Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Document 52020DC0264

MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD Gegevensbescherming als pijler van zeggenschap van de burger en de EU-aanpak van de digitale transformatie — twee jaar toepassing van de algemene verordening gegevensbescherming

COM/2020/264 final

Date of document:
24/06/2020
Date of dispatch:
24/06/2020; aan de Raad gezonden
Date of dispatch:
24/06/2020; aan het Parlement gezonden
Author:
Europese Commissie, Directoraat-generaal Justitie en Consumentenzaken
Responsible body:
JUST
Form:
Bekendmaking

Brussel, 24.6.2020

COM(2020) 264 final

MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD

Gegevensbescherming als pijler van zeggenschap van de burger en de EU-aanpak van de digitale transformatie — twee jaar toepassing van de algemene verordening gegevensbescherming

{SWD(2020) 115 final}


MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD

Gegevensbescherming als pijler van zeggenschap van de burger en de EU-aanpak van de digitale transformatie — twee jaar toepassing van de algemene verordening gegevensbescherming

1Gegevensbeschermingsregels als pijler van de sterkere positie van de burger en de EU-aanpak van de digitale transformatie

Dit is het eerste verslag over de evaluatie en de toetsing van de algemene verordening gegevensbescherming 1 (hierna “AVG” genoemd), met name over de toepassing en de werking van de regels betreffende de doorgifte van persoonsgegevens aan derde landen of internationale organisaties, en van de regels betreffende samenwerking en coherentie, overeenkomstig artikel 97 AVG.

De AVG, die sinds 25 mei 2018 van toepassing is, vormt de kern van het EU-kader 2 dat het grondrecht op gegevensbescherming waarborgt, zoals verankerd in het Handvest van de grondrechten van de Europese Unie (artikel 8) en in de Verdragen (artikel 16 van het Verdrag betreffende de werking van de Europese Unie (VWEU)). De AVG zorgt voor strengere waarborgen op het gebied van gegevensbescherming, geeft burgers meer en sterkere rechten, biedt meer transparantie en zorgt ervoor dat alle personen die persoonsgegevens verwerken binnen het toepassingsgebied van de AVG, meer rekenschap moeten afleggen en een grotere verantwoordelijkheid dragen. Zij voorziet de onafhankelijke autoriteiten voor gegevensbescherming van sterkere en geharmoniseerde handhavingsbevoegdheden en zet een nieuw governancesysteem op. De AVG creëert ook een gelijk speelveld voor alle ondernemingen die op de EU-markt actief zijn, ongeacht waar zij zijn gevestigd, en zorgt voor het vrije verkeer van gegevens binnen de EU, waardoor de interne markt wordt versterkt.

De AVG is een belangrijk onderdeel van de mensgerichte aanpak van technologie en een kompas voor het gebruik van technologie in het kader van de ecologische en digitale transitie, hetgeen kenmerkend is voor de beleidsvorming van de EU. Dit is recentelijk benadrukt in het Witboek over kunstmatige intelligentie 3 en de mededeling over een Europese datastrategie 4 (hierna “datastrategie” genoemd) van februari 2020.

In een economie die in toenemende mate gebaseerd is op de verwerking van gegevens, waaronder persoonsgegevens, is de AVG een essentieel instrument om ervoor te zorgen dat personen meer controle over hun persoonlijke gegevens hebben en dat deze worden verwerkt voor een legitiem doel en op een rechtmatige, behoorlijke en transparante manier. Tegelijkertijd draagt de AVG bij tot de bevordering van op vertrouwen gebaseerde innovatie, met name door middel van haar risicogebaseerde benadering en beginselen zoals privacy door ontwerp en door standaardinstellingen. De Commissie heeft voorgesteld het wetgevingskader inzake gegevensbescherming en privacy 5 te aanvullen met de e-privacyverordening 6 , die de huidige e-privacyrichtlijn 7 moet vervangen. Dit voorstel wordt momenteel door de medewetgevers onderzocht en het is van groot belang ervoor te zorgen dat het snel wordt aangenomen.

Als onderdeel van de belangrijkste prioriteiten van de Commissie van een “Europa dat klaar is voor het digitale tijdperk” 8 en de “Europese Green Deal” 9 , kunnen nieuwe initiatieven worden ontwikkeld om de burgers in staat te stellen een actievere rol te spelen in de digitale transitie en het gebruik van digitale instrumenten te benutten om een klimaatneutrale samenleving en een duurzamere ontwikkeling tot stand te brengen. De AVG voorziet in een kader voor deze initiatieven en zorgt ervoor dat zij worden ontwikkeld om de positie van individuen daadwerkelijk te versterken.

In de datastrategie 10 wordt gepleit voor de totstandbrenging van “één Europese gegevensruimte”, een echte interne markt voor data en tien sectorspecifieke gemeenschappelijke Europese gegevensruimten die relevant zijn voor de ecologische en digitale transitie 11 . Voor al deze prioriteiten is een duidelijk en werkbaar kader voor het veilig delen van gegevens en een betere beschikbaarheid van gegevens van essentieel belang. In de datastrategie verklaarde de Commissie ook te zullen nagaan hoe het in toekomstige wetgeving mogelijk kan worden gemaakt om met inachtneming van de AVG gegevens uit openbare databanken te gebruiken voor wetenschappelijk onderzoek. De gegevensruimten moeten door de Europese cloudfederatie worden ondersteund in de vorm van gegevensverwerkings- en cloudinfrastructuurdiensten die in overeenstemming zijn met de AVG. De AVG waarborgt een hoog niveau van bescherming van persoonsgegevens, geeft individuen een centrale rol in al deze gegevensruimten, en biedt tegelijkertijd de nodige flexibiliteit om verschillende benaderingen mogelijk te maken.

De noodzaak om te zorgen voor vertrouwen en de behoefte aan bescherming van persoonsgegevens is zeker niet beperkt tot de EU. Mensen over de hele wereld hechten steeds meer waarde aan de privacy en de beveiliging van hun gegevens. Zoals uit een recente wereldwijde enquête 12 blijkt, vinden zij dit een belangrijke factor die van invloed is op hun aankoopbeslissingen en hun onlinegedrag. Een groeiend aantal ondernemingen heeft op deze vraag naar privacy gereageerd, met name door vrijwillig een deel van de rechten en waarborgen waarin de AVG voorziet, uit te breiden tot hun klanten die buiten de EU zijn gevestigd. Veel bedrijven prijzen ook de eerbiediging van persoonsgegevens aan als een concurrerende differentiator en als een troef op de wereldmarkt, door innovatieve producten en diensten aan te bieden met nieuwe oplossingen voor privacy of gegevensbeveiliging. Bovendien doet de toegenomen capaciteit van actoren uit de particuliere en de publieke sector om op grote schaal data te verzamelen en te verwerken, belangrijke en complexe vragen rijzen, waardoor privacy in verschillende delen van de wereld steeds meer centraal komt te staan in het publieke debat.

De vaststelling van de AVG heeft andere landen in vele regio’s in de wereld ertoe aangezet om dit goede voorbeeld te volgen. Het gaat om een echte mondiale trend van Chili tot Zuid-Korea, van Brazilië tot Japan, van Kenia tot India en van Californië tot Indonesië. Het leiderschap van de EU op het gebied van gegevensbescherming toont aan dat zij een mondiale normsteller kan zijn voor de regulering van de digitale economie en dat wordt toegejuicht door belangrijke stemmen van de internationale gemeenschap, zoals de secretaris-generaal van de VN António Guterres, die liet optekenen dat de AVG tot voorbeeld strekt voor soortgelijke maatregelen elders en erop aandrong dat de EU en haar lidstaten het voortouw zouden blijven nemen bij het vormgeven van het digitale tijdperk en voorop blijven lopen op het gebied van de technologische innovatie en regelgeving 13 .

Zo illustreert de huidige crisis als gevolg van de COVID-19-pandemie nog eens bijzonder duidelijk dat het debat over privacy inmiddels wereldwijd wordt gevoerd, zowel tijdens de crisis als bij het zoeken naar oplossingen. In de EU hebben verschillende lidstaten noodmaatregelen genomen om de volksgezondheid te beschermen. In de AVG is duidelijk bepaald dat elke beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet moet laten en in een democratische samenleving een noodzakelijke en evenredige maatregel moet zijn ter waarborging van doelstellingen van algemeen belang, zoals de volksgezondheid. Nu de inperkingsmaatregelen geleidelijk worden ingetrokken, moeten de besluitvormers beantwoorden aan de verwachting van de burgers dat zij digitale oplossingen aangeboden krijgen die betrouwbaar zijn en die het recht op privacy en op bescherming van persoonsgegevens eerbiedigen.

