EUROPESE COMMISSIE
Brussel, 29.5.2019
COM(2019) 250 final
MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD EMPTY
Richtsnoeren over de verordening inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie
Inhoudsopgave
1.
Inleiding
Doel van deze richtsnoeren
2.
Wisselwerking tussen de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens en de algemene verordening gegevensbescherming - gemengde gegevenssets
2.1
Het concept "niet-persoonsgebonden gegevens" in het kader van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens
2.2
Gemengde gegevenssets
3.
Vrij verkeer van gegevens en intrekking van gegevenslokalisatievereisten
3.1
Vrij verkeer van niet-persoonsgebonden gegevens
3.2
Vrij verkeer van persoonsgegevens
3.3
Toepassingsgebied van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens
3.4
Activiteiten in verband met de interne organisatie van de lidstaten
4.
Zelfreguleringsbenaderingen die het vrije verkeer van gegevens ondersteunen
4.1
Gegevens overdragen en van verlener van clouddiensten veranderen
4.2
Gedragscodes en certificeringsregelingen voor de bescherming van persoonsgegevens
4.3
Het vertrouwen in grensoverschrijdende gegevensverwerking vergroten – beveiligingscertificering
Slotopmerkingen
De Europese Commissie heeft dit document louter ter informatie beschikbaar gesteld. Het bevat geen gezaghebbende interpretatie van Verordening (EU) 2018/1807 van het Europees Parlement en de Raad van 14 november 2018 inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie en vormt geen besluit of standpunt van de Europese Commissie. Het doet geen afbreuk aan een dergelijk besluit of standpunt van de Europese Commissie, noch aan de bevoegdheden van het Hof van Justitie van de Europese Unie om de verordening te interpreteren overeenkomstig de EU-verdragen.
1.
Inleiding
In een steeds meer gegevensgestuurde economie staan gegevensstromen centraal in bedrijfsprocessen van ondernemingen van alle formaten en in alle sectoren. Nieuwe digitale technologieën bieden nieuwe mogelijkheden voor particulieren, ondernemingen en overheidsdiensten in de Europese Unie (hierna "de EU" genoemd).
Op basis van een voorstel van de Europese Commissie (hierna "de Commissie" genoemd) hebben het Europees Parlement en de Raad in november 2018 Verordening (EU) 2018/1807 inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie (hierna "de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens" genoemd) vastgesteld om de grensoverschrijdende uitwisseling van gegevens verder uit te breiden en de gegevenseconomie te stimuleren. De verordening is van toepassing sinds 28 mei 2019. Het beginsel van vrij verkeer van persoonsgegevens is reeds vastgelegd in Verordening (EU) 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna "de algemene verordening gegevensbescherming" genoemd). Als gevolg daarvan is er nu een alomvattend kader voor een gemeenschappelijke Europese gegevensruimte en het vrije verkeer van alle gegevens binnen de Europese Unie.
De verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens schept rechtszekerheid voor ondernemingen om hun gegevens te verwerken waar zij maar willen in de EU, versterkt het vertrouwen in gegevensverwerkingsdiensten en gaat praktijken die leiden tot afhankelijkheid van één aanbieder tegen. Dit zal de keuze voor de klant vergroten, de efficiëntie verbeteren en het gebruik van cloudtechnologieën stimuleren, wat aanzienlijke besparingen zal opleveren voor ondernemingen in de EU. Uit een studie blijkt dat ondernemingen in de EU 20 tot 50 % van hun IT‑kosten kunnen besparen door naar de cloud te migreren.
Dankzij de twee verordeningen kunnen gegevens vrij circuleren tussen lidstaten, waardoor gebruikers van gegevensverwerkingsdiensten de op verschillende EU-markten verzamelde gegevens kunnen gebruiken om hun productiviteit te verhogen en hun concurrentievermogen te versterken. Gebruikers kunnen de door de grote EU-markt geboden schaalvoordelen dus ten volle benutten, waardoor hun concurrentiepositie in de wereld verbetert en de interconnectiviteit van de Europese gegevenseconomie wordt vergroot.
De verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens heeft drie bijzondere kenmerken:
·Zij verbiedt de lidstaten in de regel om gegevenslokalisatievereisten op te leggen. Uitzonderingen op deze regel kunnen alleen gerechtvaardigd zijn om redenen van openbare veiligheid in overeenstemming met het evenredigheidsbeginsel.
·Zij voorziet in een samenwerkingsmechanisme om ervoor te zorgen dat de bevoegde autoriteiten het recht op toegang tot gegevens die in een andere lidstaat worden verwerkt, kunnen blijven uitoefenen.
·Zij biedt stimulansen voor het bedrijfsleven, met ondersteuning van de Commissie, om zelfregulerende gedragscodes voor het veranderen van dienstverlener en gegevensportabiliteit op te stellen.
Doel van deze richtsnoeren
Met deze richtsnoeren wordt voldaan aan artikel 8, lid 3, van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens, waarin is bepaald dat de Commissie richtsnoeren moet publiceren over de wisselwerking tussen deze verordening en de algemene verordening gegevensbescherming "wat betreft gegevenssets die bestaan uit zowel persoonsgegevens als niet-persoonsgebonden gegevens".
Deze richtsnoeren zijn bedoeld om gebruikers - met name kleine en middelgrote ondernemingen - inzicht te helpen krijgen in de wisselwerking tussen de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens en de algemene verordening gegevensbescherming. De richtsnoeren zijn daarom met name gericht op: i) de begrippen "niet-persoonsgebonden gegevens" en "persoonsgegevens"; ii) de beginselen van vrij verkeer van gegevens en het verbod op gegevenslokalisatievereisten in het kader van beide verordeningen; en iii) het begrip "gegevensportabiliteit" in het kader van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens. De richtsnoeren hebben ook betrekking op de vereisten inzake zelfregulering die in de twee verordeningen zijn vastgesteld.
De verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens heeft alleen betrekking op "andere gegevens dan persoonsgegevens" zoals gedefinieerd in de algemene verordening gegevensbescherming. De algemene verordening gegevensbescherming regelt de verwerking van persoonsgegevens, hetgeen een essentieel onderdeel van het EU-kader voor gegevensbescherming vormt. De verordening is op 25 mei 2018 in werking getreden in de lidstaten. In de verordening zijn geharmoniseerde regels vastgesteld om burgers in de EU/EER te beschermen ten aanzien van de verwerking van hun persoonsgegevens en het vrije verkeer van dergelijke gegevens. De algemene verordening gegevensbescherming: i) specificeert welke gegevens persoonsgegevens zijn; ii) voorziet in wettelijke gronden voor de verwerking ervan; en iii) omschrijft de rechten en verplichtingen die in acht moeten worden genomen bij de verwerking van deze gegevens, naast andere bepalingen. Wat het beginsel van vrij verkeer van persoonsgegevens betreft, is in artikel 1, lid 3, van de algemene verordening gegevensbescherming het volgende bepaald: "Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens."
In de praktijk is het zeer waarschijnlijk dat een gegevensset in de meeste gevallen zowel persoonsgegevens als niet-persoonsgebonden gegevens bevat. Dit wordt vaak een "gemengde gegevensset" genoemd. In het onderstaande punt 2.2 wordt nader ingegaan op de wisselwerking tussen de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens en de algemene verordening gegevensbescherming op het gebied van gemengde gegevenssets.
Voor de duidelijkheid moet worden opgemerkt dat de algemene verordening gegevensbescherming en de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens geen tegenstrijdige verplichtingen bevatten.
2.
Wisselwerking tussen de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens en de algemene verordening gegevensbescherming - gemengde gegevenssets
2.1
Het concept "niet-persoonsgebonden gegevens" in het kader van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens
De verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens heeft tot doel het vrije verkeer van andere gegevens dan persoonsgegevens te waarborgen. In de hele tekst van de verordening wordt de term "gegevens" gebruikt, die moet worden opgevat als "andere gegevens dan persoonsgegevens als gedefinieerd in artikel 4, punt 1, van Verordening (EU) 2016/679 [de algemene verordening gegevensbescherming]". Dergelijke gegevens, die in dit document ook "niet-persoonsgebonden gegevens" worden genoemd, zijn gedefinieerd als tegengesteld (a contrario) aan persoonsgegevens, zoals vastgesteld in de algemene verordening gegevensbescherming.
Persoonsgegevens
In de algemene verordening gegevensbescherming is het volgende bepaald: ""persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;"
De definitie van persoonsgegevens is doelbewust ruim geformuleerd en is nagenoeg ongewijzigd gebleven in de algemene verordening gegevensbescherming ten opzichte van de eerdere wetgeving. In Advies 4/2007 van 20 juni 2007 over het begrip persoonsgegevens (WP 136) is de Groep artikel 29 reeds ingegaan op verscheidene aspecten van de definitie van persoonsgegevens, zoals "alle informatie", "over" en "geïdentificeerde of identificeerbare".
Op gebieden zoals onderzoek is het gebruikelijk om persoonsgegevens te pseudonimiseren om iemands identiteit te verhullen. Pseudonimisering is de verwerking van persoonsgegevens op zodanige wijze dat deze niet meer aan een specifieke persoon kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt. Deze aanvullende gegevens worden apart bewaard en worden beveiligd door middel van organisatorische of technische maatregelen (bv. versleuteling),. Gepseudonimiseerde gegevens worden echter nog steeds als gegevens over een identificeerbare persoon beschouwd indien deze aan de persoon in kwestie kunnen worden gekoppeld door aanvullende gegevens te gebruiken. Dergelijke gegevens zijn persoonsgegevens in de zin van de algemene verordening gegevensbescherming.
Niet-persoonsgebonden gegevens
Wanneer de gegevens geen "persoonsgegevens" zijn in de zin van de algemene verordening gegevensbescherming, gaat het om niet-persoonsgebonden gegevens. De niet-persoonsgebonden gegevens kunnen aan de hand van hun oorsprong als volgt worden ingedeeld:
·Ten eerste: gegevens die oorspronkelijk geen betrekking hadden op een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gegevens over weersomstandigheden die zijn verkregen door op windturbines geïnstalleerde sensoren of gegevens over de onderhoudsbehoeften van industriële machines.
·Ten tweede: gegevens die in eerste instantie persoonlijke gegevens waren, maar daarna anoniem zijn gemaakt. De "anonimisering" van persoonsgegevens is niet hetzelfde als pseudonimisering (zie hierboven), aangezien naar behoren geanonimiseerde gegevens niet aan een specifieke persoon kunnen worden gekoppeld, zelfs niet door aanvullende gegevens te gebruiken, en derhalve niet-persoonsgebonden gegevens zijn.
Bij de beoordeling of de gegevens naar behoren zijn geanonimiseerd, moet rekening worden gehouden met de specifieke en unieke omstandigheden van elk afzonderlijk geval. Verschillende voorbeelden van heridentificatie van zogenaamd geanonimiseerde gegevenssets hebben aangetoond dat een dergelijke evaluatie een moeilijke opgave kan zijn. Om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door een verwerkingsverantwoordelijke of door een andere persoon om een persoon direct of indirect te identificeren.
Voorbeelden van niet-persoonsgebonden gegevens:
·Gegevens die zodanig zijn geaggregeerd dat afzonderlijke gebeurtenissen (zoals afzonderlijke reizen van een persoon naar het buitenland of reispatronen die persoonsgegevens kunnen vormen) niet meer identificeerbaar zijn, kunnen als anonieme gegevens worden aangemerkt Anonieme gegevens worden bijvoorbeeld voor statistieken of in verkoopverslagen gebruikt (bijvoorbeeld om de populariteit van een product en de kenmerken ervan te beoordelen).
·Met een hoge frequentie verstrekte handelsgegevens in de financiële sector, of gegevens over precisielandbouw die bijdragen tot de monitoring en optimalisering van het gebruik van pesticiden, nutriënten en water.
Wanneer niet-persoonsgebonden gegevens op enigerlei wijze aan een persoon kunnen worden gekoppeld, waardoor ze direct of indirect identificeerbaar zijn, moeten deze gegevens evenwel als persoonsgegevens worden beschouwd.
