EUROPESE COMMISSIE
Brussel, 24.6.2020
COM(2020) 264 final
MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD
Gegevensbescherming als pijler van zeggenschap van de burger en de EU-aanpak van de digitale transformatie — twee jaar toepassing van de algemene verordening gegevensbescherming
{SWD(2020) 115 final}
MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD
Gegevensbescherming als pijler van zeggenschap van de burger en de EU-aanpak van de digitale transformatie — twee jaar toepassing van de algemene verordening gegevensbescherming
1Gegevensbeschermingsregels als pijler van de sterkere positie van de burger en de EU-aanpak van de digitale transformatie
Dit is het eerste verslag over de evaluatie en de toetsing van de algemene verordening gegevensbescherming (hierna “AVG” genoemd), met name over de toepassing en de werking van de regels betreffende de doorgifte van persoonsgegevens aan derde landen of internationale organisaties, en van de regels betreffende samenwerking en coherentie, overeenkomstig artikel 97 AVG.
De AVG, die sinds 25 mei 2018 van toepassing is, vormt de kern van het EU-kader dat het grondrecht op gegevensbescherming waarborgt, zoals verankerd in het Handvest van de grondrechten van de Europese Unie (artikel 8) en in de Verdragen (artikel 16 van het Verdrag betreffende de werking van de Europese Unie (VWEU)). De AVG zorgt voor strengere waarborgen op het gebied van gegevensbescherming, geeft burgers meer en sterkere rechten, biedt meer transparantie en zorgt ervoor dat alle personen die persoonsgegevens verwerken binnen het toepassingsgebied van de AVG, meer rekenschap moeten afleggen en een grotere verantwoordelijkheid dragen. Zij voorziet de onafhankelijke autoriteiten voor gegevensbescherming van sterkere en geharmoniseerde handhavingsbevoegdheden en zet een nieuw governancesysteem op. De AVG creëert ook een gelijk speelveld voor alle ondernemingen die op de EU-markt actief zijn, ongeacht waar zij zijn gevestigd, en zorgt voor het vrije verkeer van gegevens binnen de EU, waardoor de interne markt wordt versterkt.
De AVG is een belangrijk onderdeel van de mensgerichte aanpak van technologie en een kompas voor het gebruik van technologie in het kader van de ecologische en digitale transitie, hetgeen kenmerkend is voor de beleidsvorming van de EU. Dit is recentelijk benadrukt in het Witboek over kunstmatige intelligentie
en de mededeling over een Europese datastrategie
(hierna “datastrategie” genoemd) van februari 2020.
In een economie die in toenemende mate gebaseerd is op de verwerking van gegevens, waaronder persoonsgegevens, is de AVG een essentieel instrument om ervoor te zorgen dat personen meer controle over hun persoonlijke gegevens hebben en dat deze worden verwerkt voor een legitiem doel en op een rechtmatige, behoorlijke en transparante manier. Tegelijkertijd draagt de AVG bij tot de bevordering van op vertrouwen gebaseerde innovatie, met name door middel van haar risicogebaseerde benadering en beginselen zoals privacy door ontwerp en door standaardinstellingen. De Commissie heeft voorgesteld het wetgevingskader inzake gegevensbescherming en privacy
te aanvullen met de e-privacyverordening
, die de huidige e-privacyrichtlijn
moet vervangen. Dit voorstel wordt momenteel door de medewetgevers onderzocht en het is van groot belang ervoor te zorgen dat het snel wordt aangenomen.
Als onderdeel van de belangrijkste prioriteiten van de Commissie van een “Europa dat klaar is voor het digitale tijdperk” en de “Europese Green Deal”, kunnen nieuwe initiatieven worden ontwikkeld om de burgers in staat te stellen een actievere rol te spelen in de digitale transitie en het gebruik van digitale instrumenten te benutten om een klimaatneutrale samenleving en een duurzamere ontwikkeling tot stand te brengen. De AVG voorziet in een kader voor deze initiatieven en zorgt ervoor dat zij worden ontwikkeld om de positie van individuen daadwerkelijk te versterken.
In de datastrategie wordt gepleit voor de totstandbrenging van “één Europese gegevensruimte”, een echte interne markt voor data en tien sectorspecifieke gemeenschappelijke Europese gegevensruimten die relevant zijn voor de ecologische en digitale transitie. Voor al deze prioriteiten is een duidelijk en werkbaar kader voor het veilig delen van gegevens en een betere beschikbaarheid van gegevens van essentieel belang. In de datastrategie verklaarde de Commissie ook te zullen nagaan hoe het in toekomstige wetgeving mogelijk kan worden gemaakt om met inachtneming van de AVG gegevens uit openbare databanken te gebruiken voor wetenschappelijk onderzoek. De gegevensruimten moeten door de Europese cloudfederatie worden ondersteund in de vorm van gegevensverwerkings- en cloudinfrastructuurdiensten die in overeenstemming zijn met de AVG. De AVG waarborgt een hoog niveau van bescherming van persoonsgegevens, geeft individuen een centrale rol in al deze gegevensruimten, en biedt tegelijkertijd de nodige flexibiliteit om verschillende benaderingen mogelijk te maken.
De noodzaak om te zorgen voor vertrouwen en de behoefte aan bescherming van persoonsgegevens is zeker niet beperkt tot de EU. Mensen over de hele wereld hechten steeds meer waarde aan de privacy en de beveiliging van hun gegevens. Zoals uit een recente wereldwijde enquête blijkt, vinden zij dit een belangrijke factor die van invloed is op hun aankoopbeslissingen en hun onlinegedrag. Een groeiend aantal ondernemingen heeft op deze vraag naar privacy gereageerd, met name door vrijwillig een deel van de rechten en waarborgen waarin de AVG voorziet, uit te breiden tot hun klanten die buiten de EU zijn gevestigd. Veel bedrijven prijzen ook de eerbiediging van persoonsgegevens aan als een concurrerende differentiator en als een troef op de wereldmarkt, door innovatieve producten en diensten aan te bieden met nieuwe oplossingen voor privacy of gegevensbeveiliging. Bovendien doet de toegenomen capaciteit van actoren uit de particuliere en de publieke sector om op grote schaal data te verzamelen en te verwerken, belangrijke en complexe vragen rijzen, waardoor privacy in verschillende delen van de wereld steeds meer centraal komt te staan in het publieke debat.
De vaststelling van de AVG heeft andere landen in vele regio’s in de wereld ertoe aangezet om dit goede voorbeeld te volgen. Het gaat om een echte mondiale trend van Chili tot Zuid-Korea, van Brazilië tot Japan, van Kenia tot India en van Californië tot Indonesië. Het leiderschap van de EU op het gebied van gegevensbescherming toont aan dat zij een mondiale normsteller kan zijn voor de regulering van de digitale economie en dat wordt toegejuicht door belangrijke stemmen van de internationale gemeenschap, zoals de secretaris-generaal van de VN António Guterres, die liet optekenen dat de AVG tot voorbeeld strekt voor soortgelijke maatregelen elders en erop aandrong dat de EU en haar lidstaten het voortouw zouden blijven nemen bij het vormgeven van het digitale tijdperk en voorop blijven lopen op het gebied van de technologische innovatie en regelgeving.
