eerbiedigt als die welke zijn neergelegd in de EU-regels voor gegevensbescherming. De meeste EU-lidstaten hebben nu het wijzigingsprotocol ondertekend, alhoewel de handtekeningen van Denemarken, Malta en Roemenië nog ontbreken. Slechts vier lidstaten (Bulgarije, Kroatië, Litouwen en Polen) hebben het wijzigingsprotocol tot dusver geratificeerd. De Commissie dringt er bij de drie resterende lidstaten op aan het gemoderniseerde verdrag te ondertekenen en bij alle lidstaten om snel tot ratificatie over te gaan zodat het in de nabije toekomst in werking kan treden 175 . Daarnaast zal de Commissie proactief derde landen blijven aanmoedigen om toe te treden.

Ook in de G20 en G7 zijn gegevensstromen en gegevensbescherming onlangs aan de orde geweest. In 2019 hebben wereldleiders voor het eerst het idee onderschreven dat gegevensbescherming bijdraagt aan het vertrouwen in de digitale economie en gegevensstromen faciliteert. Met actieve ondersteuning van de Commissie 176 onderschreven leiders het concept “Data Free Flow with Trust” (DFFT), dat oorspronkelijk door Japan was voorgesteld in de Verklaring van Osaka van de G20 177 en ook op de G7-top in Biarritz 178 . Deze benadering blijkt ook uit de mededeling van de Commissie uit 2020, Een Europese datastrategie 179 , waarin zij haar voornemen benadrukt om het delen van gegevens tussen betrouwbare partners te blijven bevorderen en misbruik, zoals disproportionele toegang van (buitenlandse) overheidsinstanties tot persoonsgegevens, te bestrijden.

Hierdoor is de EU ook in staat om gebruik te maken van een aantal instrumenten op verscheidene beleidsterreinen waarop in toenemende mate rekening wordt gehouden met het effect op de privacy: het allereerste EU-kader voor de screening van buitenlandse investeringen bijvoorbeeld, dat in oktober 2020 volledig van toepassing wordt, geeft de EU en de lidstaten de mogelijkheid om investeringstransacties te screenen die gevolgen hebben voor de “toegang tot gevoelige informatie, waaronder persoonsgegevens, of de mogelijkheid om zulke informatie te controleren” in het geval zij gevolgen hebben voor de veiligheid of de openbare orde 180 .

De Commissie werkt in verscheidene andere multilaterale fora samen met gelijkgestemde landen om haar waarden en normen actief te bevorderen. Een belangrijk forum is de onlangs door de OESO ingestelde Working Party on Data Governance and Privacy, die een aantal belangrijke initiatieven op het gebied van gegevensbescherming, gegevensdeling en gegevensdoorgifte nastreeft. Hiertoe behoort ook de evaluatie van de OESO-richtsnoeren inzake de bescherming van de privacy van 2013. Bovendien heeft de Commissie actief bijgedragen aan de aanbeveling van de OESO-raad betreffende kunstmatige intelligentie 181 en ervoor gezorgd dat de mensgerichte benadering van de EU, die inhoudt dat KI-toepassingen de grondrechten en met name gegevensbescherming moeten eerbiedigen, in de definitieve tekst naar voren kwam. Het is belangrijk te vermelden dat de KI-aanbeveling – die inmiddels is opgenomen in de KI-beginselen van de G20, gehecht aan de Verklaring van Osaka van de leiders van de G20 182 – de beginselen van transparantie en verklaarbaarheid bepaalt met als doel iedereen die nadelen ondervindt van een KI-systeem in staat te stellen de uitkomst van dat systeem te betwisten op basis van duidelijke en eenvoudig te begrijpen informatie over factoren en logica die als basis dienden voor de voorspelling, aanbeveling of beslissing, en zo nauw aansluit bij de beginselen van de AVG met betrekking tot geautomatiseerde besluitvorming 183 .

De Commissie intensiveert tevens haar dialoog met regionale organisaties en netwerken die een steeds grotere rol spelen bij het opstellen van gemeenschappelijke normen voor gegevensbescherming 184 , het bevorderen van de uitwisseling van beste praktijken en het stimuleren van de samenwerking tussen handhavingsinstanties. Dit betreft met name de Associatie van Zuidoost-Aziatische staten (ASEAN) – tevens in het kader van haar doorlopende werkzaamheden met betrekking tot gegevensdoorgifte-instrumenten –, de Afrikaanse Unie, het Asia Pacific Privacy Authorities forum (APPA) en het Ibero-American Data Protection Network, die op dit gebied belangrijke initiatieven hebben gelanceerd en fora bieden voor een vruchtbare dialoog tussen regelgevende instanties op het gebied van privacy en andere belanghebbenden.

Ten slotte ijvert de Commissie niet alleen voor internationale convergentie van de normen inzake gegevensbescherming om gegevensstromen en derhalve handel te bevorderen, zij is ook vastbesloten om digitaal protectionisme aan te pakken, zoals onlangs is beklemtoond in de datastrategie 190 . Daartoe heeft zij speciaal voor handelsovereenkomsten specifieke bepalingen inzake gegevensstromen en gegevensbescherming ontwikkeld, die zij stelselmatig inbrengt bij haar onderhandelingen, of deze nu bilateraal zijn (zoals de recente onderhandelingen met Australië, Nieuw-Zeeland en het Verenigd Koninkrijk) of multilateraal, zoals de huidige WTO-besprekingen over e-handel. Deze horizontale bepalingen verbieden ongerechtvaardigde beperkingen, zoals vereisten van gedwongen gegevenslokalisering, en verzekeren de regelgevingsautonomie van de partijen, teneinde het grondrecht van gegevensbescherming te vrijwaren.

Hoewel gesprekken over gegevensbescherming en handelsbesprekingen een ander verloop hebben, kunnen ze elkaar aanvullen. Convergentie die is gebaseerd op hoge normen en wordt ondersteund door doeltreffende handhaving, zorgt in feite voor de sterkste basis voor de uitwisseling van persoonsgegevens. Steeds meer internationale partners erkennen dit ook. Aangezien ondernemingen steeds vaker grensoverschrijdend actief zijn en bij voorkeur in de hele wereld soortgelijke regels toepassen, draagt een dergelijke convergentie bij aan een klimaat dat bevorderlijk is voor directe investeringen, waardoor de handel wordt vergemakkelijkt en er meer vertrouwen tussen handelspartners bestaat. Het is dan ook zaak om synergieën tussen instrumenten voor handel en gegevensbescherming nader te onderzoeken met het oog op het waarborgen van vrije en veilige internationale gegevensstromen, die in onze steeds digitalere economie van wezenlijk belang zijn voor de bedrijfsactiviteiten, het concurrentievermogen en de groei van Europese bedrijven, met inbegrip van MKB-ondernemingen.

