Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 52018DC0043

MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD Betere bescherming, nieuwe mogelijkheden - Richtsnoeren Commissie voor de directe toepassing van de algemene verordening gegevensbeschermnig met ingang van 25 mei 2018

COM/2018/043 final

Brussel, 24.1.2018

COM(2018) 43 final

MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD

Betere bescherming, nieuwe mogelijkheden - Richtsnoeren Commissie voor de directe toepassing van de algemene verordening gegevensbeschermnig met ingang van 25 mei 2018


Mededeling van de Commissie aan het Europees Parlement en de Raad

Betere bescherming, nieuwe mogelijkheden - Richtsnoeren Commissie voor de directe toepassing van de algemene verordening gegevensbescherming met ingang van 25 mei 2018

Inleiding

Op 6 april 2016 bereikte de EU overeenstemming over een belangrijke hervorming van haar kader voor gegevensbescherming met de vaststelling van het hervormingspakket gegevensbescherming. Dit pakket omvat de algemene verordening gegevensbescherming 1 , die de twintig jaar oude Richtlijn 95/46/EG vervangt 2 (hierna “richtlijn gegevensbescherming” genoemd) en de Richtlijn politie 3 . Op 25 mei 2018 zal de het nieuwe EU-instrument voor gegevensbescherming, de algemene verordening gegevensbescherming (hierna “de verordening” genoemd) rechtstreeks van toepassing worden, twee jaar na de vaststelling en de inwerkintreding ervan 4 .

De nieuwe verordening versterkt de bescherming van het recht van natuurlijke personen op bescherming van persoonsgegevens en brengt tot uitdrukking dat gegevensbescherming voor de Europese Unie een grondrecht is 5 .

De verordening voorziet in een reeks regels die rechtstreeks van toepassing zijn in de rechtsorden van de lidstaten. Daarmee waarborgt zij het vrije verkeer van persoonsgegevens tussen de lidstaten van de EU en versterkt zij het vertrouwen en de veiligheid van de consument, twee onmisbare elementen voor een echte digitale eengemaakte markt. Daardoor zal de verordening ondernemingen, vooral de kleinere, nieuwe kansen bieden, onder meer door het invoeren van duidelijkere regels voor de internationale doorgifte van gegevens.

Hoewel het nieuwe kader voor gegevensbescherming voortbouwt op de bestaande wetgeving, zal het verstrekkende gevolgen hebben en in bepaalde opzichten belangrijke aanpassingen vergen. Daarom voorzag de verordening in een overgangsperiode van 2 jaar – tot 25 mei 2018 – zodat de lidstaten en belanghebbenden de tijd hebben om zich volledig op het nieuwe rechtskader voor te bereiden.

De afgelopen twee jaar hebben alle belanghebbenden, van nationale overheden en nationale gegevensbeschermingsautoriteiten tot verwerkingsverantwoordelijken en verwerkers, deelgenomen aan een aantal activiteiten om ervoor te zorgen dat men goed doordrongen is van het belang en de omvang van de veranderingen als gevolg van de nieuwe gegevensbescherming en dat alle actoren klaar zijn voor toepassing ervan. Nu de deadline van 25 mei nadert, moet volgens de Commissie de balans van deze werkzaamheden worden opgemaakt en worden gekeken welke stappen in de toekomst nuttig zouden kunnen zijn om ervoor te zorgen dat alle voorwaarden voor een succesvolle inwerkingtreding van het nieuwe kader zijn vervuld 6 .

Deze mededeling:

·geeft een korte samenvatting van de belangrijkste vernieuwingen en kansen die de nieuwe EU-wetgeving inzake gegevensbescherming biedt;

·maakt de balans op van de voorbereidende werkzaamheden die tot dusver op EU-niveau zijn verricht;

·schetst wat de Europese Commissie, de nationale gegevensbeschermingsautoriteiten en de nationale overheden nog zouden moeten doen om de voorbereiding tot een succesvol einde te brengen;

·vermeldt de maatregelen die de Commissie van plan is de komende maanden te nemen.

Parallel aan de vaststelling van deze mededeling komt de Commissie bovendien met een online instrumentarium waarmee belanghebbenden zich kunnen voorbereiden op de toepassing van de verordening en een voorlichtingscampagne die met de steun van de vertegenwoordigingen in alle lidstaten zal worden uitgevoerd.

1.HET NIEUWE EU-KADER VOOR GEGEVENSBESCHERMING – BETERE BESCHERMING en NIEUWE MOGELIJKHEDEN

De verordening volgt het pad dat is ingeslagen met de richtlijn gegevensbescherming, maar verduidelijkt en moderniseert, voortbouwend op 20 jaar EU-wetgeving inzake gegevensbescherming en relevante jurisprudentie, de regels inzake gegevensbescherming; zij introduceert een reeks nieuwe elementen die de bescherming van individuele rechten versterken en kansen bieden voor ondernemingen, met name:

·Een geharmoniseerd rechtskader met het oog op een uniforme toepassing van regels ten voordele van de digitale interne markt van de EU. Dit houdt in dat er één stel regels voor burgers en ondernemingen is. Daarmee wordt de huidige situatie rechtgezet waarin de regels van de richtlijn door de EU-lidstaten verschillend worden uitgevoerd. Om voor een uniforme en consistente toepassing in alle lidstaten te zorgen, is een éénloketsysteem ingevoerd.

·Een gelijk speelveld voor alle bedrijven die actief zijn op de EU-markt. De verordening vereist dat buiten de EU gevestigde bedrijven dezelfde regels hanteren als ondernemingen in de EU wanneer zij goederen en diensten aanbieden met betrekking tot persoonsgegevens of het gedrag van natuurlijke personen in de Unie in de gaten houden. Ondernemingen die niet vanuit de EU opereren en actief zijn op de eengemaakte markt moeten, in bepaalde omstandigheden, een vertegenwoordiger in de EU aanwijzen zodat deze naast of in plaats van de in het buitenland gevestigde onderneming door burgers en autoriteiten kan worden aangesproken.

·De beginselen van gegevensbescherming door ontwerp en door standaardinstellingen die het vinden van innovatieve oplossingen stimuleren waarmee problemen op het gebied van gegevensbescherming in de kiem kunnen worden aangepakt.

·Meer rechten voor natuurlijke personen: de verordening introduceert nieuwe transparantievereisten; een versterkt recht op informatie, toegang en wissing van gegevens (“recht op vergetelheid”, ook wel bekend als “het recht om te worden vergeten”); stilzwijgen of inactiviteit zullen niet langer als geldige toestemming worden beschouwd aangezien een ondubbelzinnige actieve handeling is vereist waaruit de toestemming blijkt; bescherming van kinderen op het internet.

·Meer controle over persoonsgegevens voor natuurlijke personen. De verordening vestigt een nieuw recht op overdraagbaarheid van gegevens, op grond waarvan burgers een onderneming of organisatie kunnen verzoeken om teruggave van persoonsgegevens die zij die onderneming of organisatie na het geven van toestemming of voor een overeenkomst hebben verstrekt; op grond van de verordening zal het ook mogelijk zijn om dergelijke persoonsgegevens rechtstreeks aan een andere onderneming of organisatie door te geven, wanneer dat technisch mogelijk is. Aangezien de verordening het mogelijk maakt persoonsgegevens rechtstreeks van de ene onderneming of organisatie aan een andere door te geven, zal dit recht ook het vrije verkeer van persoonsgegevens in de EU bevorderen, “lock-in” van persoonsgegevens voorkomen en de mededinging tussen ondernemingen aanmoedigen. Wanneer het voor burgers gemakkelijker wordt om van dienstverlener te wisselen, zal dat de ontwikkeling bevorderen van nieuwe diensten in het kader van de strategie voor de digitale eengemaakte markt.