In veel landen wordt ingebouwde bescherming van de privacy, zoals vrijwillige deelname van gebruikers, gegevensminimalisatie en beveiliging, alsook de uitsluiting van geolocatie, van essentieel belang geacht voor de betrouwbaarheid en de maatschappelijke acceptatie van gegevensgestuurde oplossingen die gericht zijn op het monitoren en inperken van de verspreiding van het virus, het afstemmen van bestrijdingsmaatregelen van overheden, het bijstaan van patiënten of het uitvoeren van exitstrategieën. In de EU is het wetgevingskader voor gegevensbescherming en privacy 14 een voldoende flexibel instrument gebleken om de ontwikkeling van praktische oplossingen (zoals trackingapps) mogelijk te maken en tegelijkertijd een hoog niveau van bescherming van persoonsgegevens te waarborgen. In dit verband heeft de Commissie op 16 april 2020 richtsnoeren gepubliceerd in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie 15 .

De bescherming van persoonsgegevens speelt ook een belangrijke rol bij het voorkomen dat burgers bij het maken van keuzes worden gemanipuleerd, met name via het zeer gericht viseren van kiezers (“micro-targeting”) op basis van de onrechtmatige verwerking van persoonsgegevens. Door die bescherming kan inmenging in democratische processen worden vermeden, en worden het open debat, de eerlijkheid en de transparantie in stand gehouden, wat in een democratie essentieel is. Om die reden heeft de Commissie in september 2018 haar richtsnoeren voor de toepassing van de EU-gegevensbeschermingswetgeving in het kader van verkiezingen gepubliceerd 16 .

Bij deze evaluatie en toetsing heeft de Commissie rekening gehouden met de bijdragen van de Raad 17 , het Europees Parlement 18 , het Europees Comité voor gegevensbescherming (hierna “EDPB” genoemd’) 19 en de afzonderlijke gegevensbeschermingsautoriteiten 20 , de deskundigengroep met meerdere belanghebbenden 21 en andere belanghebbenden, onder meer via feedback over de routekaart 22 . 

Het algemene oordeel is dat de AVG na twee jaar toepassing met succes haar doelstellingen heeft bereikt, het recht van het individu op bescherming van persoonsgegevens te versterken en het vrije verkeer van persoonsgegevens binnen de EU te waarborgen 23 . Er is echter ook vastgesteld dat op een aantal gebieden verbeteringen mogelijk zijn. Net als de meeste belanghebbenden en gegevensbeschermingsautoriteiten is de Commissie van oordeel dat het in dit stadium voorbarig zou zijn om definitieve conclusies te trekken met betrekking tot de toepassing van de AVG. Waarschijnlijk zal de toenemende ervaring die de komende jaren zal worden opgedaan met de toepassing van de AVG bijdragen aan een oplossing voor de meeste problemen die door de lidstaten en belanghebbenden zijn geconstateerd. Niettemin wordt in dit verslag de aandacht gevestigd op de problemen die zich tot nu toe hebben voorgedaan en worden mogelijke manieren uiteengezet om deze aan te pakken.

Hoewel de nadruk ligt op de twee thema’s die in artikel 97, lid 2, AVG worden vermeld, namelijk internationale doorgifte en samenwerkings- en coherentiemechanismen, wordt bij deze evaluatie en toetsing een bredere benadering gevolgd en worden ook kwesties behandeld die de afgelopen twee jaar door verschillende actoren aan de orde zijn gesteld.

2Belangrijkste bevindingen

Handhaving van de AVG en de werking van het mechanisme voor samenwerkings- en coherentiemechanisme

De AVG voorziet in een innovatief governancesysteem, gebaseerd op onafhankelijke gegevensbeschermingsautoriteiten in de lidstaten en hun samenwerking in grensoverschrijdende zaken en binnen het Europees Comité voor gegevensbescherming (EDPB). De algemene opvatting is dat de gegevensbeschermingsautoriteiten evenwichtig gebruik hebben gemaakt van hun versterkte bevoegdheden tot het nemen van corrigerende maatregelen, waaronder waarschuwingen en berispingen, geldboeten en tijdelijke of definitieve verwerkingsbeperkingen 24 . De Commissie merkt op dat de autoriteiten administratieve geldboeten hebben opgelegd die afhankelijk van de ernst van de inbreuken variëren van een paar duizend tot meerdere miljoenen euro. Andere sancties, zoals een verbod op verwerking, kunnen een even groot, zo niet groter afschrikkend effect hebben dan geldboeten. Het uiteindelijke doel van de AVG bestaat erin de cultuur en het gedrag van alle betrokken actoren te veranderen ten behoeve van particulieren. Nadere informatie over de wijze waarop gegevensbeschermingsautoriteiten gebruikmaken van de bevoegdheden om corrigerende maatregelen op te leggen, is opgenomen in het begeleidende werkdocument van de diensten van de Commissie.

Hoewel het nog vroeg is om de werking van de nieuwe samenwerkings- en coherentiemechanismen volledig te beoordelen, hebben de gegevensbeschermingsautoriteiten hun samenwerking ontwikkeld via het één-loketsysteem 25 en door op grote schaal gebruik te maken van wederzijdse bijstand 26 . Het één-loketmechanisme, dat een belangrijke troef van de interne markt is, wordt gebruikt om veel grensoverschrijdende zaken te beslechten 27 . Momenteel zijn belangrijke besluiten met een grensoverschrijdende dimensie in behandeling die aan het één-loketsysteem zullen worden onderworpen. Deze besluiten, waarbij vaak multinationale grote technologiebedrijven zijn betrokken, zullen in veel lidstaten aanzienlijke gevolgen hebben voor de rechten van particulieren.

De ontwikkeling van een echte gemeenschappelijke Europese gegevensbeschermingscultuur door de gegevensbeschermingsautoriteiten is echter nog gaande. De gegevensbeschermingsautoriteiten hebben nog niet ten volle gebruik gemaakt van de instrumenten die de AVG biedt, zoals gezamenlijke acties die zouden kunnen leiden tot gezamenlijk onderzoek. Soms leidde het zoeken naar een gemeenschappelijke aanpak tot de keuze voor de kleinste gemene deler, en daardoor bleven mogelijkheden om tot meer harmonisatie te komen, onbenut 28 .

Verdere vooruitgang is nodig om de behandeling van grensoverschrijdende zaken in de hele EU efficiënter te maken en beter te harmoniseren , onder meer uit procedureel oogpunt, bijvoorbeeld met betrekking tot de klachtenprocedures, de ontvankelijkheidscriteria voor klachten, de duur van procedures wanneer het nationale bestuursprocesrecht verschillende of geen termijnen voorschrijft, het tijdstip in de procedure waarop het recht om te worden gehoord wordt toegekend, of de informatie en betrokkenheid van de klagers tijdens de procedure. Het reflectieproces dat de EDPB daarover is gestart, wordt toegejuicht en de Commissie neemt deel aan deze besprekingen 29 .

De activiteiten en de richtsnoeren van de EDPB zijn van cruciaal belang voor de consistente verdere ontwikkeling van de uitwisselingen tussen de EDPB en de belanghebbenden 30 . Eind 2019 had de EDPB 67 documenten goedgekeurd, waaronder 10 nieuwe richtsnoeren 31 , en 43 adviezen 32 . In het algemeen zijn de belanghebbenden ingenomen met de richtsnoeren van de EDPB en vragen zij om aanvullende richtsnoeren over belangrijke begrippen van de AVG, maar zij wijzen ook op inconsistenties tussen de nationale richtsnoeren en de richtsnoeren van de EDPB. Zij benadrukken de behoefte aan meer praktisch advies, met name meer concrete voorbeelden, en het feit dat de gegevensbeschermingsautoriteiten over de nodige personele, technische en financiële middelen moeten kunnen beschikken om hun taken doeltreffend uit te voeren.