Bijlage I – Clausules voor facultatieve specificaties door nationale wetgeving

Bijlage II – Overzicht van de middelen van gegevensbeschermingsautoriteiten

In onderstaande tabel wordt een overzicht gegeven van de middelen (medewerkers en budget) van de gegevensbeschermingsautoriteiten per EU/EER-lidstaat 191 .

Bij een vergelijking van de cijfers van de lidstaten is het belangrijk in gedachten te houden dat autoriteiten taken kunnen zijn toegewezen die verdergaan dan de taken uit hoofde van de AVG en dat deze per lidstaat kunnen verschillen. Het aantal medewerkers van de autoriteiten per 1 miljoen inwoners en het budget van de autoriteiten per 1 miljoen EUR bbp zijn alleen in de tabel opgenomen om aanvullend vergelijkingsmateriaal te bieden tussen lidstaten van vergelijkbare grootte, en dienen niet afzonderlijk te worden beschouwd. De absolute cijfers, verhoudingen en ontwikkeling over de afgelopen jaren moeten bij de beoordeling van de middelen van een bepaalde autoriteit in samenhang worden beschouwd.

Bron van de ruwe cijfers: bijdrage van het Comité. Berekeningen van de Commissie. 

(1)    Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (PB L 119 van 4.5.2016, blz. 1).

(2)    Mededeling van de Commissie aan het Europees Parlement en de Raad: Gegevensbescherming als basis voor vertrouwen in de EU en daarbuiten – een inventarisatie – COM(2019) 374 final, 24.7.2019.

(3)    Mededeling van de Commissie aan het Europees Parlement en de Raad: Betere bescherming, nieuwe mogelijkheden – Richtsnoeren Commissie voor de directe toepassing van de algemene verordening gegevensbescherming met ingang van 25 mei 2018 – COM(2018) 43 final.

(4)    Standpunt van de Raad en bevindingen over de toepassing van de algemene verordening gegevensbescherming – 14994/2/19 Rev2, 15.01.2020:     https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/nl/pdf

(5)    Brief van de commissie LIBE van het Europees Parlement van 21 februari 2020 aan commissaris Reynders, ref.: IPOL-COM-LIBE D (2020)6525.

(6)    Bijdrage van het Comité aan de evaluatie van de AVG krachtens artikel 97, vastgesteld op 18 februari 2020: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-under-article-97_nl

(7)     https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_nl

(8)    De deskundigengroep met meerdere belanghebbenden op het gebied van de AVG die de Commissie heeft ingesteld, bestaat uit vertegenwoordigers van het maatschappelijk middenveld en het bedrijfsleven, academici en mensen uit de praktijk:     https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537&Lang=NL    Het verslag van de deskundigengroep met meerdere belanghebbenden is beschikbaar op:     https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=21356&Lang=NL

(9)    Dit feit wordt met name benadrukt in het standpunt van de Raad en bevindingen over de toepassing van de algemene verordening gegevensbescherming en in de bijdrage van het Comité aan de evaluatie.

(10)    De getallen tussen haakjes vertegenwoordigen het aantal EU/EER-gegevensbeschermingsautoriteiten dat tussen mei 2018 en eind november 2019 gebruik heeft gemaakt van de desbetreffende bevoegdheid. Voor de bijdrage van het Comité, zie de bladzijden 32 en 33.

(11)    Verschillende uitspraken waarin geldboeten worden opgelegd, worden nog rechterlijk getoetst.

(12)    Artikel 83, lid 7, AVG.

(13)    Artikel 8, lid 3, van het Handvest; artikel 16, lid 2, VWEU; overweging 20, AVG.

(14)    Zie de verklaring van het Comité over het gegevensbeschermingseffect van economische concentratie, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_economic_concentration_nl.pdf

(15)    Zie zaak COMP M.8124 Microsoft/LinkedIn.

(16)    Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).

(17)    Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1).

(18)    Voor details over de activiteiten van het secretariaat, zie de bijdrage van het Comité, blz. 24-26.

(19)    Naast de tien richtsnoeren die door de Groep gegevensbescherming artikel 29 voorafgaand aan de inwerkingtreding van de AVG door het Comité zijn vastgesteld en bekrachtigd. Bovendien heeft het Comité tussen januari en eind mei 2020 vier extra richtsnoeren vastgesteld en een bestaand richtsnoer bijgewerkt.

(20)    Van deze adviezen werden er 42 vastgesteld krachtens artikel 64 van de AVG, en één werd vastgesteld krachtens artikel 70, lid 1, onder s), van de AVG en betrof het besluit waarbij een beschermingsniveau passend werd verklaard met betrekking tot Japan.

(21)    Voor een volledig overzicht van de activiteiten van het Comité, zie de bijdrage van het Comité, blz. 18-23.

(22)    https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf

(23)    https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032020-processing-data-concerning-health-purpose_nl

(24)    https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_nl.pdf

(25)    Informatiesysteem interne markt (IMI).

(26)    Zie de bijdrage van het Comité, blz. 8.

(27)    De Ierse gegevensbeschermingsautoriteit bijvoorbeeld heeft op 22 mei 2020 in overeenstemming met artikel 60 van de verordening een ontwerpbesluit voorgelegd aan de andere betrokken autoriteiten betreffende een onderzoek naar Twitter International Company in verband met een kennisgeving inzake een gegevensinbreuk. Op dezelfde datum maakte de Ierse gegevensbeschermingsautoriteit eveneens bekend dat zij werkte aan een ontwerpbesluit over WhatsApp Ireland Limited dat zij wilde voorleggen overeenkomstig artikel 60. Dit besluit betreft transparantie, met inbegrip van transparantie ten aanzien van welke informatie met Facebook wordt gedeeld.

(28)    Artikel 61 AVG.

(29)    Zie de bijdrage van het Comité, blz. 12-14.

(30)    Artikel 62 AVG.

(31)    Op basis van artikel 64 AVG.

(32)    Artikel 65 AVG.

(33)    Artikel 66 AVG.

(34)    Krachtens artikel 64, lid 1, AVG.

(35)    Artikel 28, lid 8, AVG.

(36)    Krachtens artikel 64, lid 2, AVG.

(37)    Zie de bijdrage van het Comité, blz. 15.

(38)    Hierop wordt tevens gewezen in het standpunt en de bevindingen van de Raad.

(39)    Zie hieronder bij punt 7.

(40)    In afwachting van de goedkeuring van de e-privacyverordening is nauwe samenwerking met de bevoegde autoriteiten die verantwoordelijk zijn voor de handhaving van de e-privacyrichtlijn in de lidstaten vereist. Overeenkomstig die richtlijn zijn in sommige lidstaten de autoriteiten die verantwoordelijk zijn voor de naleving van artikel 5, lid 3, van de e-privacyrichtlijn (die de voorwaarden bevat waaronder cookies geplaatst en op de eindapparatuur van een gebruiker geopend mogen worden) niet dezelfde als de op de AVG toezichthoudende autoriteiten.