·Betere bescherming tegen inbreuken in verband met gegevens. De verordening voert een uitgebreid pakket regels inzake inbreuken in verband met persoonsgegevens in. Zij bevat een duidelijke definitie van “inbreuk in verband met persoonsgegevens” en introduceert de verplichting om een inbreuk in verband met persoonsgegevens die waarschijnlijk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen binnen 72 uur aan de toezichthoudende autoriteit te melden. In bepaalde omstandigheden dient de persoon op wiens gegevens de inbreuk betrekking heeft, te worden geïnformeerd. Dit houdt een belangrijke verbetering in van de bescherming ten opzichte van de huidige situatie in de EU, waarin alleen aanbieders van elektronische communicatiediensten, aanbieders van essentiële diensten en aanbieders van digitale diensten op grond van respectievelijk de richtlijn betreffende privacy en elektronische communicatie (de “e-privacyrichtlijn”) 7 en de richtlijn voor de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn) 8 verplicht zijn om inbreuken in verband met gegevens te melden.

·De verordening geeft alle gegevensbeschermingsautoriteiten de bevoegdheid om verwerkingsverantwoordelijken en verwerkers boetes op te leggen. Thans hebben zij niet allemaal deze bevoegdheid. Dit zal een betere uitvoering van de regels mogelijk maken. De geldboeten kunnen ten hoogste 20 miljoen EUR of, voor een onderneming, 4 % van de wereldwijde jaaromzet bedragen.

·Meer flexibiliteit voor verwerkingsverantwoordelijken en verwerkers die persoonsgegevens verwerken als gevolg van ondubbelzinnige bepalingen inzake verantwoordelijkheid (het verantwoordingsbeginsel). De verordening leidt tot een verschuiving van een systeem van meldingen naar het verantwoordingsbeginsel. Aan dit beginsel wordt uitvoering gegeven via verplichtingen die al naargelang van het risico kunnen worden aangepast (bijvoorbeeld de aanwezigheid van een functionaris voor gegevensbescherming of de verplichting om gegevensbeschermingseffectbeoordelingen uit te voeren). Er wordt een nieuw instrument ingevoerd met behulp waarvan het risico voorafgaand aan de verwerking kan worden beoordeeld: de gegevensbeschermingseffectbeoordeling. Dit instrument moet worden ingezet wanneer de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De verordening noemt drie specifieke gevallen waarbij daarvan sprake is: wanneer een onderneming persoonlijke aspecten van natuurlijke personen systematisch en uitgebreid beoordeelt (waaronder profilering), wanneer een onderneming gevoelige gegevens grootschalig verwerkt en wanneer een onderneming openbaar toegankelijke ruimten stelselmatig en grootschalig monitort. De nationale gegevensbeschermingsautoriteiten moeten de lijsten openbaar maken van de gevallen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is 9 .

·Meer duidelijkheid over de verplichtingen van verwerkers en de verantwoordelijkheid van verwerkingsverantwoordelijken bij de selectie van een verwerker.

·Een modern beheerssysteem om ervoor te zorgen dat de regels consequenter en krachtiger worden gehandhaafd. Daarbij gaat het onder meer om geharmoniseerde bevoegdheden voor de gegevensbeschermingsautoriteiten, onder andere op het gebied van boetes, en nieuwe mechanismen waardoor deze autoriteiten in een netwerk kunnen samenwerken.

·De door de verordening gewaarborgde bescherming van persoonsgegevens vergezelt de gegevens buiten de EU, waardoor een hoog beschermingsniveau wordt gegarandeerd 10 . De opzet van de regels inzake internationale doorgiften in de verordening is in wezen dezelfde gebleven als die in de richtlijn van 1995, maar door de hervorming is het gebruik ervan verduidelijkt en vereenvoudigd en worden nieuw instrumenten voor doorgifte geïntroduceerd. Met betrekking tot de adequaatheidsbesluiten introduceert de verordening een nauwkeurige en gedetailleerde catalogus van elementen waarmee de Commissie rekening moet houden bij haar beoordeling of een buitenlands systeem persoonsgegevens afdoende beschermt. Ook formaliseert de verordening alternatieve doorgifte-instrumenten, zoals standaardcontractbepalingen en bindende bedrijfsvoorschriften, en breidt zij het aantal daarvan uit.

De herziene verordening voor instellingen, organen en instanties van de Unie 11 en de verordening betreffende privacy en elektronische communicatie (de “e-privacyverordening”) 12 , waarover thans wordt onderhandeld, zullen wanneer zij eenmaal zijn goedgekeurd ervoor zorgen dat de EU beschikt over een uitgebreid pakket strenge gegevensbeschermingsregels 13 .

2.Voorbereidende werkzaamheden die tot dusver op EU-niveau zijn verricht

Wil de verordening met succes worden toegepast, dan moeten alle bij de gegevensbescherming betrokken partijen meewerken: lidstaten, met inbegrip van overheidsdiensten, nationale gegevensbeschermingsautoriteiten, ondernemingen, organisaties die persoonsgegevens verwerken en natuurlijke personen, alsook de Commissie.

2.1 Actie door de Europese Commissie

Kort na de inwerkingtreding van de verordening medio 2016 is de Commissie samen met de autoriteiten van de lidstaten, gegevensbeschermingsautoriteiten en belanghebbenden begonnen met de voorbereiding van de toepassing van de verordening en het bieden van ondersteuning en advies.

a) Ondersteuning van lidstaten en hun autoriteiten

De Commissie heeft zeer nauw samengewerkt met de lidstaten ter ondersteuning van hun werk tijdens de overgangsperiode, om voor een zo hoog mogelijk niveau van consistentie te zorgen. Daartoe heeft de Commissie een deskundigengroep ingesteld, die de lidstaten begeleidt bij hun inspanningen om zich voor te bereiden op de verordening. De groep, die al 13 keer is bijeengekomen, fungeert als een forum waar de lidstaten hun ervaringen en deskundigheid kunnen delen 14 . De Commissie heeft ook deelgenomen aan bilaterale besprekingen met de autoriteiten van de lidstaten om kwesties te bespreken die zich op nationaal niveau voordoen.

b) Ondersteuning van de individuele gegevensbeschermingsautoriteiten en instelling van een Europees Comité voor gegevensbescherming

De Commissie heeft het werk van de Groep gegevensbescherming artikel 29 actief ondersteund, mede teneinde een soepele overgang naar het Europees Comité voor gegevensbescherming te waarborgen 15 .

c) Internationale samenwerking

Dankzij de verordening zal de EU beter in staat zijn om haar waarden op het gebied van gegevensbescherming actief te bevorderen. Door het streven naar mondiale convergentie van rechtsstelsels zullen grensoverschrijdende gegevensstromen worden vergemakkelijkt 16 . Internationaal wordt steeds meer erkend dat de gegevensbeschermingsregels van de EU een aantal van de strengste normen op het gebied van gegevensbescherming ter wereld invoeren. Ook wordt Verdrag 108 van de Raad van Europa gemoderniseerd, het enige juridisch bindende multilaterale instrument op het gebied van de bescherming van persoonsgegevens. De Commissie zet er zich voor in dat dat Verdrag dezelfde beginselen eerbiedigt als die welke zijn neergelegd in de nieuwe EU-regels voor gegevensbescherming en aldus de invoering helpt verwezenlijken van een uniforme reeks strenge gegevensbeschermingsnormen. De Commissie zal actief de snelle goedkeuring van de gemoderniseerde tekst van het Verdrag bevorderen met het oog op de toetreding ertoe van de EU 17 . De Commissie moedigt niet-EU-landen aan om Verdrag 108 van de Raad van Europa en het aanvullend protocol daarbij te ratificeren.