Als een kwaliteitscontroleverslag over een productielijn het bijvoorbeeld mogelijk maakt de gegevens aan specifieke fabrieksarbeiders te koppelen (bv. de arbeiders die de productieparameters bepalen), worden de gegevens als persoonsgegevens aangemerkt en moet de algemene verordening gegevensbescherming worden toegepast. Dezelfde regels zijn van toepassing wanneer ontwikkelingen op het gebied van technologie en gegevensanalyse het mogelijk maken om geanonimiseerde gegevens om te zetten in persoonsgegevens.
Aangezien naar "natuurlijke personen" wordt verwezen in de definitie van persoonsgegevens, vormen gegevenssets met de namen en contactgegevens van rechtspersonen in beginsel niet-persoonsgebonden gegevens. In bepaalde situaties kan het echter om persoonsgegevens gaan. Dit is bijvoorbeeld het geval wanneer de naam van de rechtspersoon dezelfde is als die van een natuurlijke persoon die eigenaar is van de rechtspersoon of wanneer de informatie betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon.
2.2
Gemengde gegevenssets
De verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens en de algemene verordening gegevensbescherming benaderen het vrije verkeer van gegevens in de EU vanuit twee verschillende hoeken.
De verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens voorziet in een algemeen verbod op gegevenslokalisatievereisten voor niet-persoonsgebonden gegevens. Bij artikel 4, lid 1, van de verordening worden gegevenslokalisatievereisten verboden, tenzij deze gerechtvaardigd zijn om redenen van openbare veiligheid in overeenstemming met het evenredigheidsbeginsel.
De algemene verordening gegevensbescherming garandeert niet alleen een hoog niveau van bescherming van persoonsgegevens, maar zorgt er ook voor dat deze vrij kunnen circuleren. Overeenkomstig artikel 1, lid 3, van de verordening wordt het vrije verkeer van persoonsgegevens "noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens." Samen voorzien de twee verordeningen in het vrije verkeer van "alle" gegevens binnen de EU. In de punten 3.1 en 3.2 wordt nader ingegaan op de specifieke bepalingen.
Een gemengde gegevensset bevat zowel persoonsgegevens als niet-persoonsgebonden gegevens. Het merendeel van de in de gegevenseconomie gebruikte gegevenssets is gemengd. Dergelijke sets komen vaak voor vanwege technologische ontwikkelingen zoals het internet der dingen (d.w.z. voorwerpen digitaal met elkaar verbinden), kunstmatige intelligentie en technologieën die de analyse van big data mogelijk maken.
Voorbeelden van gemengde gegevenssets:
·de fiscale gegevens van een onderneming, met vermelding van de naam en het telefoonnummer van de algemeen directeur van de onderneming;
·gegevenssets van een bank, met name die met informatie over klanten en transactiegegevens, zoals betalingsdiensten (krediet- en debetkaarten), aanvragen in het kader van partnerrelatiebeheer (partner relationship management — PRM) en leningsovereenkomsten, documenten met gemengde gegevens over natuurlijke en rechtspersonen;
·geanonimiseerde statistische gegevens van een onderzoeksinstelling en de aanvankelijk verzamelde ruwe gegevens, zoals de antwoorden van individuele respondenten op vragen in statistische enquêtes;
·de kennisdatabank van een onderneming met daarin IT-problemen en de oplossingen daarvoor op basis van individuele meldingen van IT-incidenten;
·gegevens met betrekking tot het internet der dingen, waarbij op basis van bepaalde gegevens veronderstellingen kunnen worden gemaakt over identificeerbare personen (bv. aanwezigheid op een bepaald adres en gebruikspatronen); en
·analyse van operationele loggegevens van productieapparatuur in de be- en verwerkende industrie.
Voorbeeld: diensten in het kader van klantrelatiebeheer
Sommige banken maken gebruik van door derden geleverde diensten in het kader van klantrelatiebeheer (customer relationship management — CRM), waarvoor de gegevens van een klant beschikbaar moeten worden gesteld in de CRM-omgeving. Tot de gegevens die nodig zijn voor de CRM-dienst behoort alle informatie die nodig is om de interactie met de klant doeltreffend te beheren, zoals hun postadres, e-mailadres, telefoonnummer, de producten en diensten die zij kopen, alsook verkoopverslagen, met inbegrip van geaggregeerde gegevens. Deze gegevens kunnen dus zowel persoonsgegevens als niet-persoonsgebonden gegevens omvatten.
Wat gemengde gegevenssets betreft, is in de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens het volgende bepaald:
"Indien een gegevensset bestaat uit zowel persoonsgegevens als niet-persoonsgebonden gegevens is deze verordening van toepassing op het deel niet-persoonsgebonden gegevens van de gegevensset. Wanneer persoonsgegevens en niet-persoonsgebonden gegevens in een set onlosmakelijk met elkaar verbonden zijn, laat deze verordening de toepassing van Verordening (EU) 2016/679 onverlet."
Wanneer een gegevensset zowel uit persoonsgegevens als niet-persoonsgebonden gegevens bestaat, betekent dit dat:
·de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens van toepassing is op het deel niet-persoonsgebonden gegevens van de gegevensset;
·de bepaling in de algemene verordening gegevensbescherming over vrij verkeer van toepassing is op het deel persoonsgegevens van de gegevensset; en
·indien het deel niet-persoonsgebonden gegevens en het deel persoonsgegevens "onlosmakelijk met elkaar verbonden" zijn, de uit de algemene verordening gegevensbescherming voortvloeiende rechten en verplichtingen inzake gegevensbescherming volledig van toepassing zijn op de volledige gemengde gegevensset, ook wanneer persoonsgegevens slechts een klein deel van de gegevensset uitmaken.
Deze interpretatie is in overeenstemming met het recht op bescherming van persoonsgegevens dat wordt gewaarborgd door het Handvest van de grondrechten van de Europese Unie en met overweging 8 van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens. Overweging 8 van die verordening luidt als volgt: "Deze verordening doet geen afbreuk aan het rechtskader inzake de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens [...], en met name [de algemene verordening gegevensbescherming] en de Richtlijnen (EU) 2016/680 en 2002/58/EG [...]."