(41)    Artikel 33 AVG.

(42)    Zie de bijdrage van het Comité, blz. 35.

(43)    De werkzaamheden aan de richtsnoeren gingen reeds voordat de AVG op 25 mei 2018 van toepassing is geworden van start in het kader van de Groep gegevensbescherming artikel 29. Voor de volledige lijst met richtsnoeren, zie https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_nl

(44)    Dit is eveneens benadrukt door het Europees Parlement en door de Raad.

(45)    Het Comité is op dit moment bezig richtsnoeren voor verwerkingsverantwoordelijken en verwerkers op te stellen.

(46)    Zie artikel 52, lid 4, AVG.

(47)    De verordening is in mei 2016 in werking getreden en na een overgangsperiode van twee jaar in mei 2018 van toepassing geworden.

(48)    Zie de bijdrage van het Comité, blz. 26-30.

(49)    Er zijn 18 autoriteiten in Duitsland, waarvan 1 federale en 17 regionale (met inbegrip van 2 in Beieren).

(50)    Artikel 60 AVG.

(51)    Artikel 52, lid 4, AVG.

(52)    Artikel 75 AVG.

(53)    Opgemerkt moet worden dat de nationale gegevensbeschermingsautoriteit in Slovenië is opgezet op basis van de huidige nationale gegevensbeschermingswetgeving en toeziet op de toepassing van de AVG in die lidstaat.

(54)    Deze inbreukprocedure betreft de Poolse wet inzake het justitiële stelsel van 20 december 2019, die de onafhankelijkheid van de rechters in het gedrang brengt en, onder meer, de openbaarmaking van de betrokkenheid van rechters bij niet-beroepsmatige activiteiten betreft:    https://ec.europa.eu/commission/presscorner/detail/nl/ip_20_772.

(55)    Zie artikel 8, lid 3, van het Handvest; Artikel 16 VWEU; overweging 20 AVG.

(56)    De vrijstelling van een parlementaire commissie van de toepassing van de AVG is voorwerp van een aanhangige zaak betreffende een prejudiciële beslissing (C-272/19).

(57)    Artikel 85 AVG.

(58)    Het feit dat de term “openstellingsclausule” algemeen wordt gebruikt voor specificatieclausule is misleidend, omdat dit de indruk kan wekken dat de lidstaten bewegingsruimte hebben die verdergaat dan de bepalingen van de verordening.

(59)    Overweging 8 AVG.

(60)    13 jaar voor België, Denemarken, Estland, Finland, Letland, Malta, Portugal en Zweden; 14 jaar voor Oostenrijk, Bulgarije, Cyprus, Spanje, Italië en Litouwen; 15 jaar voor Tsjechië, Griekenland en Frankrijk; 16 jaar voor Duitsland, Hongarije, Kroatië, Ierland, Luxemburg, Nederland, Polen, Roemenië en Slowakije.

(61)    Artikel 9 AVG.

(62)    Artikel 89, lid 2, AVG.

(63)    Zie artikel 9, lid 2, onder i), AVG en overweging 46.

(64)    https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf

(65)    https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:52020XC0417(08)

(66)    https://edpb.europa.eu/news/news/2020/statement-processing-personal-data-context-covid-19-outbreak_nl

(67)    https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_nl

(68)    Bijvoorbeeld omdat deze de tekst van artikel 23, lid 1, AVG gewoonweg woordelijk herhalen.

(69)    Artikel 37, lid 1, AVG.

(70)    Duitsland.

(71)    Gebruikmakend van de specificatieclausule in artikel 37, lid 4, AVG.

(72)    Zie overweging 4 AVG.

(73)    https://ec.europa.eu/commission/presscorner/detail/nl/IP_19_2956

(74)    Bureau van de Europese Unie voor de grondrechten (FRA), 2020: Fundamental Rights Survey 2019. Gegevensbescherming en technologie: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection

(75)    Artikel 80 AVG.

(76)    COM(2018) 184 final – 2018/089 (COD).

(77)    Beide krachtens de artikelen 77 en 80 AVG.

(78)    Zie de bijdrage van het Comité, blz. 31 en 32.

(79)    Artikel 12, lid 2, AVG.

(80)    Artikel 13, lid 1, onder b), en artikel 14, lid 1, onder b), AVG.

(81)    https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:52020DC0066

(82)    Zie het verslag van de deskundigengroep met meerdere belanghebbenden:

(83)    Zie de resultaten van een openbare raadpleging over het recht van kinderen op gegevensbescherming die is uitgevoerd door de Ierse gegevensbeschermingsautoriteit: https://www.dataprotection.ie/sites/default/files/uploads/2019-09/Whose%20Rights%20Are%20They%20Anyway_Trends%20and%20Hightlights%20from%20Stream%201.pdf . Ook de Franse gegevensbeschermingsautoriteit hield in april 2020 een openbare raadpleging: https://www.cnil.fr/fr/la-cnil-lance-une-consultation-publique-sur-les-droits-des-mineurs-dans-lenvironnement-numerique

(84)    Artikel 12, lid 1, AVG.

(85)    Artikel 25 AVG.

(86)    Zie het verslag van de Noorse Forbrukerrådet, Deceived by Design, dat de nadruk legt op “donkere patronen”, standaardinstellingen en andere kenmerken en technieken die door ondernemingen worden toegepast om gebruikers inbreukmakende opties te laten kiezen:     https://www.forbrukerradet.no/undersokelse/no-undersokelsekategori/deceived-by-design/ .    Zie ook het onderzoek dat in december 2019 werd gepubliceerd door de Transatlantic Consumer Dialogue en de Heinrich-Böll-Stiftung Brussels European Union, waarin de praktijken van de drie grote mondiale platforms worden geanalyseerd:     https://eu.boell.org/en/2019/12/11/privacy-eu-and-us-consumer-experiences-across-three-global-platforms

(87)    Verordening (EU) 2018/1807 van het Europees Parlement en de Raad van 14 november 2018 inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie (PB L 303 van 28.11.2018, blz. 59).

(88)    Artikel 24, lid 1, AVG.

(89)    Zie de bijdrage van het Comité, blz. 35.

(90)    Zie de bijdrage van het Comité, blz. 35-45.

(91)    https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/rec-rdat-trai- ag-2017

(92)     https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_nl

(93)    Zie het verslag van de deskundigengroep met meerdere belanghebbenden:

(94)    Zie de bijdrage van de Raad.

(95)    Mededeling van de commissie aan het Europees Parlement en de Raad – Richtsnoeren over de verordening inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie, COM(2019) 250 final.