Voorts zijn diverse landen en regionale organisaties buiten de EU, zowel in onze onmiddellijke omgeving als in Azië, Latijns-Amerika en Afrika, bezig met de vaststelling van nieuwe wetgeving op het gebied van gegevensbescherming of het actualiseren van bestaande wetgeving teneinde te profiteren van de door de mondiale digitale economie geboden kansen en een antwoord te formuleren op de groeiende roep om betere beveiliging van gegevens en bescherming van privacy. Hoewel landen verschillen in hun aanpak en hun niveau van ontwikkeling op het gebied van wetgeving, zijn er aanwijzingen dat de verordening steeds vaker als referentiepunt en bron van inspiratie fungeert 18 .

In dit kader streeft de Commissie een internationaal bereik na, in overeenstemming met haar mededeling van januari 2017 19 , door actief het gesprek aan te gaan met belangrijke handelspartners, met name in Oost- en Zuidoost-Azië en in Latijns-Amerika, om te onderzoeken of het mogelijk is om adequaatheidsbesluiten vast te stellen 20 .

Met name werkt de Commissie samen met Japan om begin 2018 over en weer tot een passend niveau van bescherming door beide partijen te komen, zoals aangekondigd door voorzitter Juncker en premier Abe in hun gezamenlijke verklaring van 6 juli 2017 21 . Er zijn ook besprekingen begonnen met Zuid-Korea met het oog op een eventueel adequaatheidsbesluit. De vaststelling van een adequaatheidsbesluit zou het vrije verkeer van gegevens met de betrokken derde landen waarborgen en tegelijkertijd zorgen voor een hoog niveau van bescherming bij de doorgifte van persoonsgegevens vanuit de EU naar deze landen.

Tegelijkertijd probeert de Commissie samen met de belanghebbenden optimaal gebruik te maken van het potentieel van het instrumentarium voor internationale doorgiften van de algemene verordening gegevensbescherming, door alternatieve mechanismen voor doorgifte te ontwikkelen die zijn aangepast aan de specifieke behoeften van specifieke bedrijfstakken en/of marktdeelnemers 22 .

d) Betrekkingen met belanghebbenden

De Commissie heeft een aantal evenementen georganiseerd teneinde belanghebbenden te bereiken 23 . Voor het eerste kwartaal van 2018 staat een nieuwe workshop voor consumenten gepland. Ook hebben er specifieke sectorale besprekingen plaatsgevonden op gebieden als onderzoek en financiële diensten.

De Commissie heeft ook een groep van diverse belanghebbenden op het gebied van de verordening ingesteld, die is samengesteld uit vertegenwoordigers van het maatschappelijk middenveld en het bedrijfsleven, academici en mensen uit de praktijk. Deze groep zal de Commissie met name adviseren over de wijze waarop een passend niveau van kennis over de verordening bij belanghebbenden kan worden bereikt 24 .

Tot slot heeft de Europese Commissie via haar kaderprogramma voor onderzoek en innovatie Horizon 2020 25 maatregelen gefinancierd voor de ontwikkeling van instrumenten ter ondersteuning van de effectieve toepassing van de regels van de verordening betreffende toestemming en inzake privacybeschermende methoden van gegevensanalyse, zoals multi-party computation en homomorfe encryptie.

2.2 Werkzaamheden van de Groep gegevensbescherming artikel 29 / Europees Comité voor gegevensbescherming

De Groep gegevensbescherming artikel 29, waarin alle nationale gegevensbeschermingsautoriteiten, met inbegrip van de Europese Toezichthouder voor gegevensbescherming, verenigd zijn, speelt een belangrijke rol bij de voorbereiding van de toepassing van de verordening door het uitbrengen van richtsnoeren voor ondernemingen en andere belanghebbenden. Als handhavers van de verordening en direct aanspreekpunt voor belanghebbenden hebben nationale gegevensbeschermingsautoriteiten de beste positie om aanvullende rechtszekerheid te bieden met betrekking tot de interpretatie van de verordening.

Richtsnoeren/werkdocumenten van de Groep gegevensbescherming artikel 29 in verband met het van toepassing worden van de verordening 26 .

Recht op overdraagbaarheid van gegevens

Vastgesteld op 4-5 april 2017

Functionarissen voor gegevensbescherming

Aanwijzing van de leidende toezichthoudende autoriteit

Gegevensbeschermingseffectbeoordeling

Vastgesteld op 3-4 oktober 2017

Administratieve geldboeten

Vastgesteld op 3-4 oktober 2017

Profilering

Werkzaamheden aan de gang.

Inbreuken in verband met persoonsgegevens

Werkzaamheden aan de gang.

Toestemming

Werkzaamheden aan de gang.

Transparantie

Werkzaamheden aan de gang.

Certificatie en accreditatie

Werkzaamheden aan de gang.

Adequaatheidsreferentie

Werkzaamheden aan de gang.

Bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken

Werkzaamheden aan de gang.

Bindende bedrijfsvoorschriften voor verwerkers

Werkzaamheden aan de gang.

De Groep artikel 29 werkt aan de actualisering van bestaande adviezen, onder meer met betrekking tot de instrumenten voor de doorgifte van gegevens naar niet-EU-landen.

Aangezien het voor marktdeelnemers van essentieel belang is over een enkele, coherente reeks richtsnoeren te beschikken, moeten de huidige richtsnoeren op nationaal niveau ofwel worden ingetrokken ofwel worden aangepast aan de richtsnoeren die de Groep artikel 29 / het Europees Comité voor gegevensbescherming over hetzelfde onderwerp heeft vastgesteld.

De Commissie hecht er veel belang aan dat over deze richtsnoeren een openbare raadpleging wordt gehouden voordat zij hun beslag krijgen. Het is van essentieel belang dat de bijdrage van belanghebbenden aan dit proces zo nauwkeurig en concreet mogelijk is, aangezien dat helpt om beste praktijken vast te stellen en om kenmerken van de bedrijfstak en de sector onder de aandacht van de Groep artikel 29 te brengen. De eindverantwoordelijkheid voor deze richtsnoeren blijft bij de Groep artikel 29 en het toekomstig Europees Comité voor gegevensbescherming rusten, en de gegevensbeschermingsautoriteiten zullen ernaar verwijzen bij de handhaving van de verordening.

Het moet mogelijk zijn om de richtsnoeren te wijzigen in het licht van ontwikkelingen en praktijken. Daartoe is het van essentieel belang dat gegevensbeschermingsautoriteiten een cultuur bevorderen van dialoog met alle belanghebbenden, waaronder ondernemingen.

Het is van belang eraan te herinneren dat wanneer zich vragen over de uitlegging en toepassing van de verordening voordoen, het aan de gerechten op nationaal en EU-niveau is om de uiteindelijke interpretatie van de verordening te geven.