Zo illustreert de huidige crisis als gevolg van de COVID-19-pandemie nog eens bijzonder duidelijk dat het debat over privacy inmiddels wereldwijd wordt gevoerd, zowel tijdens de crisis als bij het zoeken naar oplossingen. In de EU hebben verschillende lidstaten noodmaatregelen genomen om de volksgezondheid te beschermen. In de AVG is duidelijk bepaald dat elke beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet moet laten en in een democratische samenleving een noodzakelijke en evenredige maatregel moet zijn ter waarborging van doelstellingen van algemeen belang, zoals de volksgezondheid. Nu de inperkingsmaatregelen geleidelijk worden ingetrokken, moeten de besluitvormers beantwoorden aan de verwachting van de burgers dat zij digitale oplossingen aangeboden krijgen die betrouwbaar zijn en die het recht op privacy en op bescherming van persoonsgegevens eerbiedigen.
In veel landen wordt ingebouwde bescherming van de privacy, zoals vrijwillige deelname van gebruikers, gegevensminimalisatie en beveiliging, alsook de uitsluiting van geolocatie, van essentieel belang geacht voor de betrouwbaarheid en de maatschappelijke acceptatie van gegevensgestuurde oplossingen die gericht zijn op het monitoren en inperken van de verspreiding van het virus, het afstemmen van bestrijdingsmaatregelen van overheden, het bijstaan van patiënten of het uitvoeren van exitstrategieën. In de EU is het wetgevingskader voor gegevensbescherming en privacy een voldoende flexibel instrument gebleken om de ontwikkeling van praktische oplossingen (zoals trackingapps) mogelijk te maken en tegelijkertijd een hoog niveau van bescherming van persoonsgegevens te waarborgen. In dit verband heeft de Commissie op 16 april 2020 richtsnoeren gepubliceerd in verband met gegevensbescherming voor apps ter ondersteuning van de bestrijding van de COVID-19-pandemie.
De bescherming van persoonsgegevens speelt ook een belangrijke rol bij het voorkomen dat burgers bij het maken van keuzes worden gemanipuleerd, met name via het zeer gericht viseren van kiezers (“micro-targeting”) op basis van de onrechtmatige verwerking van persoonsgegevens. Door die bescherming kan inmenging in democratische processen worden vermeden, en worden het open debat, de eerlijkheid en de transparantie in stand gehouden, wat in een democratie essentieel is. Om die reden heeft de Commissie in september 2018 haar richtsnoeren voor de toepassing van de EU-gegevensbeschermingswetgeving in het kader van verkiezingen gepubliceerd.
Bij deze evaluatie en toetsing heeft de Commissie rekening gehouden met de bijdragen van de Raad, het Europees Parlement, het Europees Comité voor gegevensbescherming (hierna “EDPB” genoemd’) en de afzonderlijke gegevensbeschermingsautoriteiten, de deskundigengroep met meerdere belanghebbenden en andere belanghebbenden, onder meer via feedback over de routekaart
Het algemene oordeel is dat de AVG na twee jaar toepassing met succes haar doelstellingen heeft bereikt, het recht van het individu op bescherming van persoonsgegevens te versterken en het vrije verkeer van persoonsgegevens binnen de EU te waarborgen. Er is echter ook vastgesteld dat op een aantal gebieden verbeteringen mogelijk zijn. Net als de meeste belanghebbenden en gegevensbeschermingsautoriteiten is de Commissie van oordeel dat het in dit stadium voorbarig zou zijn om definitieve conclusies te trekken met betrekking tot de toepassing van de AVG. Waarschijnlijk zal de toenemende ervaring die de komende jaren zal worden opgedaan met de toepassing van de AVG bijdragen aan een oplossing voor de meeste problemen die door de lidstaten en belanghebbenden zijn geconstateerd. Niettemin wordt in dit verslag de aandacht gevestigd op de problemen die zich tot nu toe hebben voorgedaan en worden mogelijke manieren uiteengezet om deze aan te pakken.
Hoewel de nadruk ligt op de twee thema’s die in artikel 97, lid 2, AVG worden vermeld, namelijk internationale doorgifte en samenwerkings- en coherentiemechanismen, wordt bij deze evaluatie en toetsing een bredere benadering gevolgd en worden ook kwesties behandeld die de afgelopen twee jaar door verschillende actoren aan de orde zijn gesteld.
2Belangrijkste bevindingen
Handhaving van de AVG en de werking van het mechanisme voor samenwerkings- en coherentiemechanisme
De AVG voorziet in een innovatief governancesysteem, gebaseerd op onafhankelijke gegevensbeschermingsautoriteiten in de lidstaten en hun samenwerking in grensoverschrijdende zaken en binnen het Europees Comité voor gegevensbescherming (EDPB). De algemene opvatting is dat de gegevensbeschermingsautoriteiten evenwichtig gebruik hebben gemaakt van hun versterkte bevoegdheden tot het nemen van corrigerende maatregelen, waaronder waarschuwingen en berispingen, geldboeten en tijdelijke of definitieve verwerkingsbeperkingen. De Commissie merkt op dat de autoriteiten administratieve geldboeten hebben opgelegd die afhankelijk van de ernst van de inbreuken variëren van een paar duizend tot meerdere miljoenen euro. Andere sancties, zoals een verbod op verwerking, kunnen een even groot, zo niet groter afschrikkend effect hebben dan geldboeten. Het uiteindelijke doel van de AVG bestaat erin de cultuur en het gedrag van alle betrokken actoren te veranderen ten behoeve van particulieren. Nadere informatie over de wijze waarop gegevensbeschermingsautoriteiten gebruikmaken van de bevoegdheden om corrigerende maatregelen op te leggen, is opgenomen in het begeleidende werkdocument van de diensten van de Commissie.
Hoewel het nog vroeg is om de werking van de nieuwe samenwerkings- en coherentiemechanismen volledig te beoordelen, hebben de gegevensbeschermingsautoriteiten hun samenwerking ontwikkeld via het één-loketsysteem en door op grote schaal gebruik te maken van wederzijdse bijstand. Het één-loketmechanisme, dat een belangrijke troef van de interne markt is, wordt gebruikt om veel grensoverschrijdende zaken te beslechten. Momenteel zijn belangrijke besluiten met een grensoverschrijdende dimensie in behandeling die aan het één-loketsysteem zullen worden onderworpen. Deze besluiten, waarbij vaak multinationale grote technologiebedrijven zijn betrokken, zullen in veel lidstaten aanzienlijke gevolgen hebben voor de rechten van particulieren.
De ontwikkeling van een echte gemeenschappelijke Europese gegevensbeschermingscultuur door de gegevensbeschermingsautoriteiten is echter nog gaande. De gegevensbeschermingsautoriteiten hebben nog niet ten volle gebruik gemaakt van de instrumenten die de AVG biedt, zoals gezamenlijke acties die zouden kunnen leiden tot gezamenlijk onderzoek. Soms leidde het zoeken naar een gemeenschappelijke aanpak tot de keuze voor de kleinste gemene deler, en daardoor bleven mogelijkheden om tot meer harmonisatie te komen, onbenut.