(96) https://edpb.europa.eu/our-work-tools/our-documents/wytyczne/guidelines-12019-codes-conduct-and-monitoring-bodies-under_nl

(97)    Zie het verslag van de deskundigengroep met meerdere belanghebbenden.

(98)    Zie de maatregelen die zijn aangekondigd in de Europese datastrategie, blz. 30.

(99)    Krachtens artikel 41, lid 3, AVG. Zie de adviezen van het Comité op: https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_nl

(100)     https://ec.europa.eu/info/study-data-protection-certification-mechanisms_nl

(101)     https://edpb.europa.eu/our-work-tools/our-documents/smjernice/guidelines-12018-certification-and-identifying-certification_nl  

(102)     https://edpb.europa.eu/our-work-tools/our-documents/pokyny/guidelines-42018-accreditation-certification-bodies-under_nl Verscheidene toezichthoudende autoriteiten hebben hun accreditatievereisten reeds bij het Comité ingediend, zowel voor de instanties voor het toezicht op gedragscodes als voor de certificeringsorganen. Zie het overzicht op: https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_nl

(103)     https://ec.europa.eu/digital-single-market/en/news/towards-more-secure-and-trusted-cloud-europe

(104)    Artikel 28, lid 7, AVG.

(105)    Zoals in hun bijdragen aan de evaluatie gememoreerd door de Raad, het Europees Parlement en het Comité.

(106)    Belanghebbenden merken echter ook op dat niet alle geautomatiseerde besluitvormingsprocessen in het kader van kunstmatige intelligentie onder artikel 22 AVG vallen.

(107)     https://ec.europa.eu/commission/presscorner/detail/nl/ip_20_962  

(108)    Mededeling van de Commissie aan het Europees Parlement en de Raad “Uitwisseling en bescherming van persoonsgegevens in een geglobaliseerde wereld”, 10.1.2017, (COM(2017) 7 final).

(109)    EDPB, richtsnoeren 2/2018 over het territoriale toepassingsgebied van de AVG, 12.11.2019. In de richtsnoeren wordt ingegaan op de punten die aan de orde zijn gekomen tijdens de openbare raadpleging, bijvoorbeeld de interpretatie van de gerichtheids- en monitoringcriteria.

(110)    Zie het standpunt en de bevindingen van de Raad, punten 34, 35 en 38.

(111)    Zie artikel 27, lid 4, en overweging 80, AVG (“In geval van niet-naleving door de verwerkingsverantwoordelijke of de verwerker dient de aangewezen vertegenwoordiger aan handhavingsprocedures te worden onderworpen”).

(112)    Voorstel voor een richtlijn van het Europees Parlement en de Raad tot vaststelling van geharmoniseerde regels inzake de aanwijzing van wettelijke vertegenwoordigers ten behoeve van de bewijsgaring in strafprocedures (COM/2018/226 final), artikel 3; Voorstel voor een verordening van het Europees Parlement en de Raad ter voorkoming van de verspreiding van terroristische online-inhoud (COM/2018/640 final), artikel 16, leden 2 en 3.

(113)    Volgens één reactie op de openbare raadpleging is een van de belangrijkste punten die moet worden aangepakt “doeltreffende handhaving en daadwerkelijke consequenties voor diegenen die ervoor kiezen deze eis te negeren [...]. Bovendien mag niet worden vergeten dat in de EU gevestigde ondernemingen hierdoor een concurrentienadeel ondervinden ten opzichte van niet-nalevende ondernemingen die buiten de Unie zijn gevestigd maar in de Unie handeldrijven.” Zie EU Business Partners, reactie van 29 april 2020.

(114)    Verscheidene reacties op de openbare raadpleging hebben dit punt te berde gebracht, bijvoorbeeld met betrekking tot de doorgifte van persoonsgegevens naar ontvangers buiten de EU die wel onder de AVG vallen.

(115)    Standpunt en bevindingen van de Raad, punt 17; bijdrage van het Comité, blz. 5 en 6. In verscheidene reacties op de openbare raadpleging, met inbegrip van die van een aantal brancheorganisaties (zoals de French Association of Large Companies, Digital Europe, de Global Data Alliance/BSA, de Computer & Communication Industry Association (CCIA) en de US Chamber of Commerce), is opgeroepen om de werkzaamheden met betrekking tot vaststellingen van adequaatheid uit te breiden, met name met belangrijke handelspartners.

(116)    Arrest van het Hof van Justitie van de Europese Unie van 6 oktober 2015, zaak C-362/14, Maximillian Schrems / Data Protection Commissioner (“Schrems”), punten 73, 74 en 96. Zie ook overweging 104 van de AVG, die verwijst naar de norm “in feite overeenkomend”.

(117)    Zie artikel 45, lid 2, en overweging 104, AVG. Zie ook Schrems, punten 75, 91-91.

(118)    Adequaatheidsreferentie, WP 254 rev. 01, 6 februari 2018 (beschikbaar op: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108 ).

(119)    Bijdrage van het Comité, blz. 5 en 6.

(120)    Uit hoofde van artikel 45, leden 4 en 5, AVG, is de Commissie verplicht om doorlopend toezicht te houden op ontwikkelingen in derde landen en om een vaststelling van adequaatheid regelmatig – ten minste eens in de vier jaar – te evalueren. Deze leden geven de Commissie tevens de bevoegdheid om een adequaatheidsbesluit in te trekken, te wijzigen of te schorsen indien zij van mening is dat het land in kwestie of de betreffende internationale organisatie niet langer een adequaat beschermingsniveau kan waarborgen. Uit hoofde van artikel 97, lid 2, onder a), AVG, is de Commissie bovendien verplicht bij het Europees Parlement en de Raad uiterlijk in 2020 een evaluatieverslag in te dienen. Zie ook het arrest van het Hof van Justitie van de Europese Unie van 6 oktober 2015 in zaak C-362/14, Maximillian Schrems tegen Data Protection Commissioner, punt 76.

(121)    Uitvoeringsverordening (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming. Dit adequaatheidsbesluit is een specifiek geval dat bij ontstentenis van algemene wetgeving inzake gegevensbescherming in de VS steunt op door de deelnemende ondernemingen gedane toezeggingen (die onder de Amerikaanse wetgeving afdwingbaar zijn) om de in deze regeling vervatte gegevensbeschermingsnormen toe te passen. Bovendien bouwt het privacyschild voort op de specifieke verklaringen en verzekeringen die door de Amerikaanse overheid zijn afgelegd dan wel gegeven met betrekking tot toegang om redenen van nationale veiligheid die de vaststelling van adequaatheid onderbouwen.