3.Resterende stappen voor een succesvolle voorbereiding

3.1 Lidstaten moeten de totstandbrenging van het rechtskader op nationaal niveau voltooien

De verordening is in alle lidstaten rechtstreeks van toepassing 27 . Dit betekent dat zij ongeacht eventuele nationale wetgevingsmaatregelen in werking treedt en van toepassing is: in principe kunnen burgers, ondernemingen, overheidsinstanties en andere organisaties die persoonsgegevens verwerken zich rechtstreeks op de bepalingen van de verordening beroepen. Desalniettemin moeten lidstaten, in overeenstemming met de verordening, de noodzakelijke stappen nemen om hun wetgeving aan te passen door intrekking en wijziging van bestaande wetgeving en de instelling van nationale gegevensbeschermingsautoriteiten 28 , het kiezen van een accreditatie-instantie 29 en de vaststelling van de regels voor het met elkaar in overeenstemming brengen van de vrijheid van meningsuiting en gegevensbescherming 30 .

Ook biedt de verordening lidstaten de mogelijkheid om de toepassing van gegevensbeschermingsregels op specifieke gebieden nader te specificeren: overheidssector 31 , arbeid en sociale zekerheid 32 , preventieve en arbeidsgeneeskunde, volksgezondheid 33 , archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden 34 , nationaal identificatienummer 35 , toegang van het publiek tot officiële documenten 36 en geheimhoudingsplicht 37 . Bovendien kunnen de lidstaten op grond van de verordening met betrekking tot genetische gegevens, biometrische gegevens of gegevens over gezondheid bijkomende voorwaarden, waaronder beperkingen, handhaven of invoeren 38 .

De maatregelen van de lidstaten worden in dit verband door twee elementen vormgegeven:

1.artikel 8 van het Handvest, wat impliceert dat elke nationale wetgeving die specificeert, moet voldoen aan de vereisten van artikel 8 van het Handvest (en van de verordening, die op artikel 8 van het Handvest is gebaseerd), en

2.artikel 16, lid 2, VWEU, op grond waarvan nationale wetgeving geen afbreuk mag doen aan het vrije verkeer van persoonsgegevens binnen de EU.

De verordening biedt de kans het juridisch kader te vereenvoudigen en zo het aantal nationale regels te verminderen en marktdeelnemers meer duidelijkheid te bieden.

Bij de aanpassing van hun nationale wetgeving moeten de lidstaten ermee rekening houden dat alle nationale maatregelen die ertoe zouden leiden dat er een hindernis ontstaat voor de rechtstreekse werking van de verordening en dat de gelijktijdige en eenvormige toepassing ervan in de hele EU in gevaar wordt gebracht, in strijd met de Verdragen zijn 39 .

Het herhalen van de tekst van verordeningen in nationaal recht is ook verboden (bijvoorbeeld het herhalen van definities of de formulering van rechten van individuen), tenzij dergelijke herhalingen strikt noodzakelijk zijn om de samenhang te garanderen en om de nationale bepalingen begrijpelijk te maken voor degenen op wie zij van toepassing zijn 40 . Het woord voor woord reproduceren van de tekst van de verordening in nationale specificeringswetgeving dient een uitzondering te zijn en gemotiveerd te worden en mag niet worden gebruikt om aan de tekst van de verordening aanvullende voorwaarden of interpretaties toe te voegen.

Het interpreteren van de verordening is aan de Europese gerechten (de nationale gerechten en uiteindelijk het Europees Hof van Justitie) en niet aan de wetgevers van de lidstaten. De nationale wetgever kan derhalve noch de tekst van de verordening kopiëren wanneer dat niet noodzakelijk is gelet op de criteria die de jurisprudentie biedt, noch de verordening interpreteren of aanvullende voorwaarden toevoegen aan de regels van de verordening, die rechtstreeks van toepassing zijn. Wanneer zij dat toch zouden doen, zouden de marktdeelnemers in de Unie opnieuw met versnippering te maken krijgen en niet weten welke regels zij moeten volgen.

In dit stadium hebben pas twee lidstaten de relevante nationale wetgeving reeds vastgesteld 41 ; de overige lidstaten bevinden zich in verschillende stadia van hun wetgevingsprocedures 42 en hebben tijdschema’s voor de vaststelling van de wetgeving die erin voorzien dat de wetgeving uiterlijk op 25 mei 2018 wordt vastgesteld. Het belangrijk dat de marktdeelnemers genoeg tijd krijgen om zich voor te bereiden op alle bepalingen waaraan zij moeten gaan voldoen.

Wanneer lidstaten niet de nodige maatregelen nemen die op grond van de verordening zijn vereist, of daar te laat mee zijn of gebruik maken van de specificeringsclausules waarin de verordening voorziet op een wijze die met de verordening in strijd is, zal de Commissie gebruik maken van alle middelen die haar ter beschikking staan, waaronder de inbreukprocedure.

3.2 De gegevensbeschermingsautoriteiten dienen ervoor te zorgen dat het nieuwe onafhankelijk Europees Comité voor gegevensbescherming volledig operationeel is

Het is van essentieel belang dat de nieuwe instantie die de Verordening instelt en die in plaats komt van de Groep artikel 29, het Europees Comité voor gegevensbescherming 43 , met ingang van 25 mei 2018 volledig operationeel is.

De Europese Toezichthouder voor gegevensbescherming, die de gegevensbeschermingsautoriteit is die verantwoordelijk is voor het toezicht op EU-instellingen en -organen, verzorgt het secretariaat van het Europees Comité voor gegevensbescherming, zodat synergiën en doeltreffendheid worden bevorderd. In de afgelopen maanden is de Europese Toezichthouder voor gegevensbescherming daartoe met de nodige voorbereidingen begonnen.

Het Europees Comité voor gegevensbescherming zal de spil van de gegevensbescherming in Europa vormen. Het zal bijdragen tot een consequente toepassing van de wetgeving inzake gegevensbescherming en een solide basis bieden voor samenwerking tussen gegevensbeschermingsautoriteiten, waaronder de Europese Toezichthouder voor gegevensbescherming. Het Europees Comité voor gegevensbescherming zal niet alleen richtsnoeren uitbrengen over de wijze waarop de belangrijkste begrippen van de verordening moeten worden uitgelegd, maar ook gevraagd worden om bindende besluiten uit te vaardigen over geschillen inzake grensoverschrijdende verwerking. Dit zal zorgen voor uniforme toepassing van EU-regels en voorkomen dat eenzelfde zaak in verschillende lidstaten verschillend wordt behandeld.

Het soepel en efficiënt functioneren van het Europees Comité voor gegevensbescherming is dus een voorwaarde voor het goed functioneren van het systeem in zijn geheel. Het Europees Comité voor gegevensbescherming zal, meer dan ooit eerder het geval was, een gemeenschappelijk cultuur van gegevensbescherming tot stand moeten brengen bij alle nationale gegevensbeschermingsautoriteiten om ervoor te zorgen dat de regels van de verordening consequent worden uitgelegd. De verordening bevordert de samenwerking tussen de gegevensbeschermingsautoriteiten door hun de instrumenten te geven om effectief en efficiënt samen te werken: met name zullen zij gezamenlijke operaties kunnen uitvoeren, met wederzijds goedvinden besluiten kunnen vaststellen en eventuele verschillen tussen hen in de uitlegging van de verordening binnen het Comité kunnen oplossen door middel van adviezen en bindende besluiten. De Commissie spoort de gegevensbeschermingsautoriteiten aan om deze veranderingen te omarmen en hun functioneren, financiering en arbeidscultuur zo aan te passen dat de nieuwe rechten en verplichtingen geëerbiedigd kunnen worden.