Verdere vooruitgang is nodig om de behandeling van grensoverschrijdende zaken in de hele EU efficiënter te maken en beter te harmoniseren , onder meer uit procedureel oogpunt, bijvoorbeeld met betrekking tot de klachtenprocedures, de ontvankelijkheidscriteria voor klachten, de duur van procedures wanneer het nationale bestuursprocesrecht verschillende of geen termijnen voorschrijft, het tijdstip in de procedure waarop het recht om te worden gehoord wordt toegekend, of de informatie en betrokkenheid van de klagers tijdens de procedure. Het reflectieproces dat de EDPB daarover is gestart, wordt toegejuicht en de Commissie neemt deel aan deze besprekingen.
De activiteiten en de richtsnoeren van de EDPB zijn van cruciaal belang voor de consistente verdere ontwikkeling van de uitwisselingen tussen de EDPB en de belanghebbenden. Eind 2019 had de EDPB 67 documenten goedgekeurd, waaronder 10 nieuwe richtsnoeren, en 43 adviezen. In het algemeen zijn de belanghebbenden ingenomen met de richtsnoeren van de EDPB en vragen zij om aanvullende richtsnoeren over belangrijke begrippen van de AVG, maar zij wijzen ook op inconsistenties tussen de nationale richtsnoeren en de richtsnoeren van de EDPB. Zij benadrukken de behoefte aan meer praktisch advies, met name meer concrete voorbeelden, en het feit dat de gegevensbeschermingsautoriteiten over de nodige personele, technische en financiële middelen moeten kunnen beschikken om hun taken doeltreffend uit te voeren.
De Commissie heeft consequent benadrukt dat de lidstaten voldoende personele, financiële en technische middelen moeten toewijzen aan de nationale gegevensbeschermingsautoriteiten. De meeste van deze autoriteiten hebben hun personeelsbestand en begroting in de periode 2016–2019 zien toenemen; bij de Ierse, de Nederlandse, de IJslandse, de Luxemburgse en de Finse overheid is het aantal personeelsleden relatief het meest gestegen. Aangezien de grootste big tech-multinationals in Ierland en Luxemburg zijn gevestigd, treden de gegevensbeschermingsautoriteiten van deze landen op als leidende instanties in veel belangrijke grensoverschrijdende zaken. Om die reden hebben zij mogelijk meer middelen nodig dan hun bevolkingsomvang zou doen veronderstellen. De situatie verschilt echter nog steeds van lidstaat tot lidstaat en is over het algemeen nog onbevredigend. De gegevensbeschermingsautoriteiten spelen een essentiële rol bij de handhaving van de AVG op nationaal niveau en het functioneren van de samenwerkings- en coherentiemechanismen binnen de EDPB, met inbegrip van met name het één-loketmechanisme voor grensoverschrijdende gevallen. De lidstaten wordt derhalve verzocht hun voldoende middelen ter beschikking te stellen, zoals de AVG voorschrijft.
De regels zijn geharmoniseerd, maar er is nog steeds enige fragmentatie en de benaderingen lopen uiteen
De Commissie houdt toezicht op de wijze waarop de AVG in de nationale wetgeving is opgenomen. Toen dit verslag werd opgesteld, hadden alle lidstaten, met uitzondering van Slovenië, nieuwe wetgeving aangenomen of hun nationale wetgeving inzake gegevensbescherming aangepast. Slovenië is verzocht de Commissie duidelijkheid te verschaffen over de afronding van dat proces.
De AVG voorziet in een consistente aanpak van de regels inzake gegevensbescherming in de hele EU. Op sommige gebieden verplicht zij de lidstaten echter om wetgeving vast te stellen, terwijl de lidstaten op andere gebieden de bepalingen van de AVG nader mogen specificeren. Er bestaat daardoor nog steeds een zekere mate van versnippering, die met name ontstaan is doordat er op grote schaal gebruik is gemaakt van facultatieve clausules. De verschillen tussen de lidstaten wat betreft de leeftijd waarop kinderen toestemming kunnen geven met betrekking tot diensten van de informatiemaatschappij, leiden bijvoorbeeld tot onzekerheid voor kinderen en hun ouders wat betreft de toepassing van hun gegevensbeschermingsrechten op de eengemaakte markt. Deze versnippering zorgt ook voor problemen op het gebied van grensoverschrijdende activiteiten en innovatie, met name wat betreft nieuwe technologische ontwikkelingen en cyberbeveiligingsoplossingen. Met het oog op de doeltreffende werking van de interne markt, en om onnodige lasten voor ondernemingen te voorkomen, is het ook essentieel dat de nationale wetgeving niet verder gaat dan de door de AVG gestelde marges, en geen aanvullende vereisten invoert wanneer er geen marge is.
Een specifieke uitdaging voor de nationale wetgeving is de combinatie van het recht op bescherming van persoonsgegevens met de vrijheid van meningsuiting en van informatie, en de juiste afweging van deze rechten. In de nationale wetgeving van sommige lidstaten is vastgesteld dat de vrijheid van meningsuiting voorrang geniet, terwijl in andere lidstaten de bescherming van persoonsgegevens voorgaat en de gegevensbeschermingsregels slechts in specifieke situaties niet hoeven te worden toegepast, bijvoorbeeld wanneer het gaat om een persoon met een publieke status. In weer andere lidstaten wordt tot slot bepaald dat de wetgever een bepaalde afweging moet maken en/of dat een beoordeling per geval moet worden uitgevoerd wat betreft de afwijking van sommige bepalingen van de AVG.
De Commissie zal doorgaan met haar beoordeling van de nationale wetgevingen. De balans moet bij de wet worden geregeld, in overeenstemming zijn met de wezenlijke inhoud van de grondrechten en met de beginselen van evenredigheid en noodzakelijkheid. De gegevensbeschermingsregels (en de interpretatie en toepassing ervan) mogen de vrijheid van meningsuiting en van informatie niet aantasten door bijvoorbeeld een afschrikkend effect teweeg te brengen of journalisten onder druk te zetten om hun bronnen te openbaren. De afweging van deze twee rechten door de nationale wetgeving moet worden ingekaderd door de jurisprudentie van het Hof van Justitie en het Europees Hof voor de Rechten van de Mens.