(122)    Evaluaties vonden plaats in 2017 (Verslag van de Commissie aan het Europees Parlement en de Raad over de eerste jaarlijkse evaluatie van de werking van het EU-VS-privacyschild, COM(2017) 611 final), 2018 (Verslag van de Commissie aan het Europees Parlement en de Raad over de tweede evaluatie van de werking van het EU-VS-privacyschild, COM(2018) 860 final) en 2019 (Verslag van de Commissie aan het Europees Parlement en de Raad over de derde jaarlijkse evaluatie van de werking van het EU-VS-privacyschild, COM(2019) 495 final).

(123)    Deze bestaande adequaatheidsbesluiten betreffen landen die nauw verweven zijn met de Europese Unie en haar lidstaten (Zwitserland, Andorra, Faeröer, Guernsey, Jersey, Man), belangrijke handelspartners zijn (bijv. Argentinië, Canada, Israël) en landen die een pioniersrol hebben vervuld bij de ontwikkeling van wetgeving inzake gegevensbescherming in hun regio (Nieuw-Zeeland, Uruguay).

(124)    Zaak C-311/18, Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems (“Schrems II”), die betrekking heeft op een verzoek om een prejudiciële beslissing over de zogeheten standaardcontractbepalingen. Sommige onderdelen van de adequaatheidsnorm zouden echter ook door het Hof nader kunnen worden verduidelijkt. De hoorzitting in deze zaak vond plaats op 9 juli 2019 en het arrest van het Hof is aangekondigd voor 16 juli 2020.

(125)    Zie bovenstaande voetnoot 109. De Commissie heeft verklaard dat de volgende criteria in aanmerking zullen worden genomen bij de beoordeling met welke derde landen overleg over adequaatheid zou moeten worden nagestreefd: i) de mate waarin de EU (feitelijke of potentiële) commerciële betrekkingen onderhoudt met het derde land, met inbegrip van het bestaan van een vrijhandelsovereenkomst of onderhandelingen die daarover op dit moment worden gevoerd; ii) de omvang van het verkeer van persoonsgegevens vanuit de EU, waaruit het bestaan van geografische en/of culturele banden blijkt; iii) de pioniersrol van het land op het gebied van privacy en gegevensbescherming, die als voorbeeld zou kunnen dienen voor andere landen in die regio; en iv) de algehele politieke relatie met het land, met name ten aanzien van de bevordering van gemeenschappelijke waarden en doelstellingen op internationaal niveau.

(126)    Resolutie van het Europees Parlement van 13 december 2018 over de gepastheid van de door Japan geboden bescherming van persoonsgegevens (2018/2979 (RSP)), punt 27; Bijdrage van het Comité, blz. 5 en 6.

(127)    Zie bv. resolutie van het Europees Parlement van 12 december 2017, Naar een digitale handelsstrategie (2017/2065(INI)), punten 8 en 9; Standpunt van de Raad en bevindingen over de toepassing van de algemene verordening gegevensbescherming (AVG), 19.12.2019 (14994/1/19), punt 17; Bijdrage van het Comité, blz. 5.

(128)    Zoals ook door de Raad gevraagd, zie standpunt van de Raad en bevindingen over de toepassing van de algemene verordening gegevensbescherming (AVG), 19.12.2019 (14994/1/19), punten 17 en 40. Dit vereist echter dat aan de voorwaarden voor een vaststelling van adequaatheid over gegevensdoorgiften naar overheidsinstanties moet worden voldaan, ook die met betrekking tot onafhankelijk toezicht.

(129)    Zie de onderhandelingsrichtsnoeren, gehecht aan het Besluit van de Raad houdende machtiging tot het openen van onderhandelingen met het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland over een nieuwe partnerschapovereenkomst (ST 5870/20 ADD 1 REV 3), punten 13 en 118.

(130) Zie de herziene tekst van de politieke verklaring tot vaststelling van het kader voor de toekomstige betrekkingen tussen de Europese Unie en het Verenigd Koninkrijk zoals overeengekomen op het niveau van de onderhandelaars op 17 oktober 2019, punten 8-10 (beschikbaar op https://ec.europa.eu/commission/sites/beta-political/files/revised_political_declaration.pdf ).

(131)    Bijvoorbeeld door Argentinië, Colombia, Israël, Zwitserland en Uruguay.

(132)    Voor standaardcontractbepalingen betreffende internationale doorgiften is altijd goedkeuring van de Commissie vereist, maar ze kunnen worden opgesteld door de Commissie zelf of door een nationale gegevensbeschermingsautoriteit. Alle bestaande standaardcontractbepalingen horen bij de eerste categorie.

(133)    Volgens het IAPP-EY Annual Privacy Governance Report 2019 zijn standaardcontractbepalingen elk jaar opnieuw met voorsprong het populairste (doorgifte)hulpmiddel: van de respondenten op de enquête van dit jaar gaf 88 % aan dat standaardcontractbepalingen hun geprefereerde methode voor extraterritoriale gegevensdoorgiften zijn, gevolgd door naleving van de EU-VS-privacyschildregeling (60 %). Van de respondenten die gegevens vanuit de EU naar het Verenigd Koninkrijk doorgeven (52 %), meldde 91 % dat ze van plan waren na de Brexit standaardcontractbepalingen te gebruiken voor naleving van de doorgiftevereisten.

(134)    Er bestaan op dit moment drie reeksen standaardcontractbepalingen die door de Commissie zijn vastgesteld voor de doorgifte van persoonsgegevens naar derde landen: twee voor doorgiften van een EER-verwerkingsverantwoordelijke naar een niet-EER-verwerkingsverantwoordelijke en één voor doorgiften van een EER- verwerkingsverantwoordelijke naar een niet-EER-verwerker. Deze zijn naar aanleiding van het arrest van het Hof van Justitie in de zaak-Schrems I (C-362/14) in 2016 gewijzigd, waarbij alle beperkingen ten aanzien van de bevoegde toezichthoudende autoriteiten om hun bevoegdheden uit te oefenen bij het toezicht op gegevensdoorgiften zijn opgeheven. Zie https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_nl  

(135)    Zie de bijdrage van het Comité, blz. 6 en 7. Ook heeft de Raad de Commissie verzocht om “[de standaardcontractbepalingen] in de nabije toekomst te evalueren en herzien, en daarbij de behoeften van verwerkingsverantwoordelijken en verwerkers in aanmerking te nemen”. Zie het standpunt en de bevindingen van de Raad.

(136)    Verscheidene reacties op de openbare raadpleging betroffen dit laatste scenario, waarbij dikwijls de zorg werd geuit dat door de verplichting voor EU-verwerkers om te zorgen voor passende waarborgen in hun relaties met niet-EU-verwerkers, eerstgenoemden een concurrentienadeel zouden ondervinden ten opzichte van buitenlandse verwerkers die soortgelijke diensten aanbieden.

(137)    Zie de zaak-Schrems II.