Praktisch voorbeeld:
Een onderneming die binnen de EU actief is, biedt haar diensten aan via een platform. Andere ondernemingen (klanten van die onderneming) uploaden hun documenten, die gemengde gegevenssets bevatten, op het platform. De ondernemingen die de documenten uploaden, moeten er als "verwerkingsverantwoordelijken" voor zorgen dat de verwerking voldoet aan de algemene verordening gegevensbescherming. Door de gegevensset namens de verwerkingsverantwoordelijken te verwerken, moet de onderneming die de diensten aanbiedt (de "verwerker") de gegevens opslaan en verwerken overeenkomstig de algemene verordening gegevensbescherming, bijvoorbeeld om ervoor te zorgen dat een passend beveiligingsniveau met betrekking tot gegevens wordt gewaarborgd, onder meer door middel van versleuteling.
Het begrip "onlosmakelijk met elkaar verbonden" is in geen van beide verordeningen gedefinieerd. Concreet kan dit begrip naar een situatie verwijzen waarin een gegevensset zowel persoonsgegevens als niet-persoonsgebonden gegevens bevat en het scheiden van deze gegevens ofwel onmogelijk is, ofwel economisch inefficiënt of technisch onhaalbaar wordt geacht door de verwerkingsverantwoordelijke. Wanneer bijvoorbeeld systemen voor CRM en verkoopverslagen worden aangekocht, zou de onderneming dubbel moeten betalen voor software door aparte software aan te kopen voor CRM (persoonsgegevens) en systemen voor verkoopverslagen (geaggregeerde/niet-persoonsgebonden gegevens) op basis van de CRM-gegevens.
Een gegevensset zal waarschijnlijk ook aanzienlijk minder waarde hebben als deze wordt gescheiden. Door de veranderende aard van gegevens (zie punt 2.1) wordt het bovendien moeilijker om een duidelijk onderscheid te maken tussen verschillende categorieën gegevens, waardoor het ook moeilijker wordt om deze van elkaar te scheiden.
Belangrijk is dat geen van beide verordeningen ondernemingen verplicht om de door hen beheerde of verwerkte gegevenssets te scheiden.
Bijgevolg is een gemengde gegevensset over het algemeen aan de verplichtingen van verwerkingsverantwoordelijken en verwerkers onderworpen en moeten de uit de algemene verordening gegevensbescherming voortvloeiende rechten van de betrokkenen in acht worden genomen.
Verwerking van gezondheidsgegevens
Gezondheidsgegevens kunnen deel uitmaken van een gemengde gegevensset. Voorbeelden hiervan zijn elektronische patiëntendossiers, klinische proeven of gegevenssets die worden verzameld door diverse mobiele gezondheids- en welzijnsapps (zoals apps om onze gezondheidstoestand te meten, om ons eraan te herinneren dat we onze medicatie moeten innemen of om de vorderingen van onze conditie te volgen). Door de technologische ontwikkelingen wordt de exacte scheiding tussen persoonsgegevens en niet-persoonsgebonden gegevens in deze gegevenssets steeds vager. Bijgevolg moet de verwerking ervan in overeenstemming zijn met de algemene verordening gegevensbescherming, met name (aangezien gezondheidsgegevens een bijzondere categorie gegevens vormen overeenkomstig de verordening) met artikel 9, dat een algemeen verbod op de verwerking van bijzondere categorieën gegevens oplegt en in uitzonderingen op dit verbod voorziet.
De gegevens in gemengde gegevenssets die gezondheidsgegevens bevatten, kunnen een waardevolle bron van informatie zijn, bijvoorbeeld voor nader medisch onderzoek, voor het in kaart brengen van bijwerkingen van een voorgeschreven geneesmiddel, voor doeleinden op het gebied van statistieken over ziekten of voor de ontwikkeling van nieuwe gezondheidsdiensten of behandelingen. Bij de uitvoering van de eerste en daaropvolgende gegevensverwerkingsactiviteiten moet echter worden voldaan aan de voorschriften van de algemene verordening gegevensbescherming. Daarom moet een dergelijke verwerking van gezondheidsgegevens een geldige rechtsgrondslag hebben en naar behoren worden gerechtvaardigd, beveiligd zijn en voldoende waarborgen bieden.
Tot slot is het voor particulieren en ondernemingen van essentieel belang om rechtszekerheid en vertrouwen in de verwerking van gegevens te hebben. Dit is ook cruciaal voor de gegevenseconomie. Beide verordeningen garanderen dit en streven er tegelijk ook naar het vrije verkeer van gegevens ongemoeid te laten.
3.
Vrij verkeer van gegevens en intrekking van gegevenslokalisatievereisten
In dit punt wordt nader ingegaan op het begrip "gegevenslokalisatievereisten" in het kader van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens en op het beginsel van vrij verkeer in de algemene verordening gegevensbescherming. Hoewel deze bepalingen voornamelijk voor de lidstaten zijn bedoeld, kan het nuttig zijn voor ondernemingen om een nauwkeuriger beeld te krijgen van de manier waarop deze twee verordeningen bijdragen tot het vrije verkeer van alle gegevens binnen de EU.
3.1
Vrij verkeer van niet-persoonsgebonden gegevens
In de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens is het volgende bepaald: "Gegevenslokalisatievereisten zijn verboden, behalve wanneer zij in overeenstemming met het evenredigheidsbeginsel om redenen van openbare veiligheid gerechtvaardigd zijn."
Gegevenslokalisatievereisten worden gedefinieerd als "elke verplichting, verbodsbepaling, voorwaarde, beperking die of ander vereiste dat is vastgelegd in de wettelijke en bestuursrechtelijke bepalingen van een lidstaat of voortvloeit uit een algemene en vaste publiekrechtelijke praktijk in een lidstaat en binnen publiekrechtelijke instellingen, ook op het gebied van overheidsopdrachten, onverminderd Richtlijn 2014/24/EU, die gegevensverwerking op het grondgebied van een welbepaalde lidstaat verplicht stelt of die gegevensverwerking in een andere lidstaat belemmert".