3.3 De lidstaten dienen de nationale gegevensbeschermingsautoriteiten de nodige financiële en personele middelen te verstrekken

Het is voor de bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens in de EU van wezenlijk belang dat in elke lidstaat een volstrekt onafhankelijke toezichthoudende autoriteit wordt ingesteld 44 . Toezichthoudende autoriteiten kunnen individuele rechten en vrijheden alleen maar doeltreffend waarborgen wanneer zij volledig onafhankelijk optreden. Elk verzuim om hun onafhankelijkheid en de doeltreffende uitoefening van hun bevoegdheden te waarborgen, heeft verreikende negatieve gevolgen voor het toezicht op de naleving van de gegevensbeschermingswet- en regelgeving 45 .

De verordening codificeert het vereiste dat elke gegevensbeschermingsautoriteit volledig onafhankelijk moet optreden 46 . Zij versterkt de onafhankelijkheid van de nationale gegevensbeschermingsautoriteiten en biedt hun in de hele EU uniforme bevoegdheden, zodat zij naar behoren zijn toegerust om klachten doeltreffend te behandelen, doeltreffende onderzoeken uit te voeren, bindende besluiten te nemen en doeltreffende en afschrikkende sancties op te leggen. Zij geeft hun ook de bevoegdheid om verwerkingsverantwoordelijken of verwerkers administratieve geldboeten op te leggen tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.

De gegevensbeschermingsautoriteiten zijn de natuurlijke gesprekspartner en het eerste aanspreekpunt voor het algemene publiek, ondernemingen en overheidsinstanties voor vragen over de verordening. De rol van de gegevensbeschermingsautoriteiten omvat het informeren van de verwerkingsverantwoordelijken en verwerkers over hun verplichtingen en het bevorderen bij het brede publiek van de bekendheid met en het inzicht in de risico's, regels, waarborgen en rechten in verband met de verwerking van gegevens. Dit houdt echter niet in dat verwerkingsverantwoordelijken en verwerkers mogen verwachten dat de gegevensbeschermingsautoriteiten hun het geïndividualiseerd juridisch advies op maat kunnen geven dat alleen een jurist of functionaris voor gegevensbescherming kan verstrekken.

Hoewel de nationale gegevensbeschermingsautoriteiten dus een centrale rol spelen, kan de relatieve disbalans tussen de personele en financiële middelen die hun in de verschillende lidstaten worden toegewezen, hun effectiviteit en uiteindelijk ook de krachtens de verordening vereiste volledige onafhankelijkheid, in gevaar brengen. Dit kan ook negatieve gevolgen hebben voor de wijze waarop gegevensbeschermingsautoriteiten bevoegdheden, zoals hun onderzoeksbevoegdheden, kunnen uitoefenen. De lidstaten worden aangespoord hun wettelijke verplichting te vervullen om hun toezichthoudende autoriteit de personele, technische en financiële middelen en de bedrijfsruimten en infrastructuur te verstrekken die nodig zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden 47 .

3.4 Ondernemingen, overheidsinstanties en andere organisaties die gegevens verwerken, moeten zich voorbereiden op de toepassing van de nieuwe regels

De verordening bracht geen wezenlijke veranderingen aan in de belangrijkste begrippen en beginselen van de gegevensbeschermingswetgeving die in 1995 werd ingevoerd. Dit zou betekenen dat de overgrote meerderheid van verwerkingsverantwoordelijken en verwerkers geen belangrijke wijzigingen in hun gegevensverwerkingsactiviteiten hoeft aan te brengen om aan de verordening te voldoen, vooropgesteld dat zij reeds aan de bestaande gegevensbeschermingswetgeving van de EU voldoen.

De verordening heeft de meeste gevolgen voor marktdeelnemers wier kernactiviteit bestaat in de verwerking van en/of het omgaan met gevoelige gegevens. Zij heeft ook gevolgen voor marktdeelnemers die regelmatig en systematisch op grote schaal natuurlijke personen in het oog houden. Deze marktdeelnemers zullen zeer waarschijnlijk verplicht zijn een functionaris voor gegevensbescherming te benoemen, een gegevensbeschermingseffectbeoordeling uit te voeren en inbreuken in verband met gegevens te melden wanneer er een risico bestaat voor de rechten en vrijheden van natuurlijke personen. Daarentegen zullen marktdeelnemers, met name kmo’s, wier kernactiviteit niet in zeer risicovolle verwerking bestaat, in het algemeen gevrijwaard zijn van deze specifieke verplichtingen uit hoofde van de verordening.

Het is belangrijk dat verwerkingsverantwoordelijken en verwerkers hun gegevensbeleidscyclus grondig evalueren, zodat duidelijk wordt vastgesteld over welke gegevens zij beschikken, en met welk doel en op welke rechtsgrondslag zij daarover beschikken (bijvoorbeeld in een cloudomgeving; marktdeelnemers in de financiële sector) Zij dienen ook over te gaan tot een evaluatie van de vigerende overeenkomsten, met name die tussen verwerkingsverantwoordelijken en verwerkers, de kanalen voor internationale doorgifte en de algehele governance (welke IT- en organisatorische maatregelen dienen er genomen te zijn), met inbegrip van de benoeming van een functionaris voor gegevensbescherming. Voor dit proces is het essentieel dat ervoor wordt gezorgd dat het hoogste managementniveau bij dergelijke evaluaties is betrokken, voor input zorgt en regelmatig op de hoogte wordt gebracht en geraadpleegd wordt over wijzigingen in het gegevensbeleid van de onderneming.

Sommige marktdeelnemers maken daartoe gebruik van (interne dan wel externe) checklists met betrekking tot naleving, vragen advies aan adviesbureaus en advocatenkantoren en zoeken naar producten die ervoor zorgen dat wordt voldaan aan de vereisten inzake gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Elke sector moet regelingen uitwerken die passen bij de specifieke aard van zijn terrein en aan het bedrijfsmodel van de betrokken ondernemingen zijn aangepast.

Ondernemingen en andere organisaties die gegevens verwerken, zullen ook profijt kunnen hebben van de nieuwe instrumenten waarin de verordening voorziet om naleving te kunnen aantonen, zoals gedragscodes en certificeringsmechanismen. Daarbij gaat het om bottom-upbenaderingen, die afkomstig zijn van het bedrijfsleven, verenigingen of andere organisaties die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen en die beste praktijken of belangrijke ontwikkelingen in een bepaalde sector weerspiegelen of informatie kunnen bieden over het door bepaalde producten en diensten vereiste niveau van gegevensbescherming. De verordening voorziet in een gestroomlijnde reeks regels voor dergelijke mechanismen en houdt daarbij rekening met de realiteit op de markt (bijvoorbeeld certificering door een certificeringsorgaan of een gegevensbeschermingsautoriteit).

Grote ondernemingen bereiden zich actief voor op de toepassing van de nieuwe regels, maar veel kmo’s zijn zich nog niet volledig bewust van de op handen zijnde regels inzake gegevensbescherming.

Kortom, markdeelnemers moeten zich voorbereiden op de nieuwe regels en zich daaraan aanpassen en de verordening opvatten als:

·een kans om orde op zaken te stellen waar het gaat om de kwestie welke gegevens zij verwerken en hoe zij die verwerking beheren;

·een verplichting om privacy- en gegevensbeschermingsvriendelijke producten te ontwikkelen en een nieuwe, op transparantie en vertrouwen gebaseerde relatie met hun klanten op te bouwen; en

·een kans om hun relaties met gegevensbeschermingsautoriteiten opnieuw vorm te geven door middel van het afleggen van verantwoording en proactieve naleving.