De wetgevingen van de lidstaten hanteren verschillende benaderingen bij het vaststellen van afwijkingen van het algemene verbod op het verwerken van bijzondere categorieën persoonsgegevens; deze betreffen het niveau van specificatie en waarborgen, onder meer waar het gaat om verwerking voor gezondheids- en onderzoeksdoeleinden. Om dit probleem aan te pakken, brengt de Commissie allereerst de verschillende benaderingen van de lidstaten in kaart en zal zij vervolgens steun verlenen aan de invoering van een of meer gedragscodes die tot een meer consistente aanpak op dit gebied moeten bijdragen en de grensoverschrijdende verwerking van persoonsgegevens moeten vergemakkelijken. Bovendien zullen de toekomstige richtsnoeren van de EDPB voor het gebruik van persoonsgegevens op het gebied van wetenschappelijk onderzoek bijdragen tot een geharmoniseerde aanpak. De Commissie zal input geven aan de EDPB, met name in verband met gezondheidsonderzoek, onder meer in de vorm van concrete vragen en een analyse van specifieke scenario’s die de onderzoeksgemeenschap onder haar aandacht heeft gebracht.
Individuen de mogelijkheid geven hun gegevens te controleren
Volgens een enquête over de grondrechten heeft 69 % van de EU-bevolking ouder dan 16 jaar gehoord over de AVG en is 71 % van de mensen in de EU bekend met de nationale gegevensbeschermingsautoriteit.
Mensen zijn zich in toenemende mate bewust van hun rechten: het recht op toegang, rectificatie, wissing en overdraagbaarheid van hun persoonsgegevens, het recht om bezwaar te maken tegen verwerking en het recht op meer transparantie. De AVG heeft de procedurele rechten versterkt, waaronder het recht om een klacht in te dienen bij een gegevensbeschermingsautoriteit, onder meer door middel van representatieve vorderingen en het recht op een doeltreffende voorziening in rechte. Particulieren maken steeds vaker gebruiken van deze rechten, maar de uitoefening en de volledige handhaving ervan moeten verder worden vergemakkelijkt. De door de EDPB geleide beraadslagingen zullen de uitoefening van individuele rechten verduidelijken en verder vergemakkelijken, terwijl de voorgestelde richtlijn betreffende representatieve vorderingen, zodra die is aangenomen, personen in staat zal stellen collectieve vorderingen in te stellen in alle lidstaten, hetgeen de kosten van grensoverschrijdende vorderingen zal minderen.
Het recht op gegevensoverdraagbaarheid heeft een duidelijk, maar nog steeds niet volledig benut potentieel om personen een centrale plaats te geven in de data-economie, doordat het hen in staat stelt om naar een andere dienstverlener over te stappen, verschillende diensten te combineren, van andere innovatieve diensten gebruik te maken en voor de meest gegevensbeschermingsvriendelijke diensten te kiezen. Indirect zal dit de concurrentie bevorderen en innovatie ondersteunen. Het is een van de prioriteiten van de Commissie om dit potentieel te ontsluiten, met name omdat, met het toenemende gebruik van het “internet der dingen”, consumenten steeds meer data genereren, waardoor zij het risico lopen te worden geconfronteerd met oneerlijke praktijken en lock-in-effecten. Gegevensoverdraagbaarheid kan aanzienlijke voordelen opleveren op het gebied van gezondheid en welzijn, verkleining van de ecologische voetafdruk en toegang tot openbare en particuliere diensten, hogere productiviteit bij fabricage en betere productkwaliteit en ‑veiligheid.
Problemen zoals het ontbreken van normen die mogelijk maken dat gegevens in machinaal leesbaar formaat worden verstrekt, moeten worden aangepakt, zoals ook in de datastrategie is benadrukt. Daardoor zal het effectieve gebruik van het recht op gegevensoverdraagbaarheid, dat vooralsnog beperkt blijft tot enkele sectoren (o.a. banken en telecommunicatie) worden bevorderd. Daartoe moeten met name geschikte tools en gestandaardiseerde formaten en interfaces worden ontworpen. Frequenter gebruik kan ook worden bereikt door met name technische interfaces en machineleesbare formaten verplicht te stellen die de overdraagbaarheid van gegevens in real time mogelijk maken. Door meer gebruik te maken van het recht op gegevensoverdraagbaarheid zouden particulieren onder meer gemakkelijker toestemming kunnen geven voor het gebruik van hun gegevens in het algemeen belang (bijvoorbeeld om onderzoek in de gezondheidszorg te bevorderen), indien zij dit wensen (“data-altruïsme”). Ter voorbereiding van het pakket voor digitale diensten zal de Commissie uitgebreider onderzoek doen naar de rol die data en datagerelateerde praktijken spelen in het platform-ecosysteem.
Kansen en uitdagingen voor organisaties, met name in het midden- en kleinbedrijf
Samen met de verordening vrij verkeer van niet-persoonsgebonden gegevens biedt de AVG bedrijven kansen door concurrentie en innovatie te bevorderen, het vrije verkeer van gegevens binnen de EU te waarborgen en een gelijk speelveld te creëren voor bedrijven die buiten de EU zijn gevestigd. Het recht op gegevensoverdraagbaarheid kan, in combinatie met het feit dat steeds meer mensen op zoek zijn naar privacyvriendelijkere oplossingen, leiden tot minder hindernissen voor de toegang van bedrijven tot de markt en tot meer groeimogelijkheden op basis van vertrouwen en innovatie. Sommige belanghebbenden melden dat de toepassing van de AVG vooral voor kleine en middelgrote ondernemingen een uitdaging vormt. Volgens de risicogebaseerde aanpak is het niet juist om derogaties toe te passen op basis van de omvang van een bedrijf, aangezien omvang op zich geen indicatie geeft van de risico’s die de verwerking van persoonsgegevens kan opleveren voor particulieren. Verschillende gegevensbeschermingsautoriteiten hebben praktische hulpmiddelen geboden om de toepassing van de AVG gemakkelijker te maken voor kleine en middelgrote ondernemingen waarvan de activiteiten een laag risico met zich meebrengen. Deze benadering moet intensiever en breder worden toegepast, bij voorkeur binnen het kader van een gemeenschappelijke Europese aanpak, zodat er geen belemmeringen voor de eengemaakte markt ontstaan.
De gegevensbeschermingsautoriteiten hebben diverse activiteiten ontwikkeld om kleine en middelgrote ondernemingen te helpen bij de naleving van de AVG; zo zijn modellen aangeboden voor verwerkingsovereenkomsten en voor registers van verwerkingsactiviteiten, seminars en telefonische advieslijnen. Voor een aantal van deze initiatieven heeft de EU financiële steun verleend. Om de toepassing van de AVG voor kleine en middelgrote ondernemingen te vergemakkelijken, moeten echter nog meer activiteiten worden overwogen.
De AVG voorziet in een instrumentarium dat voor alle soorten ondernemingen en organisaties beschikbaar is als hulpmiddel om te laten zien hoe de wetgeving kan worden nageleefd, zoals gedragscodes, certificeringsmechanismen en modelcontractbepalingen. Dit instrumentarium moet ten volle worden benut. Kleine en middelgrote ondernemingen wijzen er in het bijzonder op hoe belangrijk en nuttig het is dat gedragscodes op hun situatie zijn afgestemd en geen buitensporige kosten met zich meebrengen. Wat betreft certificeringsregelingen zijn beveiliging (met inbegrip van cyberbeveiliging) en gegevensbescherming door ontwerp essentiële elementen die in het kader van de AVG in aanmerking moeten worden genomen. Zij zouden baat hebben bij een gemeenschappelijke en ambitieuze aanpak in de hele EU. De Commissie werkt momenteel aan modelbepalingen voor de overeenkomsten tussen verwerkingsverantwoordelijken en verwerkers. Zij bouwt daarbij voort op de lopende werkzaamheden betreffende de modernisering van de modelcontractbepalingen voor internationale doorgiften.