De Commissie heeft consequent benadrukt dat de lidstaten voldoende personele, financiële en technische middelen moeten toewijzen aan de nationale gegevensbeschermingsautoriteiten 33 . De meeste van deze autoriteiten hebben hun personeelsbestand en begroting in de periode 20162019 zien toenemen 34 ; bij de Ierse, de Nederlandse, de IJslandse, de Luxemburgse en de Finse overheid is het aantal personeelsleden relatief het meest gestegen. Aangezien de grootste big tech-multinationals in Ierland en Luxemburg zijn gevestigd, treden de gegevensbeschermingsautoriteiten van deze landen op als leidende instanties in veel belangrijke grensoverschrijdende zaken. Om die reden hebben zij mogelijk meer middelen nodig dan hun bevolkingsomvang zou doen veronderstellen. De situatie verschilt echter nog steeds van lidstaat tot lidstaat en is over het algemeen nog onbevredigend. De gegevensbeschermingsautoriteiten spelen een essentiële rol bij de handhaving van de AVG op nationaal niveau en het functioneren van de samenwerkings- en coherentiemechanismen binnen de EDPB, met inbegrip van met name het één-loketmechanisme voor grensoverschrijdende gevallen. De lidstaten wordt derhalve verzocht hun voldoende middelen ter beschikking te stellen, zoals de AVG voorschrijft 35 .

De regels zijn geharmoniseerd, maar er is nog steeds enige fragmentatie en de benaderingen lopen uiteen

De Commissie houdt toezicht op de wijze waarop de AVG in de nationale wetgeving is opgenomen. Toen dit verslag werd opgesteld, hadden alle lidstaten, met uitzondering van Slovenië, nieuwe wetgeving aangenomen of hun nationale wetgeving inzake gegevensbescherming aangepast. Slovenië is verzocht 36 de Commissie duidelijkheid te verschaffen over de afronding van dat proces 37 .

De AVG voorziet in een consistente aanpak van de regels inzake gegevensbescherming in de hele EU. Op sommige gebieden verplicht zij de lidstaten echter om wetgeving vast te stellen 38 , terwijl de lidstaten op andere gebieden de bepalingen van de AVG nader mogen specificeren 39 . Er bestaat daardoor nog steeds een zekere mate van versnippering, die met name ontstaan is doordat er op grote schaal gebruik is gemaakt van facultatieve clausules. De verschillen tussen de lidstaten wat betreft de leeftijd waarop kinderen toestemming kunnen geven met betrekking tot diensten van de informatiemaatschappij, leiden bijvoorbeeld tot onzekerheid voor kinderen en hun ouders wat betreft de toepassing van hun gegevensbeschermingsrechten op de eengemaakte markt. Deze versnippering zorgt ook voor problemen op het gebied van grensoverschrijdende activiteiten en innovatie, met name wat betreft nieuwe technologische ontwikkelingen en cyberbeveiligingsoplossingen. Met het oog op de doeltreffende werking van de interne markt, en om onnodige lasten voor ondernemingen te voorkomen, is het ook essentieel dat de nationale wetgeving niet verder gaat dan de door de AVG gestelde marges, en geen aanvullende vereisten invoert wanneer er geen marge is.

Een specifieke uitdaging voor de nationale wetgeving is de combinatie van het recht op bescherming van persoonsgegevens met de vrijheid van meningsuiting en van informatie, en de juiste afweging van deze rechten. In de nationale wetgeving van sommige lidstaten is vastgesteld dat de vrijheid van meningsuiting voorrang geniet, terwijl in andere lidstaten de bescherming van persoonsgegevens voorgaat en de gegevensbeschermingsregels slechts in specifieke situaties niet hoeven te worden toegepast, bijvoorbeeld wanneer het gaat om een persoon met een publieke status. In weer andere lidstaten wordt tot slot bepaald dat de wetgever een bepaalde afweging moet maken en/of dat een beoordeling per geval moet worden uitgevoerd wat betreft de afwijking van sommige bepalingen van de AVG.

De Commissie zal doorgaan met haar beoordeling van de nationale wetgevingen. De balans moet bij de wet worden geregeld, in overeenstemming zijn met de wezenlijke inhoud van de grondrechten en met de beginselen van evenredigheid en noodzakelijkheid 40 . De gegevensbeschermingsregels (en de interpretatie en toepassing ervan) mogen de vrijheid van meningsuiting en van informatie niet aantasten door bijvoorbeeld een afschrikkend effect teweeg te brengen of journalisten onder druk te zetten om hun bronnen te openbaren. De afweging van deze twee rechten door de nationale wetgeving moet worden ingekaderd door de jurisprudentie van het Hof van Justitie en het Europees Hof voor de Rechten van de Mens 41 .

De wetgevingen van de lidstaten hanteren verschillende benaderingen bij het vaststellen van afwijkingen van het algemene verbod op het verwerken van bijzondere categorieën persoonsgegevens; deze betreffen het niveau van specificatie en waarborgen, onder meer waar het gaat om verwerking voor gezondheids- en onderzoeksdoeleinden. Om dit probleem aan te pakken, brengt de Commissie allereerst de verschillende benaderingen van de lidstaten 42 in kaart en zal zij vervolgens steun verlenen aan de invoering van een of meer gedragscodes die tot een meer consistente aanpak op dit gebied moeten bijdragen en de grensoverschrijdende verwerking van persoonsgegevens moeten vergemakkelijken 43 . Bovendien zullen de toekomstige richtsnoeren van de EDPB voor het gebruik van persoonsgegevens op het gebied van wetenschappelijk onderzoek bijdragen tot een geharmoniseerde aanpak. De Commissie zal input geven aan de EDPB, met name in verband met gezondheidsonderzoek, onder meer in de vorm van concrete vragen en een analyse van specifieke scenario’s die de onderzoeksgemeenschap onder haar aandacht heeft gebracht. 

Individuen de mogelijkheid geven hun gegevens te controleren

Volgens een enquête over de grondrechten 44 heeft 69 % van de EU-bevolking ouder dan 16 jaar gehoord over de AVG en is 71 % van de mensen in de EU bekend met de nationale gegevensbeschermingsautoriteit.

Mensen zijn zich in toenemende mate bewust van hun rechten: het recht op toegang, rectificatie, wissing en overdraagbaarheid van hun persoonsgegevens, het recht om bezwaar te maken tegen verwerking en het recht op meer transparantie. De AVG heeft de procedurele rechten versterkt, waaronder het recht om een klacht in te dienen bij een gegevensbeschermingsautoriteit, onder meer door middel van representatieve vorderingen en het recht op een doeltreffende voorziening in rechte. Particulieren maken steeds vaker gebruiken van deze rechten, maar de uitoefening en de volledige handhaving ervan moeten verder worden vergemakkelijkt. De door de EDPB geleide beraadslagingen zullen de uitoefening van individuele rechten verduidelijken en verder vergemakkelijken, terwijl de voorgestelde richtlijn betreffende representatieve vorderingen 45 , zodra die is aangenomen, personen in staat zal stellen collectieve vorderingen in te stellen in alle lidstaten, hetgeen de kosten van grensoverschrijdende vorderingen zal minderen.

Het recht op gegevensoverdraagbaarheid heeft een duidelijk, maar nog steeds niet volledig benut potentieel om personen een centrale plaats te geven in de data-economie, doordat het hen in staat stelt om naar een andere dienstverlener over te stappen, verschillende diensten te combineren, van andere innovatieve diensten gebruik te maken en voor de meest gegevensbeschermingsvriendelijke diensten te kiezen. Indirect zal dit de concurrentie bevorderen en innovatie ondersteunen. Het is een van de prioriteiten van de Commissie om dit potentieel te ontsluiten, met name omdat, met het toenemende gebruik van het “internet der dingen”, consumenten steeds meer data genereren, waardoor zij het risico lopen te worden geconfronteerd met oneerlijke praktijken en lock-in-effecten. Gegevensoverdraagbaarheid kan aanzienlijke voordelen opleveren op het gebied van gezondheid en welzijn, verkleining van de ecologische voetafdruk en toegang tot openbare en particuliere diensten, hogere productiviteit bij fabricage en betere productkwaliteit en ‑veiligheid.

Problemen zoals het ontbreken van normen die mogelijk maken dat gegevens in machinaal leesbaar formaat worden verstrekt, moeten worden aangepakt, zoals ook in de datastrategie is benadrukt. Daardoor zal het effectieve gebruik van het recht op gegevensoverdraagbaarheid, dat vooralsnog beperkt blijft tot enkele sectoren (o.a. banken en telecommunicatie) worden bevorderd. Daartoe moeten met name geschikte tools en gestandaardiseerde formaten en interfaces worden ontworpen 46 . Frequenter gebruik kan ook worden bereikt door met name technische interfaces en machineleesbare formaten verplicht te stellen die de overdraagbaarheid van gegevens in real time mogelijk maken. Door meer gebruik te maken van het recht op gegevensoverdraagbaarheid zouden particulieren onder meer gemakkelijker toestemming kunnen geven voor het gebruik van hun gegevens in het algemeen belang (bijvoorbeeld om onderzoek in de gezondheidszorg te bevorderen), indien zij dit wensen (“data-altruïsme”). Ter voorbereiding van het pakket voor digitale diensten 47 zal de Commissie uitgebreider onderzoek doen naar de rol die data en datagerelateerde praktijken spelen in het platform-ecosysteem. 