3.5 Belanghebbenden informeren, met name burgers en kleine en middelgrote ondernemingen

Het succes van de verordening berust op een juist inzicht van iedereen voor wie de nieuwe regels gevolgen hebben (het bedrijfsleven en andere organisaties die gegevens verwerken, de overheidssector en burgers). Op nationaal niveau is het hoofdzakelijk de taak van de gegevensbeschermingsautoriteiten om het bewustzijn te verhogen en als eerste aanspreekpunt voor verwerkingsverantwoordelijken, verwerkers en individuen te fungeren. Als handhavers van de gegevensbeschermingsregels op hun grondgebied komen de gegevensbeschermingsautoriteiten ook het meest in aanmerking om ondernemingen en de overheidssector de wijzigingen uit te leggen die de verordening invoert en om burgers met hun rechten vertrouwd te maken.

Gegevensbeschermingsautoriteiten zijn begonnen met het informeren van belanghebbenden overeenkomstig de specifieke nationale aanpak. Sommigen organiseren seminars met overheidsinstanties, onder meer op regionaal en lokaal niveau, en houden workshops met verschillende bedrijfssectoren om de kennis van de voornaamste bepalingen van de verordening te vergroten. Weer anderen hebben specifieke opleidingsprogramma’s voor gegevensbeschermingsfunctionarissen. De meesten verstrekken op hun websites informatiemateriaal in diverse uitvoeringen (checklists, video’s, etc.).

Burgers zijn echter nog onvoldoende op de hoogte van de wijzigingen en de betere rechten die de nieuwe regels voor de bescherming van persoonsgegevens met zich zullen brengen. Het initiatief voor opleiding en bewustmaking dat de gegevensbeschermingsautoriteiten in gang hebben gezet, moet worden voortgezet en geïntensiveerd, met een bijzonder nadruk op kmoʼs. Voorts kunnen de nationale sectorale overheidsinstanties de activiteiten van gegevensbeschermingsautoriteiten ondersteunen en op basis van hun input zelf de verschillende belanghebbenden proberen te bereiken.

4.Volgende stappen

De komende maanden zal de Commissie alle actoren actief blijven ondersteunen bij de voorbereiding op de toepassing van de verordening.

a) Werkzaamheden met de lidstaten

De Commissie zal met de lidstaten blijven samenwerken in de aanloop naar mei 2018. Vanaf mei 2018 zal zij toezien op de wijze waarop de lidstaten de nieuwe regels toepassen en waar nodig passende maatregelen nemen.

b) Nieuwe online richtsnoeren in alle EU-talen en bewustmakingsactiviteiten

De Commissie is bezig met de opstelling van praktische richtsnoeren 48 om ondernemingen, met name kmo’s, overheidsinstanties en het publiek te helpen bij de naleving van de nieuwe regels inzake gegevensbescherming en om van die regels profijt te hebben.

De richtsnoeren krijgen de vorm van een praktisch online-instrument dat in alle EU-talen beschikbaar is. Het online-instrument zal regelmatig worden bijgewerkt en beoogt drie belangrijke doelgroepen te bedienen: burgers, ondernemingen (met name kmo’s) en andere organisaties, en overheidsinstanties. Het omvat vragen en antwoorden die zijn geselecteerd op basis van feedback van belanghebbenden, met praktische voorbeelden en links naar diverse informatiebronnen (bijvoorbeeld artikelen van de verordening, richtsnoeren van de Groep artikel 29 / Europees Comité voor gegevensbescherming, en op nationaal niveau ontwikkeld materiaal).

De Commissie zal het instrument regelmatig actualiseren, door vragen toe te voegen en antwoorden te actualiseren, op basis van de ontvangen feedback en in het licht van nieuwe kwesties die zich naar aanleiding van de uitvoering voordoen.

Aan de richtsnoeren zal bekendheid worden gegeven door middel van een voorlichtingscampagne en verspreidingsactiviteiten in alle lidstaten, gericht op ondernemingen en het publiek.

Aangezien de verordening voor betere individuele rechten zorg, zal de Commissie zich ook bezighouden met bewustmakingsactiviteiten en deelnemen aan evenementen in de lidstaten om burgers te informeren over de voordelen en gevolgen van de verordening.

c) Financiële ondersteuning voor nationale campagnes en bewustmaking

De Commissie ondersteunt activiteiten op het gebied van bewustmaking en naleving op nationaal niveau door subsidies toe te kennen voor het bieden van opleiding bij gegevensbeschermingsautoriteiten, overheidsdiensten, beoefenaars van juridische beroepen en functionarissen voor gegevensbescherming 49 en om hen met de verordening vertrouwd te maken.

Ongeveer 1,7 miljoen EUR zal worden toegewezen aan zes begunstigden die meer dan de helft van de EU-lidstaten bestrijken. De financiering zal gericht zijn op lokale overheidsinstanties, waaronder functionarissen voor gegevensbescherming van die instanties en uit de privésector, en op rechters en advocaten. De subsidies zullen worden gebruikt voor de ontwikkeling van opleidingsmateriaal voor gegevensbeschermingsautoriteiten, functionarissen voor gegevensbescherming en andere professionals, alsook voor “train the trainers”-programma’s.

De Commissie heeft ook een oproep gedaan tot het indienen van voorstellen die specifiek op gegevensbeschermingsautoriteiten zijn gericht. Het totale budget zal 2 miljoen EUR belopen en deze autoriteiten helpen bij het bereiken van de belanghebbenden 50 . Het doel is om de maatregelen van gegevensbeschermingsautoriteiten in de periode 2018-2019 om de kennis bij ondernemingen, met name kmo’s, te vergroten en om hun vragen te beantwoorden, voor 80 % mede te financieren. Deze financiële middelen kunnen ook worden gebruikt om de kennis bij het algemene publiek te vergroten.

d) Beoordeling van de noodzaak gebruik te maken van de bevoegdheden van de Commissie

De verordening 51 biedt de Commissie de mogelijkheid om uitvoeringshandelingen of gedelegeerde handelingen vast te stellen ter nadere ondersteuning van de implementatie van de nieuwe regels. De Commissie zal van deze bevoegdheden alleen gebruik maken wanneer dat een duidelijk aantoonbare toegevoegde waarde heeft en er feedback naar aanleiding van de raadpleging van belanghebbenden aan ten grondslag ligt. Met name zal de Commissie de kwestie van certificering nader bestuderen op basis van een studie waartoe opdracht is gegeven aan externe deskundigen en input en advies op dit punt van de eind 2017 ingestelde groep van diverse belanghebbenden op het gebied van de verordening. De werkzaamheden die op het gebied van cyberveiligheid zijn verricht door het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (ENISA) zullen in dit kader ook relevant zijn.

e) Integratie van de verordening in de EER-overeenkomst

De Commissie zal haar werkzaamheden voorzetten met de drie EVA-staten (IJsland, Liechtenstein en Noorwegen) in de Europese Economische Ruimte (EER) om de verordening in de EER-overeenkomst te integreren 52 . Pas wanneer de integratie van de verordening in de EER-overeenkomst van kracht is, zullen persoonsgegevens net zo vrij tussen de EU en de EER-landen kunnen circuleren als nu tussen de EU-lidstaten het geval is.

f) Terugtrekking van het Verenigd Koninkrijk uit de EU

In het kader van de onderhandelingen over een terugtrekkingsakkoord tussen de EU en het Verenigd Koninkrijk op grond van artikel 50 van het Verdrag betreffende de Europese Unie zal de Commissie ernaar streven dat de bepalingen van EU-recht betreffende de bescherming van persoonsgegevens die van kracht zijn op de aan de datum van de terugtrekking voorafgaande dag, van toepassing blijven op de persoonsgegevens die voor de datum van terugtrekking in het Verenigd Koninkrijk zijn verwerkt 53 . De betrokken natuurlijke personen zouden bijvoorbeeld het recht om te worden geïnformeerd, het recht op toegang, het recht op rectificatie, het recht op wissing, het recht op beperking van de verwerking, het recht op gegevensoverdraagbaarheid alsmede het recht om bezwaar te maken tegen verwerking en niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit, moeten behouden op basis van de op de datum van terugtrekking toepasselijke relevante bepalingen van Unierecht. De hiervoor bedoelde persoonsgegevens zouden niet langer moeten worden opgeslagen dan nodig is voor de doeleinden waarvoor de persoonsgegevens werden verwerkt.