(138)    In overeenstemming met artikel 46, lid 2, onder c), AVG, moeten standaardcontractbepalingen worden vastgesteld volgens de onderzoeksprocedure van artikel 5 van Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13). Dit houdt met name in dat een positief besluit moet worden genomen door een comité met vertegenwoordigers van de lidstaten.

(139)    Dit omvat bijvoorbeeld de werkzaamheden die op dit moment worden uitgevoerd door de ASEAN-lidstaten om standaardcontractbepalingen voor ASEAN te ontwikkelen. Zie ASEAN, Key Approaches for ASEAN Cross Border Data Flows Mechanism (beschikbaar op: https://asean.org/storage/2012/05/Key-Approaches-for-ASEAN-Cross-Border-Data-Flows-Mechanism.pdf ).

(140)    Voor een overzicht van de adviezen van het Comité die tot dusver zijn uitgebracht, zie https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_nl

(141)     https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109  

(142)     https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110

(143)    Deze documenten werden vastgesteld (door de voormalige Groep gegevensbescherming artikel 29) na de inwerkingtreding van de AVG, maar voor het einde van de overgangsperiode. Zie WP263 ( https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623056 ); WP264 ( https://edpb.europa.eu/sites/edpb/files/files/file2/wp264_art29_wp_bcr-c_application_form.pdf ); WP265 ( https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623848 ).

(144)    Bijdrage van het Comité, blz. 7.

(145) De lijst met specifieke vereisten van deze ISO-norm is beschikbaar op: https://www.iso.org/standard/71670.html

(146)    EDPB, advies 4/2019 betreffende het ontwerp van de administratieve regeling voor de doorgifte van persoonsgegevens tussen financiële toezichthouders binnen en buiten de Europese Economische Ruimte, 12.2.2019.

(147)    EDPB, richtsnoeren 2/2020 betreffende artikel 46, lid 2, onder a), en lid 3, onder b), van Verordening 2016/679 inzake doorgifte van persoonsgegevens tussen overheidsinstanties en overheidsorganen binnen en buiten de EER (ontwerprichtsnoeren beschikbaar op: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-22020-articles-46-2-and-46-3-b_nl ). Volgens het Comité baseert de bevoegde toezichthoudende autoriteit haar onderzoek op de algemene aanbevelingen in deze richtsnoeren, maar kan zij naargelang de specifieke zaak om meer waarborgen vragen. Het Comité heeft deze ontwerprichtsnoeren ingediend voor een openbare raadpleging die op 18 mei 2020 is afgesloten.

(148)    Standpunt en bevindingen van de Raad, punt 20.

(149)    Tegelijkertijd verduidelijkt het Comité dat het overheidsinstanties vrij blijft staan om andere relevante instrumenten te gebruiken die passende waarborgen kunnen bieden in overeenstemming met artikel 46 AVG. Wat betreft de keuze van instrument onderstreept het Comité dat nauwkeurig afgewogen dient te worden of men al dan niet gebruikmaakt van een juridisch niet-bindende administratieve regeling om waarborgen te bieden in de publieke sector, gezien het doel van de verwerking en de aard van de betroffen gegevens. Als de nationale wetgeving van een derde land niet voorziet in gegevensbeschermingsrechten en beroep in rechte voor EER-burgers, dient bij voorkeur een juridisch bindende overeenkomst te worden gesloten. Ongeacht het type instrument dat wordt benut, dienen de getroffen maatregelen afdoende te zijn om adequate tenuitvoerlegging en handhaving en adequaat toezicht te garanderen (punt 67).

(150)    Dit kan onder andere inhouden dat interne controles (met de toezegging om de andere partij op de hoogte te stellen van elk geval van niet-naleving) worden gecombineerd met onafhankelijk toezicht door middel van externe of ten minste functioneel autonome mechanismen, maar ook dat de doorgevende overheidsinstantie de mogelijkheid heeft om de doorgifte op te schorten of te beëindigen.

(151)    Dit kan onder andere quasi-juridische bindende mechanismen inhouden (bijv. arbitrage) of alternatieve mechanismen voor geschillenbeslechting, in combinatie met de mogelijkheid voor de doorgevende overheidsinstantie om de doorgifte van persoonsgegevens op te schorten of te beëindigen als de partijen er niet in slagen een geschil minnelijk te schikken, plus de toezegging van de ontvangende overheidsinstantie om de persoonsgegevens terug te geven of te wissen. Wanneer in het geval van bindende en afdwingbare instrumenten gekozen wordt voor alternatieve mechanismen van beroep in rechte omdat de mogelijkheid ontbreekt om een doeltreffende voorziening in rechte te garanderen, adviseert het Comité om voordat deze instrumenten worden overeengekomen advies in te winnen van de bevoegde toezichthoudende autoriteit.

(152)    Dit is een wijziging ten opzichte van Richtlijn 95/46, uit hoofde waarvan slechts “ondubbelzinnige” toestemming was vereist. Daarnaast zijn de algemene vereisten voor toestemming uit hoofde van artikel 4, lid 11, AVG, van toepassing.

(153)    EDPB, Richtsnoeren 2/2018 inzake afwijkingen op grond van artikel 49 van Verordening 2016/679, 25.5.2018 (beschikbaar op: https://edpb.europa.eu/our-work-tools/our-documents/smjernice/guidelines-22018-derogations-article-49-under-regulation_nl ).

(154)    Hiertoe behoren bijvoorbeeld internationale doorgiften van gezondheidsgegevens voor onderzoeksdoeleinden in het kader van de COVID-19-uitbraak. Zie EDPB, Richtsnoeren 3/2020 inzake de verwerking van gezondheidsgegevens voor wetenschappelijk onderzoek in het kader van de COVID-19-uitbraak, 21.4.2020 (beschikbaar op:    
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_nl.pdf ).

(155)    Zie overweging 112.

(156)    Zie Petitum van de Europese Commissie namens de Europese Unie als Amicus Curiae ter ondersteuning van geen van beide partijen in de zaak VS/Microsoft, blz. 15: “In principe erkent de wetgeving van zowel de Unie als de lidstaten het belang van de strijd tegen zware misdaad – en dientengevolge van wetshandhaving en internationale samenwerking in dat opzicht – als een doelstelling van algemeen belang. […] Artikel 83 van het VWEU wijst op diverse vormen van bijzonder zware criminaliteit met een grensoverschrijdende dimensie, zoals illegale drugshandel.” (beschikbaar op: https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf ).

(157)    EDPB, richtsnoeren inzake afwijkingen (bovenstaande voetnoot 153), blz. 10. Het Comité verduidelijkte bovendien dat, hoewel gegevensdoorgiften op basis van de afwijking op grond van algemeen belang niet “op grote schaal” of “systematisch” hoeven zijn, maar “beperkt moeten blijven tot specifieke situaties en […] moeten voldoen aan de toets van strikte noodzakelijkheid”, er geen verplichting bestaat dat gegevensdoorgiften “incidenteel” zijn.