Toepassing van de AVG op nieuwe technologieën
De AVG is technologieneutraal opgezet en gebaseerd op beginselen. Daardoor kunnen nieuwe technologieën worden meegenomen wanneer die tot stand komen.
De AVG wordt beschouwd als een essentieel en flexibel instrument, dat ervoor kan zorgen dat de ontwikkeling van nieuwe technologieën in overeenstemming is met de grondrechten. Het rechtskader inzake gegevensbescherming en privacy heeft zijn belang en flexibiliteit tijdens de COVID-19-crisis bewezen, met name wat betreft het ontwerp van de traceringsapps en andere technologische oplossingen voor de bestrijding van de pandemie. Er staan ons nog uitdagingen te wachten wanneer het erom gaat te verduidelijken hoe beginselen die zich hebben bewezen, kunnen worden toegepast op specifieke technologieën zoals kunstmatige intelligentie, blockchain, het internet der dingen en gezichtsherkenning. Permanente monitoring is een vereiste. Het witboek van de Commissie over kunstmatige intelligentie heeft bijvoorbeeld een openbaar debat geopend over specifieke omstandigheden die het gebruik van kunstmatige intelligentie voor biometrische identificatie op afstand (zoals gezichtsherkenning) op openbare plaatsen zouden kunnen rechtvaardigen, en over gemeenschappelijke waarborgen. Wat dit betreft moeten de gegevensbeschermingsautoriteiten klaar staan om de technische ontwerpprocessen in een vroeg stadium te begeleiden.
Krachtige en doeltreffende handhaving van de AVG ten aanzien van grote digitale platforms en geïntegreerde ondernemingen, onder meer op gebieden als onlinereclame en microtargeting, is bovendien essentieel om personen te kunnen beschermen.
Ontwikkeling van een modern internationaal instrumentarium voor gegevensoverdracht
De AVG biedt een gemoderniseerd instrumentarium om de doorgifte van persoonsgegevens van de EU naar derde land en internationale organisaties te vergemakkelijken, en zorgt er tevens voor dat de gegevens in hoge mate beschermd blijven. De afgelopen twee jaar heeft de Commissie zich er nog krachtiger voor ingezet dat het volledige potentieel van de in het kader van de AVG beschikbare instrumenten wordt benut.
Daartoe heeft zij actief samengewerkt met belangrijke partners om “adequaatheidsbesluiten” tot stand te brengen. Een dergelijk besluit zorgt ervoor dat persoonsgegevens veilig en vrij naar het betrokken derde land kunnen worden doorgegeven, zonder dat voor de gegevensexporteur nog andere waarborgen of vergunningen nodig zijn. Met name de in februari 2019 in werking getreden besluiten inzake de wederzijdse adequaatheid van de bescherming van persoonsgegevens in de EU en Japan hebben geleid tot ’s werelds grootste gebied van vrij en veilig gegevensverkeer. Het adequaatheidsbesluit met de Republiek Korea verkeert ook in een vergevorderd stadium en met andere belangrijke partners in Azië en Latijns-Amerika worden verkennende besprekingen gevoerd.
Adequate bescherming van persoonsgegevens is ook een belangrijke factor in de toekomstige betrekkingen met het Verenigd Koninkrijk, maar in dat verband moet aan de nodige voorwaarden worden voldaan. Adequate bescherming faciliteert het handelsverkeer, met inbegrip van de digitale handel, en is een essentiële voorwaarde voor nauwe en ambitieuze samenwerking op het gebied van rechtshandhaving en veiligheid. Bovendien is een hoge mate van convergentie van de gegevensbescherming een belangrijke voorwaarde voor een gelijk speelveld tussen twee zo nauw met elkaar verweven economieën. Overeenkomstig de politieke verklaring over de toekomstige betrekkingen tussen de EU en het VK verricht de Commissie momenteel een adequaatheidsbeoordeling voor zowel de AVG als de richtlijn gegevensbescherming bij rechtshandhaving.
In het kader van de eerste evaluatie van de AVG moet de Commissie ook de adequaatheidsbesluiten die op grond van de oude regels zijn vastgesteld, herzien. De diensten van de Commissie voeren intensief overleg met elk van de elf betrokken derde landen en gebieden, teneinde na te gaan hoe hun systemen voor gegevensbescherming zich sinds de vaststelling van het adequaatheidsbesluit hebben ontwikkeld en of zij voldoen aan de normen van de AVG. De noodzaak om de continuïteit te waarborgen van dergelijke besluiten, die een essentieel instrument zijn voor handel en internationale samenwerking, is een van de factoren die verschillende van deze landen en gebieden ertoe hebben aangezet hun privacywetgeving te moderniseren en te versterken. Met een aantal van deze landen en gebieden wordt gesproken over aanvullende beschermingsmaatregelen om relevante verschillen in de bescherming aan te pakken. Aangezien het Hof van Justitie in een op 16 juli te wijzen arrest evenwel verduidelijkingen kan verschaffen die relevant kunnen zijn voor bepaalde onderdelen van de adequaatheidsnorm, zal de Commissie afzonderlijk verslag uitbrengen over de beoordeling van de bestaande adequaatheidsbesluiten, nadat het Hof van Justitie zijn arrest in die zaak heeft gewezen.
Naast haar inspanningen op het gebied van adequaatheid werkt de Commissie aan een uitgebreide modernisering om de standaardcontractbepalingen in overeenstemming te brengen met de nieuwe vereisten die zijn ingevoerd bij de AVG. Het doel is die bepalingen beter te laten aansluiten bij de realiteit van de verwerkingen in de moderne digitale economie en na te gaan of bepaalde waarborgen nader moeten worden toegelicht, gezien de toekomstige rechtspraak van het Hof van Justitie. Deze clausules zijn het mechanisme voor gegevensdoorgifte dat veruit het meest wordt benut: duizenden bedrijven in de EU maken er gebruik van om een brede waaier van diensten aan te bieden aan hun klanten, leveranciers, partners en werknemers.
De EDPB speelt ook een actieve rol bij de ontwikkeling van de internationale aspecten van de AVG. Daarbij gaat het onder meer om het actualiseren van de richtsnoeren voor de bestaande mechanismen voor doorgifte, zoals bindende bedrijfsvoorschriften en zogeheten afwijkingen, alsook om het ontwikkelen van de juridische infrastructuur voor het gebruik van de nieuwe instrumenten die zijn ingevoerd bij de AVG, namelijk gedragscodes en certificering.