Kansen en uitdagingen voor organisaties, met name in het midden- en kleinbedrijf

Samen met de verordening vrij verkeer van niet-persoonsgebonden gegevens 48 biedt de AVG bedrijven kansen door concurrentie en innovatie te bevorderen, het vrije verkeer van gegevens binnen de EU te waarborgen en een gelijk speelveld te creëren voor bedrijven die buiten de EU zijn gevestigd 49 . Het recht op gegevensoverdraagbaarheid kan, in combinatie met het feit dat steeds meer mensen op zoek zijn naar privacyvriendelijkere oplossingen, leiden tot minder hindernissen voor de toegang van bedrijven tot de markt en tot meer groeimogelijkheden op basis van vertrouwen en innovatie. Sommige belanghebbenden melden dat de toepassing van de AVG vooral voor kleine en middelgrote ondernemingen een uitdaging vormt. Volgens de risicogebaseerde aanpak is het niet juist om derogaties toe te passen op basis van de omvang van een bedrijf, aangezien omvang op zich geen indicatie geeft van de risico’s die de verwerking van persoonsgegevens kan opleveren voor particulieren. Verschillende gegevensbeschermingsautoriteiten hebben praktische hulpmiddelen geboden om de toepassing van de AVG gemakkelijker te maken voor kleine en middelgrote ondernemingen waarvan de activiteiten een laag risico met zich meebrengen. Deze benadering moet intensiever en breder worden toegepast, bij voorkeur binnen het kader van een gemeenschappelijke Europese aanpak, zodat er geen belemmeringen voor de eengemaakte markt ontstaan.

De gegevensbeschermingsautoriteiten hebben diverse activiteiten ontwikkeld om kleine en middelgrote ondernemingen te helpen bij de naleving van de AVG; zo zijn modellen aangeboden voor verwerkingsovereenkomsten en voor registers van verwerkingsactiviteiten, seminars en telefonische advieslijnen. Voor een aantal van deze initiatieven heeft de EU financiële steun verleend 50 . Om de toepassing van de AVG voor kleine en middelgrote ondernemingen te vergemakkelijken, moeten echter nog meer activiteiten worden overwogen.

De AVG voorziet in een instrumentarium dat voor alle soorten ondernemingen en organisaties beschikbaar is als hulpmiddel om te laten zien hoe de wetgeving kan worden nageleefd, zoals gedragscodes, certificeringsmechanismen en modelcontractbepalingen. Dit instrumentarium moet ten volle worden benut. Kleine en middelgrote ondernemingen wijzen er in het bijzonder op hoe belangrijk en nuttig het is dat gedragscodes op hun situatie zijn afgestemd en geen buitensporige kosten met zich meebrengen. Wat betreft certificeringsregelingen zijn beveiliging (met inbegrip van cyberbeveiliging) en gegevensbescherming door ontwerp essentiële elementen die in het kader van de AVG in aanmerking moeten worden genomen. Zij zouden baat hebben bij een gemeenschappelijke en ambitieuze aanpak in de hele EU. De Commissie werkt momenteel aan modelbepalingen voor de overeenkomsten tussen verwerkingsverantwoordelijken en verwerkers 51 . Zij bouwt daarbij voort op de lopende werkzaamheden betreffende de modernisering van de modelcontractbepalingen voor internationale doorgiften 52 .

Toepassing van de AVG op nieuwe technologieën

De AVG is technologieneutraal opgezet en gebaseerd op beginselen. Daardoor kunnen nieuwe technologieën worden meegenomen wanneer die tot stand komen.

De AVG wordt beschouwd als een essentieel en flexibel instrument, dat ervoor kan zorgen dat de ontwikkeling van nieuwe technologieën in overeenstemming is met de grondrechten. Het rechtskader inzake gegevensbescherming en privacy heeft zijn belang en flexibiliteit tijdens de COVID-19-crisis bewezen, met name wat betreft het ontwerp van de traceringsapps en andere technologische oplossingen voor de bestrijding van de pandemie. Er staan ons nog uitdagingen te wachten wanneer het erom gaat te verduidelijken hoe beginselen die zich hebben bewezen, kunnen worden toegepast op specifieke technologieën zoals kunstmatige intelligentie, blockchain, het internet der dingen en gezichtsherkenning. Permanente monitoring is een vereiste. Het witboek van de Commissie over kunstmatige intelligentie 53 heeft bijvoorbeeld een openbaar debat geopend over specifieke omstandigheden die het gebruik van kunstmatige intelligentie voor biometrische identificatie op afstand (zoals gezichtsherkenning) op openbare plaatsen zouden kunnen rechtvaardigen, en over gemeenschappelijke waarborgen. Wat dit betreft moeten de gegevensbeschermingsautoriteiten klaar staan om de technische ontwerpprocessen in een vroeg stadium te begeleiden.

Krachtige en doeltreffende handhaving van de AVG ten aanzien van grote digitale platforms en geïntegreerde ondernemingen, onder meer op gebieden als onlinereclame en microtargeting, is bovendien essentieel om personen te kunnen beschermen.

Ontwikkeling van een modern internationaal instrumentarium voor gegevensoverdracht

De AVG biedt een gemoderniseerd instrumentarium om de doorgifte van persoonsgegevens van de EU naar derde land en internationale organisaties te vergemakkelijken, en zorgt er tevens voor dat de gegevens in hoge mate beschermd blijven. De afgelopen twee jaar heeft de Commissie zich er nog krachtiger voor ingezet dat het volledige potentieel van de in het kader van de AVG beschikbare instrumenten wordt benut.

Daartoe heeft zij actief samengewerkt met belangrijke partners om “adequaatheidsbesluiten” tot stand te brengen. Een dergelijk besluit zorgt ervoor dat persoonsgegevens veilig en vrij naar het betrokken derde land kunnen worden doorgegeven, zonder dat voor de gegevensexporteur nog andere waarborgen of vergunningen nodig zijn. Met name de in februari 2019 in werking getreden besluiten inzake de wederzijdse adequaatheid van de bescherming van persoonsgegevens in de EU en Japan hebben geleid tot ’s werelds grootste gebied van vrij en veilig gegevensverkeer. Het adequaatheidsbesluit met de Republiek Korea verkeert ook in een vergevorderd stadium en met andere belangrijke partners in Azië en Latijns-Amerika worden verkennende besprekingen gevoerd.

Adequate bescherming van persoonsgegevens is ook een belangrijke factor in de toekomstige betrekkingen met het Verenigd Koninkrijk, maar in dat verband moet aan de nodige voorwaarden worden voldaan. Adequate bescherming faciliteert het handelsverkeer, met inbegrip van de digitale handel, en is een essentiële voorwaarde voor nauwe en ambitieuze samenwerking op het gebied van rechtshandhaving en veiligheid. Bovendien is een hoge mate van convergentie van de gegevensbescherming een belangrijke voorwaarde voor een gelijk speelveld tussen twee zo nauw met elkaar verweven economieën. Overeenkomstig de politieke verklaring over de toekomstige betrekkingen tussen de EU en het VK verricht de Commissie momenteel een adequaatheidsbeoordeling voor zowel de AVG als de richtlijn gegevensbescherming bij rechtshandhaving 54 .

In het kader van de eerste evaluatie van de AVG moet de Commissie ook de adequaatheidsbesluiten die op grond van de oude regels zijn vastgesteld, herzien 55 . De diensten van de Commissie voeren intensief overleg met elk van de elf betrokken derde landen en gebieden 56 , teneinde na te gaan hoe hun systemen voor gegevensbescherming zich sinds de vaststelling van het adequaatheidsbesluit hebben ontwikkeld en of zij voldoen aan de normen van de AVG. De noodzaak om de continuïteit te waarborgen van dergelijke besluiten, die een essentieel instrument zijn voor handel en internationale samenwerking, is een van de factoren die verschillende van deze landen en gebieden ertoe hebben aangezet hun privacywetgeving te moderniseren en te versterken. Met een aantal van deze landen en gebieden wordt gesproken over aanvullende beschermingsmaatregelen om relevante verschillen in de bescherming aan te pakken. Aangezien het Hof van Justitie in een op 16 juli te wijzen arrest evenwel verduidelijkingen kan verschaffen die relevant kunnen zijn voor bepaalde onderdelen van de adequaatheidsnorm, zal de Commissie afzonderlijk verslag uitbrengen over de beoordeling van de bestaande adequaatheidsbesluiten, nadat het Hof van Justitie zijn arrest in die zaak heeft gewezen 57 .