(158)    Dit blijkt duidelijk uit de formulering van artikel 48 AVG (“onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk”) en de bijbehorende overweging 115 (“Doorgiften mogen alleen kunnen plaatsvinden wanneer is voldaan aan de voorwaarden die in deze verordening worden gesteld aan doorgifte aan derde landen. Dit kan onder meer het geval zijn wanneer openbaarmaking nodig is voor een algemeen belang dat erkend is in het Unierecht of het lidstatelijke recht waarvan de verwerkingsverantwoordelijke onderdaan is”). Dit wordt eveneens erkend door het Comité, zie richtsnoeren inzake afwijkingen (bovenstaande voetnoot 153), blz. 5. Net als bij alle verwerkingen moet tevens worden voldaan aan de overige waarborgen uit hoofde van de verordening (bijv. dat gegevens worden doorgegeven voor een specifiek doel, ter zake dienend zijn, beperkt zijn tot wat noodzakelijk is voor de doeleinden van het verzoek enz.).

(159)    Microsoft-verklaring (bovenstaande voetnoot 156). Zoals de Commissie heeft aangevoerd, zijn ten gevolge van de AVG verdragen inzake wederzijdse rechtsbijstand de voorkeursoptie voor doorgiften, omdat dergelijke verdragen in bewijsverzameling door middel van instemming voorzien en een zorgvuldig onderhandelde balans vertegenwoordigen tussen de belangen van de verschillende staten, met als doel om jurisdictiegeschillen die anders zouden kunnen ontstaan te verminderen. Zie ook EDPB, richtsnoeren inzake afwijkingen (bovenstaande voetnoot 153), blz. 5 (“In situaties waarin een internationale overeenkomst bestaat, zoals een verdrag inzake wederzijdse rechtshulp, zouden bedrijven in de EU over het algemeen rechtstreekse aanvragen moeten weigeren en de verzoekende autoriteit van het derde land moeten verwijzen naar het bestaande verdrag inzake wederzijdse rechtshulp of een bestaande overeenkomst”).

(160)    Microsoft-verklaring (bovenstaande voetnoot 156), blz. 4.

(161)    Microsoft-verklaring (bovenstaande voetnoot 156), blz. 6.

(162)    Europese Commissie, Voorstel voor een verordening van het Europees Parlement en de Raad betreffende het Europees bevel tot verstrekking en het Europees bevel tot bewaring van elektronisch bewijsmateriaal in strafzaken, 17.4.2018 (COM(2018) 225 final). Op 7 december 2018 stelde de Raad een algemene oriëntatie vast voor de voorgestelde verordening (beschikbaar op: https://www.consilium.europa.eu/en/press/press-releases/2018/12/07/regulation-on-cross-border-access-to-eevidence-council-agrees-its-position/# ). Zie ook EDPS, Advies 7/19 inzake voorstellen betreffende het Europees bevel tot verstrekking en het Europees bevel tot bewaring van elektronisch bewijsmateriaal in strafzaken (beschikbaar op: https://edps.europa.eu/data-protection/ourwork/publications/opinions/electronic-evidence-criminal-matters_en ).

(163)    Bladzijde 21 van de toelichting maakt duidelijk dat niet alleen moet worden gezorgd voor courtoisie met betrekking tot de soevereine belangen van derde landen, bescherming van de betrokken persoon en vermijding van wetsconflicten voor dienstverleners, maar dat wederkerigheid een belangrijke motivatie achter de courtoisieclausule is, dat wil zeggen zorgen dat EU-regels in acht worden genomen, met inbegrip van die met betrekking tot de bescherming van persoonsgegevens (artikel 48 AVG). Zie ook de verklaring van Groep gegevensbescherming artikel 29 van 29 november 2017, Gegevensbeschermings- en privacyaspecten van grensoverschrijdende toegang tot elektronisch bewijsmateriaal (WP29-verklaring) (beschikbaar op: file:///C:/Users/ralfs/AppData/Local/Packages/Microsoft.MicrosoftEdge_8wekyb3d8bbwe/TempState/Downloads/20171207_e-Evidence_Statement_FINALpdf%20(1).pdf ), blz. 9.

(164)    Zie WP29-verklaring (bovenstaande voetnoot 163), blz. 6.

(165)    Zie Aanbeveling voor een besluit van de Raad houdende machtiging tot het deelnemen aan onderhandelingen over een tweede aanvullend protocol bij het Verdrag van de Raad van Europa inzake cybercriminaliteit (CETS nr. 185), 5.2.2019 (COM(2019) 71 final). Zie ook EDPS, Advies 3/2019 over deelname aan de onderhandelingen inzake een tweede aanvullend protocol bij het Verdrag van Boedapest inzake cybercriminaliteit, 2.4.2019 (beschikbaar op: https://edps.europa.eu/sites/edp/files/publication/19-04-02_edps_opinion_budapest_convention_en.pdf ); EDPB, Bijdrage aan de raadpleging over een tweede aanvullend protocol bij het Verdrag van Boedapest van de Raad van Europa inzake cybercriminaliteit, 13.11.2019 (beschikbaar op: https://edpb.europa.eu/sites/edpb/files/files/file1/edpbcontributionbudapestconvention_en.pdf ).

(166)    Zie Aanbeveling voor een besluit van de Raad houdende machtiging tot het openen van onderhandelingen met het oog op een overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika over grensoverschrijdende toegang tot elektronisch bewijsmateriaal voor justitiële samenwerking in strafzaken, 5.2.2019 (COM(2019) 70 final). Zie ook EDPS, Advies 2/2019 over het onderhandelingsmandaat van een overeenkomst tussen de EU en de VS over grensoverschrijdende toegang tot elektronisch bewijsmateriaal (beschikbaar op: https://edps.europa.eu/sites/edp/files/publication/19-04-02_edps_opinion_on_eu_us_agreement_on_e-evidence_en.pdf ).

(167)    Zie de opmerking van DG Justitie en Consumentenzaken van 9 november 2018 in antwoord op een verzoek om opmerkingen van het publiek over een voorgestelde benadering van de privacy van consumenten [rolnr. 180821780-8780-01] door de US National Telecommunications and Information Administration (beschikbaar op: https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf )

(168)    Zie de opmerking van DG Justitie en Consumentenzaken van 19 november 2018 aan het Indiase ministerie van Elektronica en Informatietechnologie over het Indiase wetsontwerp van 2018 inzake de bescherming van persoonsgegevens (beschikbaar op: https://eeas.europa.eu/delegations/india/53963/submission-draft-personal-data-protection-bill-india-2018-directorate-general-justice_en).