Om ervoor te zorgen dat belanghebbenden ten volle gebruik kunnen maken van de AVG-instrumenten voor doorgifte, is het van belang dat de EDPB zijn lopende werkzaamheden in verband met de diverse overdrachtsmechanismen intensiveert door onder meer het goedkeuringsproces voor bindende bedrijfsvoorschriften verder te stroomlijnen, de richtsnoeren inzake gedragscodes en certificering als instrument voor doorgifte af te ronden en de wisselwerking tussen de regels inzake internationale doorgifte van gegevens (hoofdstuk V) en het territoriale toepassingsgebied van de AVG (artikel 3).
Een ander belangrijk aspect van de internationale dimensie van de EU-regels inzake gegevensbescherming is het uitgebreide territoriale toepassingsgebied van de AVG, dat ook de verwerkingsactiviteiten bestrijkt van buitenlandse marktdeelnemers die actief zijn op de EU-markt. Om te waarborgen dat de AVG daadwerkelijk wordt nageleefd en er echt sprake is van een gelijk speelveld, is het van wezenlijk belang dat de gegevensbeschermingsautoriteiten bij hun handhavingsmaatregelen terdege met deze uitbreiding rekening houden. Indien nodig moeten zij met name een beroep doen op de vertegenwoordiger in de EU van de verwerkingsverantwoordelijke of de verwerker; die vertegenwoordiger kan daartoe worden aangesproken naast of in plaats van de buiten de EU gevestigde onderneming. Er moet krachtiger worden vastgehouden aan deze aanpak, teneinde zonneklaar te maken dat het feit dat een buitenlandse marktdeelnemers niet over een vestiging in de EU beschikt, hem niet ontslaat van zijn verplichtingen uit hoofde van de AVG.
Bevorderen van convergentie en internationale samenwerking op het gebied van gegevensbescherming
De AVG blijkt internationaal inmiddels als een belangrijk referentiepunt te fungeren; door de verordening zijn wereldwijd tal van landen zich gaan bezinnen op een modernisering van hun privacyregels. Deze trend in de richting van mondiale convergentie is een bijzonder positieve ontwikkeling, die nieuwe mogelijkheden oplevert om mensen in de EU beter te beschermen bij doorgifte van hun gegevens naar het buitenland, en tegelijkertijd gegevensstromen te vergemakkelijken.
Voortbouwend op deze trend heeft de Commissie haar dialoog in het kader van een aantal bilaterale, regionale en multilaterale fora geïntensiveerd om een wereldwijde cultuur van eerbiediging van privacy te bevorderen en elementen van convergentie tussen verschillende privacystelsels te ontwikkelen. Bij haar inspanningen vertrouwt de Commissie nu en in de toekomst op de actieve ondersteuning van de Europese Dienst voor extern optreden en het netwerk van EU-delegaties in derde landen en vertegenwoordigingen bij internationale organisaties. Deze aanpak heeft ook gezorgd voor meer samenhang en complementariteit tussen verschillende aspecten van de externe dimensie van EU-beleid, variërend van handel tot het nieuwe partnerschap EU-Afrika. Ook de G20 en G7 hebben onlangs onderkend dat gegevensbescherming bijdraagt tot vertrouwen in de digitale economie en gegevensstromen, met name door middel van het concept “Data Free Flow with Trust”, dat aanvankelijk is voorgesteld door het Japanse voorzitterschap van de G20. In de datastrategie benadrukt de Commissie haar voornemen om het delen van gegevens tussen betrouwbare partners te blijven bevorderen en misbruik, zoals onevenredige toegang van (buitenlandse) overheidsinstanties tot persoonsgegevens, te bestrijden.
De Commissie ijvert niet alleen voor internationale convergentie van de normen inzake gegevensbescherming, om gegevensstromen en derhalve handel te bevorderen, zij is ook vastbesloten om digitaal protectionisme aan te pakken, zoals onlangs is beklemtoond in de datastrategie. Daartoe heeft zij speciaal voor handelsovereenkomsten specifieke bepalingen inzake gegevensstromen en gegevensbescherming ontwikkeld, die zij stelselmatig inbrengt bij haar onderhandelingen, of deze nu bilateraal zijn (zoals de recente onderhandelingen met Australië, Nieuw-Zeeland en het VK) of multilateraal, zoals de huidige WTO-besprekingen over e-handel. Deze horizontale bepalingen verbieden ongerechtvaardigde beperkingen, zoals vereisten van gedwongen gegevenslokalisering, en verzekeren de regelgevingsautonomie van de partijen, teneinde het grondrecht van gegevensbescherming te vrijwaren.
Het is dan ook zaak om synergieën tussen instrumenten voor handel en gegevensbescherming nader te onderzoeken met het oog op het waarborgen van vrije en veilige internationale gegevensstromen, die in een steeds digitalere economie van wezenlijk belang zijn voor de bedrijfsactiviteiten, het concurrentievermogen en de groei van Europese bedrijven, met inbegrip van kmo’s.
Evenzeer is het van belang ervoor te zorgen dat als bedrijven die actief zijn op de Europese markt, op grond van een rechtmatig verzoek wordt verzocht om gegevens te delen voor rechtshandhavingsdoeleinden, zij hieraan gehoor kunnen geven zonder met wetsconflicten te maken te krijgen en met volledige inachtneming van de grondrechten van de EU. Om dergelijke doorgiften te verbeteren, streeft de Commissie ernaar samen met haar internationale partners passende rechtskaders te ontwikkelen om wetsconflicten te voorkomen en doeltreffende vormen van samenwerking te ondersteunen, met name door voor de nodige waarborgen inzake gegevensbescherming te zorgen en zo bij te dragen tot een doeltreffender bestrijding van criminaliteit.
Ten slotte dient er, nu problemen met de naleving van de privacyregels en incidenten op het gebied van gegevensbeveiliging tegelijk gevolgen kunnen hebben voor grote groepen mensen in verschillende jurisdicties, op praktisch vlak nauwer te worden samengewerkt door Europese en internationale regelgevende instanties. Daartoe moeten vooral passende rechtsinstrumenten worden ontwikkeld voor nauwere vormen van samenwerking en wederzijdse bijstand, bijvoorbeeld om de nodige informatie-uitwisseling in het kader van een onderzoek mogelijk te maken. Met datzelfde doel voor ogen werkt de Commissie aan een “Data Protection Academy”, een platform waar gegevensbeschermingsautoriteiten van binnen en buiten de EU kennis, ervaring en beste praktijken kunnen uitwisselen om samenwerking tussen privacyhandhavingsautoriteiten te bevorderen en te ondersteunen.
3Volgende stappen
Om optimaal gebruik te maken van de AVG, is het van belang tot een geharmoniseerde aanpak en een gemeenschappelijke Europese gegevensbeschermingscultuur te komen en te bevorderen dat de behandeling van grensoverschrijdende zaken doeltreffender wordt aangepakt en sterker wordt geharmoniseerd. Dit is wat burgers en bedrijven verwachten en is een essentiële doelstelling van de hervorming van de EU-regels inzake gegevensbescherming. Al even belangrijk is het ervoor te zorgen dat alle instrumenten waarin de AVG voorziet, ten volle worden gebruikt, opdat deze voor zowel burgers als bedrijven doeltreffend worden toegepast.