Met ingang van de datum van terugtrekking en behoudens een mogelijk in een eventueel terugtrekkingsakkoord op te nemen overeenkomst, zullen de regels van de verordening over de doorgifte van persoonsgegevens naar derde landen op het Verenigd Koninkrijk van toepassing zijn 54 .

g) Opmaken van de balans in mei 2019

Na 25 mei 2018 zal de Commissie nauwlettend toezien op de toepassing van de nieuwe regels en klaar staan om maatregelen te nemen wanneer zich aanzienlijke problemen mochten voordoen. Een jaar nadat de verordening van toepassing wordt (2019), zal de Commissie een evenement organiseren waar de balans zal worden opgemaakt van de ervaringen die de diverse belanghebbenden met de uitvoering van de verordening hebben opgedaan. Dit zal ook worden meegenomen in het verslag dat de Commissie tegen mei 2020 moet uitbrengen over de evaluatie en herziening van de verordening. Dit verslag zal zich met name richten op internationale doorgiften en de bepalingen inzake samenwerking en coherentie die betrekking hebben op de werkzaamheden van de gegevensbeschermingsautoriteiten.

Conclusie

Op 25 mei zullen nieuwe regels voor de bescherming van persoonsgegevens van kracht worden in de hele EU. Het nieuwe kader zal natuurlijke personen, bedrijven, overheidsinstanties en andere organisaties aanzienlijke voordelen bieden. Ook biedt het de EU een kans om mondiaal het voortouw te nemen op het gebied van de bescherming van persoonsgegevens. De hervorming kan echter alleen maar slagen wanneer iedereen die erbij betrokken is zijn plichten en rechten uiterst serieus neemt.

Sinds de vaststelling van de verordening in mei 2016 heeft de Commissie actief contact gezocht met alle betrokken actoren – regeringen, nationale autoriteiten, bedrijfsleven en maatschappelijke middenveld – met het oog op de toepassing van de nieuwe regels. Er is veel werk verzet met het oog op een brede verspreiding van de kennis over en de optimale voorbereiding op de verordening, maar er is nog veel te doen. De lidstaten en de diverse actoren bereiden zich met verschillende snelheid voor. Bovendien is de kennis over de voordelen en kansen die de nieuwe regels bieden, niet evenwichtig verspreid. Met name bij kmo’s is er een noodzaak het bewustzijn te vergroten en de aanpassing aan de nieuwe regels te begeleiden.

De Commissie roept daarom alle betrokken actoren op om de lopende werkzaamheden te intensiveren opdat de nieuwe regels in de hele EU consequent worden toegepast en uitgelegd en om het bewustzijn bij zowel bedrijven als burgers te vergroten. De Commissie zal deze inspanningen administratief en financieel ondersteunen en het algemene bewustzijn helpen vergroten, met name door een online-instrument.

Gegevens worden zeer waardevol voor de moderne economie en zijn voor het dagelijks leven van de burgers van essentieel belang. De nieuwe regels bieden een unieke gelegenheid voor zowel bedrijven als het grote publiek. Ondernemingen, en dan met name de kleinere, zullen ervan kunnen profiteren dat er nog slechts één stel innovatievriendelijke regels bestaat en qua persoonsgegevens orde op zaken kunnen stellen zodat het consumentenvertrouwen wordt hersteld, en uit deze regels een competitief voordeel kunnen putten. Burgers zullen kunnen profiteren van de betere bescherming van persoonsgegevens en meer controle krijgen over de manier waarop bedrijven met persoonsgegevens omgaan.

In een moderne wereld met een bloeiende digitale economie moeten de Europese Unie, haar burgers en haar ondernemingen volledig worden uitgerust om de voordelen van de gegevenseconomie te kunnen benutten en haar gevolgen te kunnen begrijpen. De nieuwe verordening biedt de nodige instrumenten om Europa uit te rusten voor de 21ste eeuw.

De Commissie zal de volgende actie ondernemen:

Ten aanzien van de lidstaten

·De Commissie zal met de lidstaten blijven samenwerken om coherentie te bevorderen en versnippering bij de toepassing van de verordening tegen te gaan, rekening houdend met de ruimte die de lidstaten is gelaten om op grond van de nieuwe wetgeving te specificeren.

·Na mei 2018 zal de Commissie nauwlettend toezien op de toepassing van de verordening in de lidstaten en zo nodig passende maatregelen nemen, met inbegrip van het voeren van inbreukprocedures.

Ten aanzien van de gegevensbeschermingsautoriteiten

·Tot mei 2018 zal de Commissie steun verlenen aan het werk van de gegevensbeschermingsautoriteiten in het kader van de Groep artikel 29 en bij de overgang naar het in te stellen Europees Comité voor gegevensbescherming; na mei 2018 zal zij een bijdrage leveren aan de werkzaamheden van het Europees Comité voor gegevensbescherming.

·In de periode 2018-2019 zal de Commissie voorlichtingsactiviteiten medefinancieren (totaal budget van maximaal 2 miljoen EUR) die de gegevensbeschermingsautoriteiten op nationaal niveau entameren (vanaf medio 2018 uitgevoerde projecten).

Ten aanzien van de belanghebbenden

·De Commissie zal een praktische online-instrument uitbrengen, met vragen en antwoorden die gericht zijn op burgers, bedrijven en overheidsinstanties. De Commissie is voornemens om in de aanloop naar mei 2018 en daarna dit instrument bij de doelgroepen te promoten via een voorlichtingscampagne die is gericht op het bedrijfsleven en het brede publiek.

·In 2018 en daarna zal de Commissie actief contact blijven zoeken met belanghebbenden, met name via de groep van diverse belanghebbenden, inzake de uitvoering van de verordening en het niveau van kennis over de nieuwe regels.

Ten aanzien van alle actoren

·In de periode 2018-2019 zal de Commissie beoordelen of het nodig is dat zij gebruik maakt van haar bevoegdheid om gedelegeerde of uitvoeringshandelingen vast te stellen.

·In mei 2019 zal de Commissie de balans opmaken van de uitvoering van de verordening en in 2020 zal zij verslag uitbrengen over de toepassing van de nieuwe regels.