(169)    Zie de plenaire vergadering van 17 april 2018 van de Braziliaanse Senaat (https://www25.senado.leg.br/web/atividade/sessao-plenaria/-/pauta/23384), de vergadering van de gemengde commissie van het Braziliaanse Congres over MP 869/2018 van 10 april 2019 ( https://www12.senado.leg.br/ecidadania/visualizacaoaudiencia?id=15392 ), en de vergadering van de bijzondere commissie van het Braziliaanse Huis van Afgevaardigden van 26 november 2019 (https://www.camara.leg.br/noticias/616579-comissao-discutira-protecao-de-dados-no-ambito-das-constituicoes-de-outros-paises/).

(170)    Zie de vergaderingen van 29 mei 2018    
( https://senado.cl/appsenado/index.php?mo=comisiones&ac=asistencia_sesion&idcomision=186&idsesion=12513&idpunto=15909&sesion=29/05/2018&listado=1 ), 24 april 2019 (https://www.senado.cl/appsenado/index.php?mo=comisiones&ac=sesiones_celebradas&idcomision=186&tipo=3&legi=485&ano=2019&desde=0&hasta=0&idsesion=13603&idpunto=17283&listado=2) en van de commissie constitutionele, wetgevende en justitiële zaken van de Chileense Senaat.

(171)    Zie de vergadering op 2 november 2018 van de commissie rechten, vrijheden en externe relaties van de Tunesische Vergadering van Volksvertegenwoordigers    
( https://www.facebook.com/1515094915436499/posts/2264094487203201/ ).

(172)    Het is belangrijk om te vermelden dat het gemoderniseerde verdrag niet louter krachtige waarborgen voor gegevensbescherming bevat, maar ook een netwerk van toezichthoudende autoriteiten creëert met instrumenten om samen te kunnen werken aan handhaving, en tevens, samen met het Comité van Verdrag 108, een forum voor discussies, uitwisseling van beste praktijken en ontwikkeling van internationale normen.

(173)    De volledige ledenlijst: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures . De deelnemende landen in Afrika zijn Kaapverdië, Mauritius, Marokko, Senegal en Tunesië, en Argentinië, Mexico en Uruguay in Latijns-Amerika. Burkina Faso is uitgenodigd om tot het verdrag toe te treden.

(174)    De tekst van het gemoderniseerde verdrag:    
https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65bf .

(175)    Krachtens zijn besluit inzake het wijzigingsprotocol van 18 mei 2018 heeft het Comité van Ministers de lidstaten en andere partijen bij het verdrag aangespoord om onverwijld de maatregelen te nemen die nodig zijn om het protocol binnen drie jaar nadat het is opengesteld voor ondertekening in werking te laten treden en om onmiddellijk, maar in ieder geval niet later dan een jaar na de datum waarop het protocol is opengesteld voor ondertekening, het proces in gang te zetten dat zal leiden tot ratificatie uit hoofde van nationale wetgeving. Het Comité heeft daarnaast zijn gedelegeerden opgedragen om tweejaarlijks te onderzoeken, voor het eerst een jaar nadat het protocol is opengesteld voor ondertekening, welke algehele voortgang er is geboekt in de richting van ratificatie op basis van de informatie die uiterlijk een maand voorafgaand aan een dergelijk onderzoek door alle lidstaten en andere partijen bij het verdrag aan de secretaris-generaal moet worden verstrekt. Zie https://search.coe.int/cm/pages/result_details.aspx?objectid=09000016808a3c9f

(176)    In de marge van de top EU-Japan in april 2019 sprak Raadsvoorzitter Juncker steun uit voor het Japanse initiatief Data Free Flow with Trust en de lancering van de “Osaka Track”, en zegde hij toe dat de Commissie “een actieve rol zou spelen in beide initiatieven”.

(177)    Zie de Verklaring van Osaka van de leiders van de G20: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf  

(178)    Zie de tekst van de Biarritz-strategie van de G7 betreffende een open, vrije en veilige digitale transformatie: https://www.elysee.fr/admin/upload/default/0001/05/62a9221e66987d4e0d6ffcb058f3d2c649fc6d9d.pdf

(179)    Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s, Een Europese datastrategie, 19.2.2020 (COM(2020) 66 final) https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:52020DC0066 ), blz.23-24.

(180)    Artikel 4, lid 1, onder d), van Verordening (EU) 2019/452 van het Europees Parlement en de Raad van 19 maart 2019 tot vaststelling van een kader voor de screening van buitenlandse directe investeringen in de Unie (PB L 79I van 21.3.2019).

(181)     https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449

(182)    Ministeriële verklaring van de G20 betreffende handel en digitale economie: https://g20trade-digital.go.jp/dl/Ministerial_Statement_on_Trade_and_Digital_Economy.pdf  

(183)    Zie artikel 13, lid 2, onder f), artikel 14, lid 2, onder g), en artikel 22, AVG.

(184)    Zie bijvoorbeeld de Convention on Cyber Security and Personal Data Protection (Verdrag van Malabo) van de Afrikaanse Unie en de Standards for Data Protection for the Ibero-American States, ontwikkeld door het Ibero-American Data Protection Network.

(185) Verdrag van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=DW5jevqD  

(186) Verdrag van de Afrikaanse Unie inzake cyberbeveiliging en bescherming van persoonsgegevens https://au.int/en/treaties/african-union-convention-cyber-security-and-personal-data-protection . Daarnaast hebben verscheidene regionale economische gemeenschappen regels voor gegevensbescherming ontwikkeld, onder andere de Economische Gemeenschap van West-Afrikaanse Staten (ECOWAS) en de Ontwikkelingsgemeenschap van Zuidelijk Afrika (SADC). Zie respectievelijk http://www.tit.comm.ecowas.int/wp-content/uploads/2015/11/SIGNED-Data-Protection-Act.pdf en http://www.itu.int/ITU-D/projects/ITU_EC_ACP/hipssa/docs/SA4docs/data%20protection.pdf

(187)    Onder meer door middel van het Policy and Regulation Initiative for Digital Africa (PRIDA), zie informatie op: https://www.africa-eu-partnership.org/en/projects/policy-and-regulation-initiative-digital-africa-prida

(188)    Zie de gezamenlijke mededeling van de Europese Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid, Naar een brede strategie met Afrika (beschikbaar op: https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:52020JC0004&from=NL ); EU-AU-taskforce inzake de digitale economie, het nieuwe partnerschap tussen de EU en Afrika op het gebied van de digitale economie: de doelstellingen voor duurzame ontwikkeling sneller bereiken (beschikbaar op: https://www.africa-eu-partnership.org/sites/default/files/documents/finaldetfreportpdf.pdf ).

(189)     https://ec.europa.eu/transparency/regdoc/rep/1/2020/NL/COM-2020-66-F1-NL-MAIN-PART-1.PDF , blz. 23.

(190)    Met uitzondering van Liechtenstein.