De Commissie zal haar bilaterale contacten met de lidstaten over de tenuitvoerlegging van de AVG voortzetten en zo nodig alle instrumenten die tot haar beschikking staan, blijven gebruiken om de lidstaten ertoe aan te zetten hun verplichtingen uit hoofde van de AVG te vervullen.
Aangezien de nationale wetgeving momenteel wordt beoordeeld, er nog niet zo veel praktische ervaring is opgedaan sinds de AVG van toepassing is geworden en het feit dat de sectorspecifieke wetgeving in veel lidstaten nog wordt herzien, is het nog te vroeg om definitieve conclusies te formuleren over de huidige mate van versnippering. Met betrekking tot de mogelijke wetsconflicten als gevolg van de tenuitvoerlegging van specifieke clausules door de lidstaten, moeten eerst de gevolgen voor de verwerkingsverantwoordelijken en de verwerkers beter worden begrepen.
Bij de follow-up van deze kwesties draagt de relevante jurisprudentie van de nationale rechtbanken en het Hof van Justitie bij tot een consistente interpretatie van de gegevensbeschermingsregels. Nationale rechtbanken hebben onlangs uitspraken gedaan waarbij nationaalrechtelijke bepalingen die afwijken van de AVG, ongeldig zijn verklaard.
Wat de internationale dimensie betreft, zal de Commissie zich blijven richten op het bevorderen van convergentie van gegevensbeschermingsregels als middel om voor veilige gegevensstromen te zorgen. De betrokken inspanningen omvatten verschillende vormen van voorbereidend werk, bijvoorbeeld in de context van lopende hervormingen voor nieuwe of geactualiseerde gegevensbeschermingswetten of het stimuleren van het concept van “Data Free Flow with Trust” binnen multilaterale fora. Voorts gaat het om diverse dialogen over adequaatheid en om de modernisering en uitbreiding van ons instrumentarium voor gegevensdoorgifte door het bijwerken van de standaardcontractbepalingen en het leggen van een voor certificeringsmechanismen. Daarnaast worden er ook internationale onderhandelingen gevoerd, bijvoorbeeld op het gebied van grensoverschrijdende toegang tot elektronisch bewijsmateriaal, om te waarborgen dat de gegevensdoorgiften plaatsvinden met passende waarborgen inzake gegevensbescherming. Ten slotte zal de Commissie zich inzetten om de convergentie praktisch gestalte te geven, door onderhandelingen te voeren over internationale samenwerking en wederzijdse bijstand tussen handhavingsinstanties voor gegevensbescherming.
Deze evaluatie van de toepassing van de AVG sinds mei 2018 wijst uit dat de onderstaande acties voor de ondersteuning van die toepassing noodzakelijk zijn. De Commissie zal de tenuitvoerlegging van deze acties monitoren, mede met het oog op het volgende evaluatieverslag, dat in 2024 verschijnt.
Tenuitvoerlegging en aanvulling van het rechtskader
De lidstaten dienen:
-de afstemming van hun sectorale wetgeving op de AVG te voltooien;
-te overwegen het gebruik te beperken van specificatieclausules die tot versnippering zouden kunnen leiden en het vrije verkeer van gegevens binnen de EU in gevaar zouden kunnen brengen;
-te beoordelen of het nationale recht tot uitvoering van de AVG in alle omstandigheden binnen de marges valt die zijn vastgesteld voor de wetgeving van de lidstaten.
De Commissie zal:
-bilaterale besprekingen voeren met de lidstaten over de conformiteit van de nationale wetgeving met de AVG, onder meer wat betreft de onafhankelijkheid en de middelen van nationale gegevensbeschermingsautoriteiten; gebruikmaken van alle instrumenten die tot haar beschikking staan, met inbegrip van inbreukprocedures, om ervoor te zorgen dat de lidstaten de AVG naleven;
-met betrekking tot onderwerpen die verder moeten worden gespecificeerd op nationaal niveau, ondersteuning geven aan nadere uitwisselingen van standpunten en nationale praktijken tussen de lidstaten, om de versnippering van de eengemaakte markt te beperken, zoals de verwerking van persoonsgegevens in verband met gezondheid en onderzoek, of van gegevens waarbij ook rekening moet worden gehouden met andere rechten, zoals de vrijheid van meningsuiting;
-ondersteuning geven aan een consistente toepassing van het kader voor gegevensbescherming met betrekking tot nieuwe technologieën, teneinde innovatie en technologische ontwikkelingen te bevorderen;
-gebruikmaken van de AVG-deskundigengroep van de lidstaten (die is ingesteld tijdens de overgangsfase vóór de inwerkingtreding van de AVG) om besprekingen en de uitwisseling van ervaringen tussen de lidstaten en met de Commissie te bevorderen;
-nagaan of, in het licht van nieuwe ervaring en relevante jurisprudentie, het passend zou kunnen zijn om mogelijke gerichte wijzigingen voor te stellen ten aanzien van een aantal bepalingen van de AVG, met name met betrekking tot de registers van verwerkingsactiviteiten van kmo’s die de verwerking van persoonsgegevens niet als kernactiviteit verrichten (gering risico) en de mogelijke harmonisering van leeftijd waarop kinderen toestemming kunnen geven met betrekking tot diensten van de informatiemaatschappij.
Zorgen voor optimaal gebruik van het nieuwe governancesysteem
De EDPB en gegevensbeschermingsautoriteiten wordt verzocht om:
-doeltreffende regelingen te ontwikkelen tussen de gegevensbeschermingsautoriteiten met betrekking tot de werking van de samenwerkings- en coherentiemechanismen, met inbegrip van procedurele aspecten, voortbouwend op de deskundigheid van de leden van de EDPB en door zijn secretariaat nauwer bij het werk te betrekken;
-de harmonisatie te ondersteunen door voor de toepassing en handhaving van de AVG gebruik te maken van alle beschikbare middelen, waaronder het nader verduidelijken van belangrijke begrippen uit de AVG en het waarborgen dat nationale richtsnoeren volledig in overeenstemming zijn met de richtsnoeren van de EDPB;
-het gebruik aan te moedigen van alle instrumenten waarin de AVG voorziet, om te waarborgen dat de verordening consistent wordt toegepast;
-de samenwerking tussen gegevensbeschermingsautoriteiten te intensiveren, bijvoorbeeld door gezamenlijk onderzoek te verrichten.
De Commissie zal:
-de daadwerkelijke en volledige onafhankelijkheid van nationale gegevensbeschermingsautoriteiten nauwlettend blijven monitoren;
-samenwerking tussen regelgevende instanties aanmoedigen (met name op gebieden als mededinging, elektronische communicatie, beveiliging van netwerk- en informatiesystemen en consumentenbeleid);
-meedenken met de EDPB over de procedures die door de nationale gegevensbeschermingsautoriteiten worden toegepast om de samenwerking in grensoverschrijdende zaken te verbeteren.