(1) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), PB L 119 van 4.5.2016.
(2) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PB L 281 van 23.11.1995.
(3) Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad, PB L 119 van 4.5.2016.
(4) De verordening is op 24 mei 2016 in werking getreden en zal met ingang van 25 mei 2018 van toepassing zijn.
(5) Artikel 8 van het Handvest van de grondrechten van de EU en artikel 16 VWEU.
(6)   https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_nl.pdf .
(7) Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), PB L 201 van 31.7.2002, blz. 37. Volgens artikel 95 van de algemene verordening gegevensbescherming, legt deze verordening natuurlijke personen of rechtspersonen geen aanvullende verplichtingen op voor zover zij op grond van Richtlijn 2002/58/EG onderworpen zijn aan specifieke verplichtingen met dezelfde doelstelling. Dit houdt bijvoorbeeld in dat entiteiten waarop de e-privacyrichtlijn van toepassing is, op grond van die richtlijn verplicht zijn om een inbreuk in verband met persoonsgegevens te melden voor zover de inbreuk betrekking heeft op een dienst waarop de e-privacyrichtlijn materieel van toepassing is. De algemene verordening gegevensbescherming legt hun in dat opzicht geen aanvullende verplichtingen op.
(8) Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, PB L 194 van 19.7.2016, blz. 1. Entiteiten die binnen de werkingssfeer van de NIS-richtlijn vallen, moeten incidenten melden die aanzienlijke of substantiële gevolgen hebben voor de verlening van sommige van hun diensten. De melding van incidenten krachtens de NIS-richtlijn laat de melding van inbreuken krachtens de verordening onverlet.
(9) Artikel 35 van de verordening.
(10) Mededeling van de Commissie inzake de uitwisseling en bescherming van persoonsgegevens in een geglobaliseerde wereld, COM(2017)7 final.
(11) Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG, COM(2017) 8 final.
(12) Voorstel voor een verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (verordening betreffende privacy en elektronische communicatie), COM(2017) 10 final.
(13) Tot de goedkeuring en inwerkingtreding van de e-privacyverordening is Richtlijn 2002/58/EG als lex specialis in aanvulling op de verordening van toepassing.
(14) Zie voor een volledige lijst van bijeenkomsten, agenda’s, een samenvatting van besprekingen en een overzicht van de stand van zaken van de wetgeving in de verschillende lidstaten: http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461 .
(15) Zo zal de Commissie het Europees Comité voor gegevensbescherming bijvoorbeeld de mogelijkheid bieden om voor de communicatie tussen zijn leden gebruik te maken van het Informatiesysteem interne markt.
(16) Discussienota over het in goede banen leiden van de mondialisering, COM(2017)240.
(17) Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (ETS No 108) en Aanvullend Protocol van 2001 bij het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens inzake toezichthoudende autoriteiten en grensoverschrijdend verkeer van gegevens (ETS No 181). Het verdrag staat open voor landen die geen lid zijn van de Raad van Europa en is al geratificeerd door 51 landen (waaronder Uruguay, Mauritius, Senegal en Tunesië).
(18) Zie bijvoorbeeld de gegevensbeschermingsnormen van de Ibero-Amerikaanse staten, http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf
(19) COM(2017) 7.
(20) COM(2017) 7 ibidem, blz. 10.
(21)   http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .
(22) COM(2017) 7 ibidem, blz. 10.
(23)

Twee workshops met de bedrijfstak in juli 2016 en april 2017, twee zakelijke rondetafelgesprekken in december 2016 en mei 2017, een workshop over gezondheidsgegevens in oktober 2017 en een workshop met vertegenwoordigers van kmo’s in november 2017.

(24)   http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .
(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections
(26) Alle vastgestelde richtsnoeren zijn te vinden op: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
(27) Artikel 288 VWEU.
(28) Artikel 54, lid 1, van de verordening
(29) Op grond van artikel 43, lid 1, van de verordening kunnen de lidstaten de certificeringsorganen twee accreditatiemethoden bieden, te weten door de in overeenstemming met de gegevensbeschermingswetgeving ingestelde nationale toezichthoudende autoriteit voor gegevensbescherming en/of door de nationale accreditatie-instantie die is aangewezen in overeenstemming met Verordening (EG) nr. 765/2008 inzake accreditatie en markttoezicht. De Europese samenwerking voor accreditatie (“EA”, erkend krachtens verordening (EG) nr. 765/2008), die nationale accreditatie-instanties verenigt, en de toezichthoudende instanties in het kader van de algemene verordening gegevensbescherming dienen daartoe nauw samen te werken.
(30) Artikel 85, lid 1, van de verordening
(31) Artikel 6, lid 2, van de verordening
(32) Artikel 88 en artikel 9, lid 2, onder b), van de verordening. In het kader van de Europese pijler van sociale rechten wordt ook verklaard dat “[w]erknemers [...] recht [hebben] op bescherming van hun persoonlijke gegevens binnen het kader van hun werk”. (2017/C 428/09, PB C 428 van 13.12.2017, blz. 10)
(33) Artikel 9, lid 2, onder h) en i), van de verordening.
(34) Artikel 9, lid 2, onder j), van de verordening.
(35) Artikel 87 van de verordening.
(36) Artikel 86 van de verordening.
(37) Artikel 90 van de verordening.
(38) Artikel 9, lid 4, van de verordening
(39) Zaak 94/77 Fratelli Zerbone Snc / Amministrazione delle finanze dello Stato ECLI:EU:C:1978:17 en 101.
(40) Overweging 8 van de verordening.
(41) Oostenrijk ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf );
Duitsland (
https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).
(42) Zie voor een overzicht van de stand van zaken van het wetgevingsproces in de verschillende lidstaten: http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461
(43)  Het Europees Comité voor gegevensbescherming zal een EU-orgaan met rechtspersoonlijkheid zijn en ervoor moeten zorgen dat de verordening consequent wordt toegepast. Het Comité bestaat uit de voorzitters van de toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming, of hun respectieve vertegenwoordigers
(44) Overweging 117 en reeds eerder verklaard in overweging 62 van richtlijn 95/46.
(45) Mededeling van de Commissie aan het Europees Parlement en de Raad over de follow-up van het Werkprogramma voor een betere toepassing van de richtlijn gegevensbescherming, COM(2007) 87 definitief, 7 maart 2007.
(46) Artikel 52 van de verordening.
(47) Artikel 52, lid 4, van de verordening.
(48) De richtsnoeren zullen bijdragen tot een beter begrip van de EU-regels inzake gegevensbescherming, maar alleen de tekst van de verordening heeft rechtskracht. Bijgevolg kan alleen de verordening rechten en plichten voor natuurlijke personen scheppen.
(49)  In het kader van het programma Rechten en burgerschap 2016 verleende subsidies https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc ).
(50) http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html
(51) Gedelegeerde handelingen inzake de informatie die de iconen dienen weer te geven en de procedures via welke de gestandaardiseerde iconen tot stand dienen te komen (artikel 12, lid 8, van de verordening), gedelegeerde handelingen inzake de in aanmerking te nemen eisen voor certificeringsmechanismen (artikel 43, lid 8, van de verordening), uitvoeringshandelingen die voorzien in technische normen voor certificeringsmechanismen en gegevensbeschermingszegels en -merktekens en mechanismen ter bevordering en erkenning van die certificeringsmechanismen en gegevensbeschermingszegels en -merktekens (artikel 43, lid 9, van de verordening), uitvoeringshandelingen voor het model en de procedures voor de uitwisseling van informatie over bindende bedrijfsvoorschriften tussen verwerkingsverantwoordelijken, verwerkers en toezichthoudende autoriteiten (artikel 47, lid 3, van de verordening), en uitvoeringshandelingen voor het model en de procedures voor wederzijdse bijstand en voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling (artikel 61, lid 9, en artikel 67 van de verordening).
(52) Voor informatie over de stand van zaken zie: http://www.efta.int/eea-lex/32016R0679.
(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_en
(54) Zie Commission Notice to stakeholders: withdrawal of the United Kingdom and EU rules in the field of data protection (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).
Top