Naast haar inspanningen op het gebied van adequaatheid werkt de Commissie aan een uitgebreide modernisering om de standaardcontractbepalingen in overeenstemming te brengen met de nieuwe vereisten die zijn ingevoerd bij de AVG. Het doel is die bepalingen beter te laten aansluiten bij de realiteit van de verwerkingen in de moderne digitale economie en na te gaan of bepaalde waarborgen nader moeten worden toegelicht, gezien de toekomstige rechtspraak van het Hof van Justitie 58 . Deze clausules zijn het mechanisme voor gegevensdoorgifte dat veruit het meest wordt benut: duizenden bedrijven in de EU maken er gebruik van om een brede waaier van diensten aan te bieden aan hun klanten, leveranciers, partners en werknemers.

De EDPB speelt ook een actieve rol bij de ontwikkeling van de internationale aspecten van de AVG. Daarbij gaat het onder meer om het actualiseren van de richtsnoeren voor de bestaande mechanismen voor doorgifte, zoals bindende bedrijfsvoorschriften en zogeheten afwijkingen, alsook om het ontwikkelen van de juridische infrastructuur voor het gebruik van de nieuwe instrumenten die zijn ingevoerd bij de AVG, namelijk gedragscodes en certificering.

Om ervoor te zorgen dat belanghebbenden ten volle gebruik kunnen maken van de AVG-instrumenten voor doorgifte, is het van belang dat de EDPB zijn lopende werkzaamheden in verband met de diverse overdrachtsmechanismen intensiveert door onder meer het goedkeuringsproces voor bindende bedrijfsvoorschriften verder te stroomlijnen, de richtsnoeren inzake gedragscodes en certificering als instrument voor doorgifte af te ronden en de wisselwerking tussen de regels inzake internationale doorgifte van gegevens (hoofdstuk V) en het territoriale toepassingsgebied van de AVG (artikel 3).

Een ander belangrijk aspect van de internationale dimensie van de EU-regels inzake gegevensbescherming is het uitgebreide territoriale toepassingsgebied van de AVG, dat ook de verwerkingsactiviteiten bestrijkt van buitenlandse marktdeelnemers die actief zijn op de EU-markt. Om te waarborgen dat de AVG daadwerkelijk wordt nageleefd en er echt sprake is van een gelijk speelveld, is het van wezenlijk belang dat de gegevensbeschermingsautoriteiten bij hun handhavingsmaatregelen terdege met deze uitbreiding rekening houden. Indien nodig moeten zij met name een beroep doen op de vertegenwoordiger in de EU van de verwerkingsverantwoordelijke of de verwerker; die vertegenwoordiger kan daartoe worden aangesproken naast of in plaats van de buiten de EU gevestigde onderneming. Er moet krachtiger worden vastgehouden aan deze aanpak, teneinde zonneklaar te maken dat het feit dat een buitenlandse marktdeelnemers niet over een vestiging in de EU beschikt, hem niet ontslaat van zijn verplichtingen uit hoofde van de AVG.

Bevorderen van convergentie en internationale samenwerking op het gebied van gegevensbescherming

De AVG blijkt internationaal inmiddels als een belangrijk referentiepunt te fungeren; door de verordening zijn wereldwijd tal van landen zich gaan bezinnen op een modernisering van hun privacyregels. Deze trend in de richting van mondiale convergentie is een bijzonder positieve ontwikkeling, die nieuwe mogelijkheden oplevert om mensen in de EU beter te beschermen bij doorgifte van hun gegevens naar het buitenland, en tegelijkertijd gegevensstromen te vergemakkelijken.

Voortbouwend op deze trend heeft de Commissie haar dialoog in het kader van een aantal bilaterale, regionale en multilaterale fora geïntensiveerd om een wereldwijde cultuur van eerbiediging van privacy te bevorderen en elementen van convergentie tussen verschillende privacystelsels te ontwikkelen. Bij haar inspanningen vertrouwt de Commissie nu en in de toekomst op de actieve ondersteuning van de Europese Dienst voor extern optreden en het netwerk van EU-delegaties in derde landen en vertegenwoordigingen bij internationale organisaties. Deze aanpak heeft ook gezorgd voor meer samenhang en complementariteit tussen verschillende aspecten van de externe dimensie van EU-beleid, variërend van handel tot het nieuwe partnerschap EU-Afrika. Ook de G20 en G7 hebben onlangs onderkend dat gegevensbescherming bijdraagt tot vertrouwen in de digitale economie en gegevensstromen, met name door middel van het concept “Data Free Flow with Trust”, dat aanvankelijk is voorgesteld door het Japanse voorzitterschap van de G20 59 . In de datastrategie benadrukt de Commissie haar voornemen om het delen van gegevens tussen betrouwbare partners te blijven bevorderen en misbruik, zoals onevenredige toegang van (buitenlandse) overheidsinstanties tot persoonsgegevens, te bestrijden.

De Commissie ijvert niet alleen voor internationale convergentie van de normen inzake gegevensbescherming, om gegevensstromen en derhalve handel te bevorderen, zij is ook vastbesloten om digitaal protectionisme aan te pakken, zoals onlangs is beklemtoond in de datastrategie 60 . Daartoe heeft zij speciaal voor handelsovereenkomsten 61 specifieke bepalingen inzake gegevensstromen en gegevensbescherming ontwikkeld, die zij stelselmatig inbrengt bij haar onderhandelingen, of deze nu bilateraal zijn (zoals de recente onderhandelingen met Australië, Nieuw-Zeeland en het VK) of multilateraal, zoals de huidige WTO-besprekingen over e-handel 62 . Deze horizontale bepalingen verbieden ongerechtvaardigde beperkingen, zoals vereisten van gedwongen gegevenslokalisering, en verzekeren de regelgevingsautonomie van de partijen, teneinde het grondrecht van gegevensbescherming te vrijwaren.

Het is dan ook zaak om synergieën tussen instrumenten voor handel en gegevensbescherming nader te onderzoeken met het oog op het waarborgen van vrije en veilige internationale gegevensstromen, die in een steeds digitalere economie van wezenlijk belang zijn voor de bedrijfsactiviteiten, het concurrentievermogen en de groei van Europese bedrijven, met inbegrip van kmo’s.

Evenzeer is het van belang ervoor te zorgen dat als bedrijven die actief zijn op de Europese markt, op grond van een rechtmatig verzoek wordt verzocht om gegevens te delen voor rechtshandhavingsdoeleinden, zij hieraan gehoor kunnen geven zonder met wetsconflicten te maken te krijgen en met volledige inachtneming van de grondrechten van de EU. Om dergelijke doorgiften te verbeteren, streeft de Commissie ernaar samen met haar internationale partners passende rechtskaders te ontwikkelen om wetsconflicten te voorkomen en doeltreffende vormen van samenwerking te ondersteunen, met name door voor de nodige waarborgen inzake gegevensbescherming te zorgen en zo bij te dragen tot een doeltreffender bestrijding van criminaliteit.

Ten slotte dient er, nu problemen met de naleving van de privacyregels en incidenten op het gebied van gegevensbeveiliging tegelijk gevolgen kunnen hebben voor grote groepen mensen in verschillende jurisdicties, op praktisch vlak nauwer te worden samengewerkt door Europese en internationale regelgevende instanties. Daartoe moeten vooral passende rechtsinstrumenten worden ontwikkeld voor nauwere vormen van samenwerking en wederzijdse bijstand, bijvoorbeeld om de nodige informatie-uitwisseling in het kader van een onderzoek mogelijk te maken. Met datzelfde doel voor ogen werkt de Commissie aan een “Data Protection Academy”, een platform waar gegevensbeschermingsautoriteiten van binnen en buiten de EU kennis, ervaring en beste praktijken kunnen uitwisselen om samenwerking tussen privacyhandhavingsautoriteiten te bevorderen en te ondersteunen.

3Volgende stappen

Om optimaal gebruik te maken van de AVG, is het van belang tot een geharmoniseerde aanpak en een gemeenschappelijke Europese gegevensbeschermingscultuur te komen en te bevorderen dat de behandeling van grensoverschrijdende zaken doeltreffender wordt aangepakt en sterker wordt geharmoniseerd. Dit is wat burgers en bedrijven verwachten en is een essentiële doelstelling van de hervorming van de EU-regels inzake gegevensbescherming. Al even belangrijk is het ervoor te zorgen dat alle instrumenten waarin de AVG voorziet, ten volle worden gebruikt, opdat deze voor zowel burgers als bedrijven doeltreffend worden toegepast.