De definitie toont aan dat de maatregelen die het vrije verkeer van gegevens binnen de EU beperken, verschillende vormen kunnen aannemen. Deze kunnen in wettelijke en bestuursrechtelijke bepalingen zijn vastgesteld of zelfs uit een algemene en vaste publiekrechtelijke praktijk voortvloeien. Bovendien geldt het verbod op gegevenslokalisatievereisten voor zowel directe als indirecte maatregelen die het vrije verkeer van niet-persoonsgebonden gegevens zouden beperken.
Bij directe gegevenslokalisatievereisten kan het bijvoorbeeld gaan om een verplichting om gegevens op een specifieke geografische locatie op te slaan (bv. servers moeten zich in een bepaalde lidstaat bevinden) of een verplichting om aan unieke nationale technische vereisten te voldoen (bv. gegevens verplicht in specifieke nationale formaten).
Indirecte gegevenslokalisatievereisten, die de verwerking van niet-persoonsgebonden gegevens in een andere lidstaat zouden belemmeren, kunnen verschillende vormen aannemen. Hierbij kan het gaan om vereisten inzake het verplicht gebruik van technologische voorzieningen die in een bepaalde lidstaat zijn gecertificeerd of goedgekeurd of andere vereisten die tot gevolg hebben dat het moeilijker wordt om gegevens buiten een specifiek geografisch gebied of grondgebied binnen de Europese Unie te verwerken,.
Bij de beoordeling of een specifieke maatregel een indirecte gegevenslokalisatievereiste vormt, moet rekening worden gehouden met de specifieke omstandigheden van elk geval.
In de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens wordt verwezen naar het begrip "openbare veiligheid" zoals uiteengezet in de jurisprudentie van het Hof van Justitie van de Europese Unie. De openbare veiligheid "omvat zowel de interne als de externe veiligheid van een lidstaat, alsmede vraagstukken in verband met de openbare veiligheid, met name om ruimte te bieden voor onderzoek, opsporing en vervolging van strafbare feiten. Het veronderstelt dat er sprake is van een reële en voldoende ernstige bedreiging voor een van de fundamentele belangen van de samenleving, zoals een bedreiging voor het functioneren van de instellingen en de essentiële openbare diensten en voor het overleven van de bevolking, het risico van een ernstige verstoring van de externe betrekkingen of van de vreedzame co-existentie van de volkeren, alsook de aantasting van militaire belangen."
Daarnaast moet een om redenen van openbare veiligheid gerechtvaardigde gegevenslokalisatievereiste evenredig zijn. Volgens de jurisprudentie van het Hof van Justitie van de Europese Unie vereist het evenredigheidsbeginsel dat de getroffen maatregelen geschikt zijn om de nagestreefde doelstelling te verwezenlijken en niet verder gaan dan voor dat doel nodig is.
Voor de duidelijkheid moet worden opgemerkt dat het verbod op gegevenslokalisatievereisten geen afbreuk doet aan reeds bestaande beperkingen waarin het EU-recht voorziet.
Bovendien voorziet de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens niet in verplichtingen voor ondernemingen of legt deze geen beperkingen op aan hun contractuele vrijheid om te beslissen waar hun gegevens zullen worden verwerkt.
De lidstaten moeten de details van de gegevenslokalisatievereisten die op hun grondgebied van toepassing zijn voor het publiek beschikbaar maken door middel van een centraal nationaal online-informatiepunt (nationale websites). Zij moeten dit punt actueel houden of een overeenkomstig een andere Uniehandeling ingesteld centraal informatiepunt van actuele informatie voorzien. De Commissie zal links naar deze informatiepunten op het Uw Europa-portaal publiceren om ervoor te zorgen dat ondernemingen gemakkelijk toegang hebben tot relevante informatie in de hele EU.
3.2
Vrij verkeer van persoonsgegevens
In de algemene verordening gegevensbescherming is het volgende bepaald: "Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens."
Wanneer een lidstaat lokalisatievereisten oplegt aan persoonsgegevens om andere redenen dan de bescherming van persoonsgegevens, moeten deze redenen worden getoetst aan de bepalingen inzake de fundamentele vrijheden en de toegestane gronden om van die vrijheden af te wijken in het Verdrag betreffende de werking van de Europese Unie, en de desbetreffende EU-wetgeving, zoals de dienstenrichtlijn en de richtlijn inzake elektronische handel.
Voorbeeld:
In een nationale wet is bepaald dat salarisrekeningen zich in een bepaalde lidstaat moeten bevinden om redenen in verband met de controle op de naleving van de regelgeving, bijvoorbeeld door de nationale belastingdienst. Een dergelijke nationale bepaling zou buiten het toepassingsgebied van artikel 1, lid 3, van de algemene verordening gegevensbescherming vallen omdat het om andere redenen dan de bescherming van persoonsgegevens gaat. In plaats daarvan zou deze vereiste moeten worden getoetst aan de bepalingen inzake de fundamentele vrijheden en de toegestane gronden om van die vrijheden af te wijken in het Verdrag betreffende de werking van de Europese Unie.
In de algemene verordening gegevensbescherming wordt erkend dat de lidstaten voorwaarden, waaronder beperkingen, kunnen opleggen ten aanzien van de verwerking van genetische gegevens, biometrische gegevens of gezondheidsgegevens. Zoals aangegeven in overweging 53 mogen dergelijke nationale beperkingen evenwel geen belemmering vormen voor het vrije verkeer van persoonsgegevens binnen de EU wanneer deze voorwaarden van toepassing zijn op de grensoverschrijdende verwerking van deze gegevens. Dit is in overeenstemming met artikel 16 van het Verdrag betreffende de werking van de Europese Unie, dat de rechtsgrondslag vormt voor de vaststelling van voorschriften betreffende het recht op bescherming van persoonsgegevens en de voorschriften betreffende het vrij verkeer van die gegevens.
3.3
Toepassingsgebied van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens
Zoals reeds vermeld heeft de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens tot doel het vrije verkeer van niet-persoonsgebonden gegevens "binnen de Unie" te waarborgen. De verordening is derhalve niet van toepassing op verwerkingsactiviteiten die buiten de EU worden verricht en evenmin op de met die verwerking verband houdende gegevenslokalisatievereisten,.