De lidstaten moeten:
-voldoende middelen toewijzen aan gegevensbeschermingsautoriteiten voor het vervullen van hun taken.
Belanghebbenden ondersteunen
De EDPB en gegevensbeschermingsautoriteiten wordt verzocht om:
-verdere richtsnoeren vast te stellen die praktisch en begrijpelijk zijn, duidelijke antwoorden bieden en dubbelzinnigheden vermijden met betrekking tot de toepassing van de AVG, zoals de verwerking van gegevens van kinderen en de rechten van betrokkenen (waaronder de uitoefening van het recht op toegang en het recht op toegang en het recht om gegevens te laten wissen), en daarbij te overleggen met belanghebbenden;
-de richtsnoeren te herzien wanneer verdere verduidelijkingen nodig blijken in het licht van nieuwe ervaringen en ontwikkelingen, met inbegrip van de jurisprudentie van het Hof van Justitie;
-praktische instrumenten te ontwikkelen, zoals geharmoniseerde formulieren voor inbreuken in verband met persoonsgegevens en vereenvoudigde registers van verwerkingsactiviteiten, om kmo’s met geringe risico’s te helpen aan hun verplichtingen te voldoen.
De Commissie zal:
-voorzien in standaardcontractbepalingen voor zowel internationale doorgiften als de verhouding tussen de verwerkingsverantwoordelijke en de verwerker;
-zorgen voor instrumenten die de toepassing van de regels inzake gegevensbescherming op kinderen verduidelijken/ondersteunen
;
-overeenkomstig de datastrategie praktische middelen onderzoeken om de uitoefening van het recht op portabiliteit gemakkelijker te maken voor mensen, bijvoorbeeld door hun meer zeggenschap te geven over wie er toegang heeft tot door machines gegenereerde gegevens en over wie daar gebruik van mag maken;
-de standaardisering/certificering van met name cyberbeveiligingsaspecten ondersteunen door middel van de samenwerking tussen het Europees Agentschap voor netwerk- en informatiebeveiliging (Enisa), de gegevensbeschermingsautoriteiten en de EDPB;
-indien passend gebruikmaken van haar recht om de EDPB te verzoeken richtsnoeren en adviezen op te stellen over specifieke kwesties die relevant zijn voor belanghebbenden;
-indien nodig richtsnoeren verstrekken, met volledige inachtneming van de rol van de EDPB;
-activiteiten ondersteunen die gegevensbeschermingsautoriteiten ontplooien om te bevorderen dat kmo’s de in de AVG vervatte verplichtingen naleven, door middel van financiële steun, met name voor praktische richtsnoeren en digitale instrumenten die kunnen worden overgenomen in andere lidstaten.
Innovatie stimuleren
De Commissie zal:
-de toepassing van de AVG op nieuwe technologieën monitoren en daarbij onder meer rekening houden met mogelijke toekomstige initiatieven op het gebied van kunstmatige intelligentie en in het kader van de datastrategie;
-mede door middel van financiële steun het opstellen van EU-gedragscodes op het gebied van gezondheid en onderzoek stimuleren;
-de ontwikkeling en het gebruik van apps in het kader van de COVID-19-pandemie nauwlettend volgen.
De EDPB wordt verzocht:
-richtsnoeren uit te vaardigen voor de toepassing van de AVG op het gebied van wetenschappelijk onderzoek, kunstmatige intelligentie, blockchain en andere mogelijke technische ontwikkelingen;
-de richtsnoeren te herzien wanneer technologische ontwikkelingen tot nadere verduidelijkingen nopen.
Het instrumentarium voor gegevensdoorgifte verder ontwikkelen
De Commissie zal:
-dialogen over adequaatheid voeren met belangstellende derde landen, overeenkomstig de strategie die is uiteengezet in haar mededeling “Uitwisseling en bescherming van persoonsgegevens in een geglobaliseerde wereld” (2017), en daarbij zo mogelijk ook ingaan op de gegevensdoorgifte aan rechtshandhavingsinstanties (op grond van de richtlijn gegevensbescherming bij rechtshandhaving) en andere overheidsinstanties. In dat kader zal ook het adequaatheidsbesluit met de Republiek Korea zo spoedig mogelijk zijn beslag krijgen;
-de lopende evaluatie van de bestaande adequaatheidsbesluiten afronden en verslag uitbrengen aan het Europees Parlement en de Raad;
-het werk in verband met de modernisering van de modelcontractbepalingen voltooien, teneinde die bepalingen in overeenstemming te brengen met de AVG, alle relevante doorgiftescenario’s te bestrijken en voor betere aansluiting bij de moderne bedrijfspraktijken te zorgen.
De EDPB wordt verzocht:
-de wisselwerking tussen de regels inzake internationale doorgifte van gegevens (hoofdstuk V) enerzijds en het territoriale toepassingsgebied van de AVG (artikel 3) verder te verduidelijken;
-te zorgen voor doeltreffende handhaving ten aanzien van marktdeelnemers die gevestigd zijn in derde landen die onder het territoriale toepassingsgebied van de AVG vallen, ook met betrekking tot de eventuele aanwijzing van een vertegenwoordiger (artikel 27);
-de beoordeling en uiteindelijke goedkeuring van bindende bedrijfsvoorschriften te stroomlijnen teneinde het proces te versnellen;
-het werk aan de architectuur, procedures en beoordelingscriteria voor gedragscodes en certificeringsmechanismen als instrumenten voor gegevensdoorgifte afronden.
Convergentie bevorderen en internationale samenwerking ontwikkelen
De Commissie zal:
-lopende hervormingsprocessen in verband met nieuwe of gemoderniseerde regels inzake gegevensbescherming in derde landen ondersteunen door de uitwisseling van ervaring en beste praktijken;
-samenwerken met de Afrikaanse partners om de convergentie van de regelgeving te bevorderen en de capaciteitsopbouw van toezichthoudende autoriteiten te ondersteunen in het kader van het digitale hoofdstuk van het nieuwe partnerschap tussen de EU en Afrika;
-beoordelen hoe samenwerking tussen private exploitanten en rechtshandhavingsinstanties kan worden vergemakkelijkt, door onder meer te onderhandelen over bilaterale en multilaterale kaders voor gegevensdoorgifte in de context van de toegang van buitenlandse rechtshandhavingsinstanties tot elektronisch bewijsmateriaal, teneinde wetsconflicten te vermijden en tegelijkertijd voor passende gegevensbeschermingswaarborgen te zorgen;
-samenwerken met internationale en regionale organisaties als de OESO, de ASEAN en de G20 om betrouwbare gegevensstromen te bevorderen op basis van hoge normen inzake gegevensbescherming, onder meer in het kader van het “Data Free Flow with Trust”-initiatief;
-een “Data Protection Academy” opzetten om de uitwisseling tussen Europese en internationale regelgevende instanties te vergemakkelijken en te ondersteunen;
-internationale samenwerking inzake rechtshandhaving tussen toezichthoudende autoriteiten bevorderen, onder meer door middel van onderhandelingen over overeenkomsten voor samenwerking en wederzijdse bijstand.