De Commissie zal haar bilaterale contacten met de lidstaten over de tenuitvoerlegging van de AVG voortzetten en zo nodig alle instrumenten die tot haar beschikking staan, blijven gebruiken om de lidstaten ertoe aan te zetten hun verplichtingen uit hoofde van de AVG te vervullen.

Aangezien de nationale wetgeving momenteel wordt beoordeeld, er nog niet zo veel praktische ervaring is opgedaan sinds de AVG van toepassing is geworden en het feit dat de sectorspecifieke wetgeving in veel lidstaten nog wordt herzien, is het nog te vroeg om definitieve conclusies te formuleren over de huidige mate van versnippering. Met betrekking tot de mogelijke wetsconflicten als gevolg van de tenuitvoerlegging van specifieke clausules door de lidstaten, moeten eerst de gevolgen voor de verwerkingsverantwoordelijken en de verwerkers beter worden begrepen 63 .

Bij de follow-up van deze kwesties draagt de relevante jurisprudentie van de nationale rechtbanken en het Hof van Justitie bij tot een consistente interpretatie van de gegevensbeschermingsregels. Nationale rechtbanken hebben onlangs uitspraken gedaan waarbij nationaalrechtelijke bepalingen die afwijken van de AVG, ongeldig zijn verklaard 64 .

Wat de internationale dimensie betreft, zal de Commissie zich blijven richten op het bevorderen van convergentie van gegevensbeschermingsregels als middel om voor veilige gegevensstromen te zorgen. De betrokken inspanningen omvatten verschillende vormen van voorbereidend werk, bijvoorbeeld in de context van lopende hervormingen voor nieuwe of geactualiseerde gegevensbeschermingswetten of het stimuleren van het concept van “Data Free Flow with Trust” binnen multilaterale fora. Voorts gaat het om diverse dialogen over adequaatheid en om de modernisering en uitbreiding van ons instrumentarium voor gegevensdoorgifte door het bijwerken van de standaardcontractbepalingen en het leggen van een voor certificeringsmechanismen. Daarnaast worden er ook internationale onderhandelingen gevoerd, bijvoorbeeld op het gebied van grensoverschrijdende toegang tot elektronisch bewijsmateriaal, om te waarborgen dat de gegevensdoorgiften plaatsvinden met passende waarborgen inzake gegevensbescherming. Ten slotte zal de Commissie zich inzetten om de convergentie praktisch gestalte te geven, door onderhandelingen te voeren over internationale samenwerking en wederzijdse bijstand tussen handhavingsinstanties voor gegevensbescherming.

Deze evaluatie van de toepassing van de AVG sinds mei 2018 wijst uit dat de onderstaande acties voor de ondersteuning van die toepassing noodzakelijk zijn. De Commissie zal de tenuitvoerlegging van deze acties monitoren, mede met het oog op het volgende evaluatieverslag, dat in 2024 verschijnt.

Tenuitvoerlegging en aanvulling van het rechtskader

De lidstaten dienen:

-de afstemming van hun sectorale wetgeving op de AVG te voltooien;

-te overwegen het gebruik te beperken van specificatieclausules die tot versnippering zouden kunnen leiden en het vrije verkeer van gegevens binnen de EU in gevaar zouden kunnen brengen;

-te beoordelen of het nationale recht tot uitvoering van de AVG in alle omstandigheden binnen de marges valt die zijn vastgesteld voor de wetgeving van de lidstaten.

De Commissie zal:

-bilaterale besprekingen voeren met de lidstaten over de conformiteit van de nationale wetgeving met de AVG, onder meer wat betreft de onafhankelijkheid en de middelen van nationale gegevensbeschermingsautoriteiten; gebruikmaken van alle instrumenten die tot haar beschikking staan, met inbegrip van inbreukprocedures, om ervoor te zorgen dat de lidstaten de AVG naleven;

-met betrekking tot onderwerpen die verder moeten worden gespecificeerd op nationaal niveau, ondersteuning geven aan nadere uitwisselingen van standpunten en nationale praktijken tussen de lidstaten, om de versnippering van de eengemaakte markt te beperken, zoals de verwerking van persoonsgegevens in verband met gezondheid en onderzoek, of van gegevens waarbij ook rekening moet worden gehouden met andere rechten, zoals de vrijheid van meningsuiting;

-ondersteuning geven aan een consistente toepassing van het kader voor gegevensbescherming met betrekking tot nieuwe technologieën, teneinde innovatie en technologische ontwikkelingen te bevorderen;

-gebruikmaken van de AVG-deskundigengroep van de lidstaten (die is ingesteld tijdens de overgangsfase vóór de inwerkingtreding van de AVG) om besprekingen en de uitwisseling van ervaringen tussen de lidstaten en met de Commissie te bevorderen;

-nagaan of, in het licht van nieuwe ervaring en relevante jurisprudentie, het passend zou kunnen zijn om mogelijke gerichte wijzigingen voor te stellen ten aanzien van een aantal bepalingen van de AVG, met name met betrekking tot de registers van verwerkingsactiviteiten van kmo’s die de verwerking van persoonsgegevens niet als kernactiviteit verrichten (gering risico) 65 en de mogelijke harmonisering van leeftijd waarop kinderen toestemming kunnen geven met betrekking tot diensten van de informatiemaatschappij.

Zorgen voor optimaal gebruik van het nieuwe governancesysteem

De EDPB en gegevensbeschermingsautoriteiten wordt verzocht om:

-doeltreffende regelingen te ontwikkelen tussen de gegevensbeschermingsautoriteiten met betrekking tot de werking van de samenwerkings- en coherentiemechanismen, met inbegrip van procedurele aspecten, voortbouwend op de deskundigheid van de leden van de EDPB en door zijn secretariaat nauwer bij het werk te betrekken;

-de harmonisatie te ondersteunen door voor de toepassing en handhaving van de AVG gebruik te maken van alle beschikbare middelen, waaronder het nader verduidelijken van belangrijke begrippen uit de AVG en het waarborgen dat nationale richtsnoeren volledig in overeenstemming zijn met de richtsnoeren van de EDPB;

-het gebruik aan te moedigen van alle instrumenten waarin de AVG voorziet, om te waarborgen dat de verordening consistent wordt toegepast;

-de samenwerking tussen gegevensbeschermingsautoriteiten te intensiveren, bijvoorbeeld door gezamenlijk onderzoek te verrichten.

De Commissie zal:

-de daadwerkelijke en volledige onafhankelijkheid van nationale gegevensbeschermingsautoriteiten nauwlettend blijven monitoren;

-samenwerking tussen regelgevende instanties aanmoedigen (met name op gebieden als mededinging, elektronische communicatie, beveiliging van netwerk- en informatiesystemen en consumentenbeleid);

-meedenken met de EDPB over de procedures die door de nationale gegevensbeschermingsautoriteiten worden toegepast om de samenwerking in grensoverschrijdende zaken te verbeteren.

De lidstaten moeten:

-voldoende middelen toewijzen aan gegevensbeschermingsautoriteiten voor het vervullen van hun taken.

Belanghebbenden ondersteunen

De EDPB en gegevensbeschermingsautoriteiten wordt verzocht om:

-verdere richtsnoeren vast te stellen die praktisch en begrijpelijk zijn, duidelijke antwoorden bieden en dubbelzinnigheden vermijden met betrekking tot de toepassing van de AVG, zoals de verwerking van gegevens van kinderen en de rechten van betrokkenen (waaronder de uitoefening van het recht op toegang en het recht op toegang en het recht om gegevens te laten wissen), en daarbij te overleggen met belanghebbenden;

-de richtsnoeren te herzien wanneer verdere verduidelijkingen nodig blijken in het licht van nieuwe ervaringen en ontwikkelingen, met inbegrip van de jurisprudentie van het Hof van Justitie;

-praktische instrumenten te ontwikkelen, zoals geharmoniseerde formulieren voor inbreuken in verband met persoonsgegevens en vereenvoudigde registers van verwerkingsactiviteiten, om kmo’s met geringe risico’s te helpen aan hun verplichtingen te voldoen.