Overeenkomstig artikel 2, lid 1, is het toepassingsgebied van de verordening derhalve beperkt tot de verwerking van elektronische niet-persoonsgebonden gegevens in de EU die:
(a)als dienst wordt verleend aan gebruikers die in de EU verblijven of er een vestiging hebben, ongeacht of de dienstverlener in de EU is gevestigd, of
(b)wordt verricht door een natuurlijke persoon of een rechtspersoon die in de EU verblijft of er een vestiging heeft, voor eigen intern gebruik.
Voorbeelden:
Artikel 2, lid 1, onder a), van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens:
·Een in de VS gevestigde verlener van clouddiensten verleent zijn verwerkingsdiensten aan in de EU verblijvende of gevestigde klanten. De verlener van clouddiensten verricht zijn activiteiten via servers die zich op het grondgebied van de EU bevinden, waarop de gegevens van zijn Europese klanten worden opgeslagen of anderszins verwerkt. De verlener van clouddiensten hoeft geen in de EU gevestigde infrastructuur te bezitten, maar kan bijvoorbeeld ook serverruimte in de EU huren. De verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens is van toepassing op dergelijke gegevensverwerking.
·Een in Japan gevestigde verlener van clouddiensten biedt zijn diensten aan Europese klanten aan. De verwerkingscapaciteiten van de verlener bevinden zich in Japan en alle verwerkingsactiviteiten worden daar verricht. De verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens is niet van toepassing in dit geval omdat alle verwerkingsactiviteiten buiten de EU worden verricht.
Artikel 2, lid 1, onder b), van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens:
·Een kleine Europese start-up uit lidstaat A besluit om zijn activiteiten uit te breiden door een vestiging te openen in lidstaat B. Om de kosten zo laag mogelijk te houden, kiest deze start-up ervoor de gegevensopslag en -verwerking van de nieuwe vestiging te centraliseren op zijn server die zich in lidstaat A bevindt. De lidstaten mogen dergelijke inspanningen om IT te centraliseren niet verbieden, behalve wanneer dit gerechtvaardigd is om redenen van openbare veiligheid in overeenstemming met het evenredigheidsbeginsel.
Hoewel de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens niet van toepassing is wanneer alle verwerkingsactiviteiten voor niet-persoonsgebonden gegevens buiten de EU worden verricht, moet de algemene verordening gegevensbescherming worden nageleefd wanneer persoonsgegevens deel uitmaken van de gegevensset. Met name de regels voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties in het kader van de algemene verordening gegevensbescherming moeten te allen tijde worden nageleefd.
3.4
Activiteiten in verband met de interne organisatie van de lidstaten
De verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens verplicht de lidstaten niet om de verlening van diensten met betrekking tot niet-persoonsgebonden gegevens die zij zelf willen verlenen, uit te besteden of anders dan via overheidsopdrachten te regelen.
Artikel 2, lid 3, tweede alinea, van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens luidt als volgt:
"Deze verordening doet geen afbreuk aan de wettelijke en bestuursrechtelijke bepalingen die verband houden met de interne organisatie van de lidstaten, waarbij de bevoegdheden en verantwoordelijkheden voor gegevensverwerking worden verdeeld onder of toegekend aan overheidsinstanties of publiekrechtelijke instellingen als gedefinieerd in artikel 2, lid 1, punt 4, van Richtlijn 2014/24/EU zonder contractuele vergoeding van particuliere partijen, en doet evenmin afbreuk aan de wettelijke en bestuursrechtelijke bepalingen van de lidstaten die voorzien in de toepassing van die bevoegdheden en verantwoordelijkheden."
Er kunnen legitieme redenen zijn om ervoor te kiezen gegevensverwerkingsdiensten zelf te verlenen, onder meer door middel van "inbesteding" of onderlinge afspraken tussen overheidsdiensten. Typische voorbeelden zijn het gebruik van een "overheidscloud" of een overheid die een centraal IT-agentschap aanstelt om gegevensverwerkingsdiensten te verlenen voor overheidsinstellingen en -organen.
In de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens worden de lidstaten evenwel aangespoord om de economische efficiëntie en andere voordelen van uitbesteding aan externe dienstverleners in overweging te nemen,. Zodra de nationale autoriteiten beginnen met de "uitbesteding" van gegevensverwerking waarbij de prestaties van particuliere partijen contractueel worden vergoed en de verwerking in de EU plaatsvindt, valt deze verwerking onder de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens, wat betekent dat het beginsel van vrij verkeer van niet-persoonsgebonden gegevens van toepassing is op de algemene en publiekrechtelijke praktijken van de nationale autoriteiten. Zij mogen met name geen gegevenslokalisatiebeperkingen opleggen, bijvoorbeeld in aanbestedingen voor overheidsopdrachten
4.
Zelfreguleringsbenaderingen die het vrije verkeer van gegevens ondersteunen
Zelfregulering draagt bij tot innovatie en versterkt het vertrouwen van marktdeelnemers. Daarnaast kan hiermee beter worden ingespeeld op marktontwikkelingen. Dit punt biedt een overzicht van zelfreguleringsinitiatieven voor de verwerking van zowel persoonsgegevens als niet-persoonsgebonden gegevens.
4.1
Gegevens overdragen en van verlener van clouddiensten veranderen
De verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens heeft onder meer tot doel praktijken die leiden tot afhankelijkheid van één aanbieder te voorkomen. Er is sprake van dergelijke praktijken wanneer gebruikers niet van dienstverlener kunnen veranderen omdat hun gegevens "geblokkeerd" zijn in het systeem van de aanbieder, bijvoorbeeld als gevolg van een specifiek gegevensformaat of contractuele regelingen, en niet buiten het IT-systeem van de verlener kunnen worden overgedragen. Gegevens overdragen zonder belemmeringen is belangrijk om gebruikers in staat te stellen vrij te kiezen tussen verleners van gegevensverwerkingsdiensten en aldus voor daadwerkelijke concurrentie op de markt te zorgen.
Gegevensoverdraagbaarheid (ook gegevensportabiliteit genoemd) tussen ondernemingen wordt steeds belangrijker voor een breed scala aan digitale sectoren, waaronder clouddiensten.
Volgens artikel 6 van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens moet de Commissie het opstellen van zelfregulerende gedragscodes op EU-niveau ("gedragscodes") bevorderen en faciliteren, om bij te dragen aan een concurrerende gegevenseconomie. Het artikel biedt het bedrijfsleven de basis voor de ontwikkeling van zelfregulerende gedragscodes voor het veranderen van dienstverlener en het overdragen van gegevens tussen verschillende IT-systemen.
Bij de ontwikkeling van dergelijke gedragscodes voor het overdragen van gegevens moet rekening worden gehouden met een aantal aspecten, met name:
·beste praktijken ter vergemakkelijking van het veranderen van dienstverlener en gegevensportabiliteit in een gestructureerde, algemeen gangbare en machineleesbare vorm;
·minimale informatievereisten om ervoor te zorgen dat professionele gebruikers voor de sluiting van een overeenkomst voldoende gedetailleerde en duidelijke informatie krijgen over de toepasselijke processen, technische vereisten, termijnen en kosten wanneer professionele gebruikers van dienstverlener willen veranderen of gegevens terug naar hun eigen IT-systemen willen overdragen;
·benaderingen van certificeringsregelingen om clouddiensten beter met elkaar te vergelijken; en
·stappenplannen voor communicatie teneinde de gedragscodes onder de aandacht te brengen.
Op de markt voor clouddiensten is de Commissie begonnen met het vergemakkelijken van de werkzaamheden van de werkgroepen van belanghebbenden uit de sector van clouddiensten in de digitale eengemaakte markt, waarin deskundigen op het gebied van clouddiensten en professionele gebruikers, met inbegrip van kleine en middelgrote ondernemingen, zijn samengebracht. In dit stadium is een subgroep bezig met de ontwikkeling van zelfregulerende gedragscodes voor het overdragen van gegevens en het veranderen van verlener van clouddiensten (werkgroep SWIPO) en werkt een andere subgroep aan de ontwikkeling van cloudbeveiligingscertificering (werkgroep CSPCERT)
De werkgroep SWIPO is bezig met de ontwikkeling van gedragscodes voor het hele spectrum van clouddiensten, namelijk Infrastructuur als dienst (Infrastructure as a Service — IaaS), Platform als dienst (Platform as a Service — PaaS) en Software als dienst (Software as a Service — SaaS).
De Commissie verwacht dat de verschillende gedragscodes zullen worden aangevuld met contractuele modelbepalingen. Dit zal voldoende technische en juridische specificiteit bieden bij de praktische uitvoering en toepassing van de gedragscodes, hetgeen van bijzonder belang zal zijn voor kleine en middelgrote ondernemingen. Volgens de planning zullen de contractuele modelbepalingen worden opgesteld nadat de gedragscodes zijn ontwikkeld (hetgeen uiterlijk op 29 november 2019 moet zijn afgerond).
Overeenkomstig artikel 8 van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens zal de Commissie de tenuitvoerlegging van de verordening uiterlijk op 29 november 2022 evalueren. Dit zal het mogelijk maken de volgende punten te beoordelen: i) het effect op het vrije verkeer van gegevens in Europa; ii) de toepassing van de verordening, met name wat gemengde gegevenssets betreft; iii) de mate waarin de lidstaten bestaande, ongerechtvaardigde gegevenslokalisatiebeperkingen daadwerkelijk hebben ingetrokken; en iv) de markteffectiviteit van gedragscodes op het gebied van gegevensoverdracht en het veranderen van verlener van clouddiensten.
Het begrip "overdraagbaarheid" (ook portabiliteit genoemd) en de wisselwerking met de algemene verordening gegevensbescherming
In beide verordeningen wordt verwezen naar gegevensoverdraagbaarheid en de doelstelling om het gemakkelijker te maken om gegevens van de ene IT-omgeving naar de andere over te dragen, d.w.z. naar de systemen van een andere aanbieder of naar systemen ter plaatse. Hiermee wordt de afhankelijkheid van één aanbieder voorkomen en wordt de concurrentie tussen dienstverleners bevorderd. De verordeningen hanteren echter een verschillende benadering ten aanzien van overdraagbaarheid als het gaat om de verhouding tussen de doelgroepen van belanghebbenden en de juridische aard van de bepalingen.
Het recht op overdraagbaarheid van persoonsgegevens uit hoofde van artikel 20 van de algemene verordening gegevensbescherming is gericht op de verhouding tussen de betrokkene en de verwerkingsverantwoordelijke. Het gaat om het recht van de betrokkene om de persoonsgegevens die hij of zij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt. De betrokkenen in deze verhouding zijn doorgaans consumenten van diverse onlinediensten die van dienstverlener willen veranderen.
Artikel 6 van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens verleent het recht op gegevensportabiliteit niet aan professionele gebruikers, maar hanteert een zelfreguleringsbenadering, met vrijwillige gedragscodes voor het bedrijfsleven. Tegelijkertijd is het gericht op een situatie waarin een professionele gebruiker de verwerking van zijn gegevens heeft uitbesteed aan een derde die een gegevensverwerkingsdienst aanbiedt.Overeenkomstig artikel 3, lid 8, van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens kan het bij een "professionele gebruiker" gaan om "een natuurlijke of rechtspersoon, met inbegrip van een openbaar lichaam of een publiekrechtelijke instelling, die gebruikmaakt van of verzoekt om een gegevensverwerkingsdienst voor zijn handel, bedrijf, ambacht, beroep of taak."
In de praktijk gaat het bij de portabiliteit uit hoofde van artikel 6 van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens om business-to-business-interacties tussen een professionele gebruiker (die overeenkomstig de algemene verordening gegevensbescherming als "verwerkingsverantwoordelijke" kan worden aangemerkt in gevallen waarin persoonsgegevens worden verwerkt) en een dienstverlener (die in sommige gevallen evenzo als "verwerker" kan worden aangemerkt).
Ondanks de verschillen kunnen zich situaties voordoen waarin de overdracht van gegevens zowel onder de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens als de algemene verordening gegevensbescherming zou vallen wat gemengde gegevenssets betreft.