De Commissie zal:

-voorzien in standaardcontractbepalingen voor zowel internationale doorgiften als de verhouding tussen de verwerkingsverantwoordelijke en de verwerker;

-zorgen voor instrumenten die de toepassing van de regels inzake gegevensbescherming op kinderen verduidelijken/ondersteunen 66 ;

-overeenkomstig de datastrategie praktische middelen onderzoeken om de uitoefening van het recht op portabiliteit gemakkelijker te maken voor mensen, bijvoorbeeld door hun meer zeggenschap te geven over wie er toegang heeft tot door machines gegenereerde gegevens en over wie daar gebruik van mag maken;

-de standaardisering/certificering van met name cyberbeveiligingsaspecten ondersteunen door middel van de samenwerking tussen het Europees Agentschap voor netwerk- en informatiebeveiliging (Enisa), de gegevensbeschermingsautoriteiten en de EDPB;

-indien passend gebruikmaken van haar recht om de EDPB te verzoeken richtsnoeren en adviezen op te stellen over specifieke kwesties die relevant zijn voor belanghebbenden;

-indien nodig richtsnoeren verstrekken, met volledige inachtneming van de rol van de EDPB;

-activiteiten ondersteunen die gegevensbeschermingsautoriteiten ontplooien om te bevorderen dat kmo’s de in de AVG vervatte verplichtingen naleven, door middel van financiële steun, met name voor praktische richtsnoeren en digitale instrumenten die kunnen worden overgenomen in andere lidstaten.

Innovatie stimuleren

De Commissie zal:

-de toepassing van de AVG op nieuwe technologieën monitoren en daarbij onder meer rekening houden met mogelijke toekomstige initiatieven op het gebied van kunstmatige intelligentie en in het kader van de datastrategie;

-mede door middel van financiële steun het opstellen van EU-gedragscodes op het gebied van gezondheid en onderzoek stimuleren;

-de ontwikkeling en het gebruik van apps in het kader van de COVID-19-pandemie nauwlettend volgen.

De EDPB wordt verzocht:

-richtsnoeren uit te vaardigen voor de toepassing van de AVG op het gebied van wetenschappelijk onderzoek, kunstmatige intelligentie, blockchain en andere mogelijke technische ontwikkelingen;

-de richtsnoeren te herzien wanneer technologische ontwikkelingen tot nadere verduidelijkingen nopen.

Het instrumentarium voor gegevensdoorgifte verder ontwikkelen

De Commissie zal:

-dialogen over adequaatheid voeren met belangstellende derde landen, overeenkomstig de strategie die is uiteengezet in haar mededeling “Uitwisseling en bescherming van persoonsgegevens in een geglobaliseerde wereld” (2017), en daarbij zo mogelijk ook ingaan op de gegevensdoorgifte aan rechtshandhavingsinstanties (op grond van de richtlijn gegevensbescherming bij rechtshandhaving) en andere overheidsinstanties. In dat kader zal ook het adequaatheidsbesluit met de Republiek Korea zo spoedig mogelijk zijn beslag krijgen;

-de lopende evaluatie van de bestaande adequaatheidsbesluiten afronden en verslag uitbrengen aan het Europees Parlement en de Raad;

-het werk in verband met de modernisering van de modelcontractbepalingen voltooien, teneinde die bepalingen in overeenstemming te brengen met de AVG, alle relevante doorgiftescenario’s te bestrijken en voor betere aansluiting bij de moderne bedrijfspraktijken te zorgen.

De EDPB wordt verzocht:

-de wisselwerking tussen de regels inzake internationale doorgifte van gegevens (hoofdstuk V) enerzijds en het territoriale toepassingsgebied van de AVG (artikel 3) verder te verduidelijken;

-te zorgen voor doeltreffende handhaving ten aanzien van marktdeelnemers die gevestigd zijn in derde landen die onder het territoriale toepassingsgebied van de AVG vallen, ook met betrekking tot de eventuele aanwijzing van een vertegenwoordiger (artikel 27);

-de beoordeling en uiteindelijke goedkeuring van bindende bedrijfsvoorschriften te stroomlijnen teneinde het proces te versnellen;

-het werk aan de architectuur, procedures en beoordelingscriteria voor gedragscodes en certificeringsmechanismen als instrumenten voor gegevensdoorgifte afronden.

Convergentie bevorderen en internationale samenwerking ontwikkelen

De Commissie zal:

-lopende hervormingsprocessen in verband met nieuwe of gemoderniseerde regels inzake gegevensbescherming in derde landen ondersteunen door de uitwisseling van ervaring en beste praktijken;

-samenwerken met de Afrikaanse partners om de convergentie van de regelgeving te bevorderen en de capaciteitsopbouw van toezichthoudende autoriteiten te ondersteunen in het kader van het digitale hoofdstuk van het nieuwe partnerschap tussen de EU en Afrika;

-beoordelen hoe samenwerking tussen private exploitanten en rechtshandhavingsinstanties kan worden vergemakkelijkt, door onder meer te onderhandelen over bilaterale en multilaterale kaders voor gegevensdoorgifte in de context van de toegang van buitenlandse rechtshandhavingsinstanties tot elektronisch bewijsmateriaal, teneinde wetsconflicten te vermijden en tegelijkertijd voor passende gegevensbeschermingswaarborgen te zorgen;

-samenwerken met internationale en regionale organisaties als de OESO, de ASEAN en de G20 om betrouwbare gegevensstromen te bevorderen op basis van hoge normen inzake gegevensbescherming, onder meer in het kader van het “Data Free Flow with Trust”-initiatief;

-een “Data Protection Academy” opzetten om de uitwisseling tussen Europese en internationale regelgevende instanties te vergemakkelijken en te ondersteunen;

-internationale samenwerking inzake rechtshandhaving tussen toezichthoudende autoriteiten bevorderen, onder meer door middel van onderhandelingen over overeenkomsten voor samenwerking en wederzijdse bijstand.

(1)

 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, PB L 119 van 4.5.2016, blz. 1. 

(2)

Sinds de opname ervan in de Overeenkomst betreffende de Europese Economische Ruimte (EER) is de verordening ook van toepassing op Noorwegen, IJsland en Liechtenstein.

(3)

  https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-excellence-and-trust_nl

(4)

  https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy

(5)

Dit wetgevingskader omvat ook de richtlijn gegevensbescherming inzake rechtshandhaving (Richtlijn 2016/680) en de verordening gegevensbescherming voor EU-instellingen en -organen (Verordening 2018/1725).

(6)

 Voorstel voor een verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie), COM(2017) 10 final 2017/03 (COD).

(7)

Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), PB L 201 van 31.7.2002, blz. 37.

(8)

https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_nl

(9)

Mededeling van de Commissie aan het Europees Parlement, de Europese Raad, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s – De Europese Green Deal - COM(2019) 640 final.

(10)

 Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio's - Een Europese datastrategie - COM(2020) 66 final.

(11)

Die tien sectorspecifieke gemeenschappelijke Europese ruimten hebben betrekking op: gezondheidsdata, industriële data, energiedata, mobiliteitsdata, landbouwdata, financiële data, data voor overheidsdiensten, vaardighedendata, de Europese Green Deal en de European Open Science Cloud.

(12)

Zie bv. de studie van Cisco over privacy van de consument van 2019 ( https://www.cisco.com/c/dam/en/us/products/collateral/security/cybersecurity-series-2019-cps.pdf ). Volgens deze studie, waarvoor 2 600 consumenten in de hele wereld werden bevraagd, heeft een belangrijk aantal consumenten reeds stappen ondernomen om hun privacy te beschermen, bijvoorbeeld door bedrijven of aanbieders voor andere te verruilen vanwege hun gegevensbeleid of gegevensuitwisselingspraktijken.

(13)

Toespraak van de secretaris-generaal van de VN voor de Italiaanse Senaat van 18 december 2019 (beschikbaar op: https://www.un.org/press/en/2019/sgsm19916.doc.htm ).

(14)

Dit kader omvat, naast de AVG, ook de e-privacyrichtlijn (Richtlijn 2002/58/EG), die onder meer regels bevat over de toegang tot en de opslag van informatie op de eindapparatuur van de gebruiker.

(15)

Mededeling van de Commissie over richtsnoeren in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie, 2020/C 124 I/01 - C/2020/2523 - PB C 124I van 17.4.2020, blz. 1. Op 16 april 2020 hebben de lidstaten met de steun van de Commissie een EU-toolbox ontwikkeld voor het gebruik van mobiele waarschuwings- en contacttraceringapps in verband met de coronapandemie. Dit maakt deel uit van een gemeenschappelijke gecoördineerde aanpak ter ondersteuning van de geleidelijke opheffing van afzonderingsmaatregelen. https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf .

(16)

 Richtsnoeren van de Commissie voor de toepassing van de EU-gegevensbeschermingswetgeving in het kader van verkiezingen – Een bijdrage van de Europese Commissie aan de bijeenkomst van leiders in Salzburg, 19-20 september 2018, COM(2018) 638 final.

(17)

Standpunt van de Raad en bevindingen over de toepassing van de algemene verordening gegevensbescherming:

https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/nl/pdf

(18)

Brief van de LIBE-commissie van het Europees Parlement van 21 februari 2020 aan commissaris Reynders, ref. IPOL-COM-LIBE D (2020)6525.

(19)

Bijdrage van de EDPB aan de evaluatie van de AVG in het kader van artikel 97, goedgekeurd op 18 februari 2020: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-under-article-97_nl

(20)

  https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_nl

(21)

De door de Commissie in het kader van de verordening opgezette deskundigengroep met meerdere belanghebbenden bestaat uit vertegenwoordigers van het maatschappelijk middenveld en het bedrijfsleven, academici en mensen uit de praktijk:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537&Lang=NL

(22)

  https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12322-Report-on-the-application-of-the-General-Data-Protection-Regulation/feedback?p_id=7669437

(23)

Zie bv. het standpunt en de bevindingen van de Raad en de bijdrage van de EDPB.

(24)

Zie punt 2.1 van het werkdocument van de diensten van de Commissie.

(25)

Als een bedrijf grensoverschrijdend gegevens verwerkt, is de bevoegde gegevensbeschermingsautoriteit de autoriteit van de lidstaat waar het bedrijf zijn hoofdvestiging heeft.

(26)

Zie punt 2.2 van het werkdocument van de diensten van de Commissie.

(27)

Tussen 25 mei 2018 en 31 december 2019 werden 141 ontwerpbesluiten ingediend via de één-loketprocedure, waarvan er 79 tot definitieve besluiten hebben geleid.

(28)

Zo was een betere harmonisatie mogelijk geweest van de nationale lijsten van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is overeenkomstig artikel 35 AVG.

(29)

Zie punt 2.2 van het werkdocument van de diensten van de Commissie.

(30)

Met name vertegenwoordigers van het bedrijfsleven en het maatschappelijk middenveld. Zie punt 2.3 van het werkdocument van de diensten van de Commissie.

(31)

Zij vormen een aanvulling op de tien richtsnoeren die de Groep artikel 29 in de aanloop naar de inwerkingtreding van de verordening heeft vastgesteld en die de EDPB heeft bekrachtigd. De EDPB heeft tussen januari en eind mei 2020 ook vier aanvullende richtsnoeren vastgesteld en een bestaand document met richtsnoeren geactualiseerd.

(32)

42 van deze adviezen werden uitgebracht op grond van artikel 64 AVG, en één op grond van artikel 70, lid 1, onder s), AVG, dat betrekking had op het adequaatheidsbesluit ten aanzien van Japan.

(33)

Mededeling van de Commissie aan het Europees Parlement en de Raad: Gegevensbeschermingsregels als basis voor vertrouwen in de EU en daarbuiten – een inventarisatie, – COM(2019) 374 final, 24.7.2019.

(34)

Voor alle nationale gegevensbeschermingsautoriteiten in de EER samen is in de periode 2016–2019 het aantal personeelsleden gestegen met 42 % en de begroting met 49 %.

(35)

Zie punt 2.4 van het werkdocument van de diensten van de Commissie.

(36)

Het meest recent in maart 2020 in een brief van commissaris Reynders.

(37)

De nationale gegevensbeschermingsautoriteit van Slovenië is opgericht op basis van de huidige nationale wetgeving inzake gegevensbescherming en houdt toezicht op de toepassing van de AVG in die lidstaat.

(38)

Zie punt 3.1 van het werkdocument van de diensten van de Commissie.

(39)

Zie punt 3.2 van het werkdocument van de diensten van de Commissie.

(40)

Artikel 52, lid 1, van het handvest;

(41)

Zie punt 3.1 van het werkdocument van de diensten van de Commissie: Balans tussen het recht op bescherming van persoonsgegevens en de vrijheid van meningsuiting en van informatie.

(42)

De Commissie is een onderzoek gestart naar de beoordeling van de regels van de lidstaten inzake gezondheidsgegevens in het licht van de AVG, Chafea/2018/Health/03, specifiek contract nr. 2019 70 01.

(43)

Zie de acties die zijn aangekondigd in de Europese datastrategie, blz. 30.

(44)

Bureau van de Europese Unie voor de grondrechten (FRA), 2020: Fundamental Rights Survey 2019. Gegevensbescherming en technologie: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection

(45)

Het is de bedoeling dat de voorgestelde richtlijn betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten (COM(2018) 184 final – 2018/089 (COD)) het kader voor representatieve vorderingen op het gebied van gegevensbescherming zal versterken.

(46)

Deze tools kunnen ook hulpmiddelen zijn voor het beheer van toestemmingen en apps voor het beheer van persoonlijke informatie.

(47)

  https://ec.europa.eu/commission/presscorner/detail/nl/ip_20_962  

(48)

Verordening (EU) 2018/1807 van het Europees Parlement en de Raad van 14 november 2018 inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie (PB L 303 van 28.11.2018, blz. 59).

(49)

Zie punt 5 van het werkdocument van de diensten van de Commissie. Zie ook de richtsnoeren over de verordening inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie (COM(2019) 250 final), waarin uitleg wordt gegeven over de regels voor de verwerking van gemengde datasets (d.w.z. datasets die zowel persoonsgegevens als niet-persoonsgebonden gegevens bevatten), zodat die verwerking praktisch mogelijk wordt voor ondernemingen (incl. kleine en middelgrote ondernemingen).

(50)

De Commissie heeft financiële steun verleend met drie reeksen subsidies voor in totaal 5 miljoen EUR. De meest recente subsidies waren specifiek bedoeld om de nationale gegevensbeschermingsautoriteiten te ondersteunen bij hun inspanningen om particulieren en kleine en middelgrote ondernemingen te bereiken, zie https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_en Er zal in 2020 1 miljoen EUR extra worden toegewezen.

(51)

Overeenkomstig artikel 28 AVG.

(52)

Overeenkomstig artikel 46 AVG.

(53)

Witboek over kunstmatige intelligentie – een Europese benadering op basis van excellentie en vertrouwen (COM(2020) 65 final).

(54)

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).

(55)

Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).

(56)

Deze landen en gebieden zijn: Andorra, Argentinië, Canada, de Faeröer, Guernsey, Jersey, Man, Israël, Nieuw-Zeeland, Zwitserland en Uruguay.

(57)

Zie zaak C-311/18, Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems (“Schrems II”), die betrekking heeft op een verzoek om een prejudiciële beslissing over de zogeheten modelcontractbepalingen. Sommige onderdelen van de adequaatheidsnorm zouden echter ook door het Hof nader kunnen worden verduidelijkt.

(58)

Zie de zaak Schrems II.

(59)

Zie bv. de Verklaring van Osaka van de leiders van de G20: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf

(60)

Datastrategie, blz. 23.

(61)

     Zie de horizontale bepalingen inzake grensoverschrijdende gegevensstromen en inzake persoonsgegevensbescherming (in de handels- en investeringsovereenkomsten van de EU): https://trade.ec.europa.eu/doclib/docs/2018/may/tradoc_156884.pdf  

(62)

 84 WTO-leden zij nu betrokken bij multilaterale onderhandelingen over e-handel, naar aanleiding van het Joint Statement Initiative dat op 25 januari 2019 werd vastgesteld in Davos. In het kader van dit proces heeft de EU op 3 mei 2019 haar tekstvoorstel ingediend voor toekomstige regels en verplichtingen op het gebied van e-handel. Het voorstel bevat horizontale bepalingen over gegevensstromen en persoonsgegevensbescherming: https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf .

(63)

Vgl. het standpunt en bevindingen van de Raad over de toepassing van de algemene verordening gegevensbescherming (AVG).

(64)

Dit was het geval in Duitsland en in Spanje, alsook in Oostenrijk, waar een einde werd gemaakt aan een leemte in de nationale wetgeving.

(65)

   Artikel 30, lid 5, AVG.

(66)

   Een project van de Commissie inzake instrumenten voor leeftijdsvaststelling – een proefproject betreffende een interoperabele technische infrastructuur ter bescherming van kinderen, met leeftijdscontrole en toestemming van de ouders. Dit project strekt tot ondersteuning van de toepassing van de kinderbeschermingsmechanismen die zijn gebaseerd op bestaande EU-wetgeving die relevant is voor het online beschermen van kinderen.

Top