Voorbeeld:
Een onderneming die gebruikmaakt van een clouddienst besluit om van verlener van clouddiensten te veranderen en alle gegevens over te dragen naar een nieuwe verlener. Het veranderen van dienstverlener en de overdracht van gegevens worden geregeld in het contract tussen de klant en de verlener van clouddiensten. Als de oude verlener van clouddiensten zich aan de gedragscodes houdt die in het kader van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens zijn ontwikkeld, moeten de gegevens overeenkomstig de daarin gespecificeerde vereisten worden overgedragen.
Indien de persoonsgegevens ook deel uitmaken van de overgedragen gegevenssets, moet de overdracht aan alle relevante bepalingen van de algemene verordening gegevensbescherming voldoen, met name door ervoor te zorgen dat de nieuwe verlener van clouddiensten voldoet aan de toepasselijke vereisten, zoals beveiliging.
Voorbeeld:
Wanneer een bank besluit om van verlener van klantrelatiebeheer (customer relationship management — CRM) te veranderen, is het mogelijk dat bepaalde gegevens (persoonsgegevens en niet-persoonsgebonden gegevens) van de oude aanbieder naar de nieuwe moeten worden overgedragen. In dat geval zullen deze gegevens aan verschillende wettelijke voorschriften zijn onderworpen, waarvan sommige uit hoofde van de algemene verordening gegevensbescherming en andere uit hoofde van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens.
4.2
Gedragscodes en certificeringsregelingen voor de bescherming van persoonsgegevens
Om aan te tonen dat is voldaan aan de verplichtingen van de algemene verordening gegevensbescherming (zie artikel 24, lid 3, en artikel 28, lid 5) kan gebruik worden gemaakt van gedragscodes en certificeringsregelingen.
Overeenkomstig artikel 40, lid 1, en artikel 42, lid 1, van de algemene verordening gegevensbescherming moeten de lidstaten, de toezichthoudende autoriteiten, het Europees Comité voor gegevensbescherming en de Commissie het bedrijfsleven aanmoedigen om gedragscodes op te stellen en certificeringsmechanismen voor gegevensbescherming in te voeren.
Verenigingen of andere instanties die een specifieke categorie van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, kunnen een gedragscode opstellen voor hun specifieke sector. Een ontwerp van de gedragscode moet ter goedkeuring worden voorgelegd aan de respectieve bevoegde toezichthoudende autoriteit. Indien de ontwerpgedragscode betrekking heeft op verwerkingsactiviteiten in verschillende lidstaten, moet de toezichthoudende autoriteit deze vóór goedkeuring ervan aan het Europees Comité voor gegevensbescherming voorleggen. Vervolgens zal het Comité zich uitspreken over de vraag of de ontwerpgedragscode in overeenstemming is met de algemene verordening gegevensbescherming.
Het Europees Comité voor gegevensbescherming heeft haar richtsnoeren (nr. 1/2019) over gedragscodes en toezichthoudende organen in het kader van de algemene verordening gegevensbescherming gepubliceerd. De richtsnoeren bevatten informatie over het opstellen van gedragscodes, criteria voor de goedkeuring ervan en andere nuttige informatie. Evenzo bevatten de richtsnoeren van het Europees Comité voor gegevensbescherming (nr. 1/2018) over certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de algemene verordening gegevensbescherming informatie over certificering in het kader van deze verordening en de ontwikkeling en goedkeuring van certificeringscriteria.
Voorbeelden van door de cloudsector ontwikkelde gedragscodes:
De EU Cloud Code of Conduct, die met ondersteuning van de Commissie is ontwikkeld, is in samenwerking met de Cloud Select Industry Group (C-SIG) opgesteld op basis van de gegevensbeschermingsrichtlijn en vervolgens op basis van de algemene verordening gegevensbescherming. De EU Cloud Code of Conduct bestrijkt het hele spectrum van clouddiensten, namelijk Software als dienst (Software as a Service — SaaS), Platform als dienst (Platform as a Service — PaaS) en Infrastructuur als dienst (Infrastructure as a Service — IaaS).
De gedragscode van de verleners van cloudinfrastructuurdiensten in Europa (Cloud Infrastructure Services Providers in Europe — CISPE) is gericht op verleners van IaaS-diensten. De gedragscode van CISPE bestaat uit vereisten ten aanzien van verleners van IaaS-diensten die als gegevensverwerkers optreden in het kader van de algemene verordening gegevensbescherming. Het bevat ook bepalingen over de governancestructuur voor de uitvoering en toepassing van de gedragscode.
De gedragscode van de Cloud Security Alliance voor de naleving van de algemene verordening gegevensbescherming is gericht op alle belanghebbenden in het kader van cloudcomputing en de Europese wetgeving inzake persoonsgegevens, zoals verleners, gebruikers, potentiële gebruikers, auditors en makelaars van clouddiensten. De gedragscode bestrijkt het hele spectrum van verleners van clouddiensten.
4.3
Het vertrouwen in grensoverschrijdende gegevensverwerking vergroten – beveiligingscertificering
Zoals vermeld in overweging 33 van de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens moet het vergroten van het vertrouwen in de beveiliging van grensoverschrijdende gegevensverwerking de neiging van marktdeelnemers en de overheid om gegevenslokalisatie als substituut voor gegevensbeveiliging te gebruiken, verminderen. Naast het cyberbeveiligingspakket dat de Commissie in 2017 heeft voorgesteld, ontwikkelt de werkgroep CSPCERT aanbevelingen met het oog op een Europese cloudcertificeringsregeling die aan de Commissie zal worden gepresenteerd. Een dergelijke regeling kan het vrije verkeer van gegevens vergemakkelijken, de onderlinge vergelijkbaarheid van clouddiensten verbeteren en het gebruik van clouddiensten bevorderen. De Commissie kan Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging) verzoeken een potentiële regeling voor te bereiden overeenkomstig de desbetreffende bepalingen van de cyberbeveiligingsverordening. Een dergelijke regeling kan zowel persoonsgegevens als niet-persoonsgebonden gegevens betreffen. Naast de cyberbeveiligingsverordening en zoals benadrukt in punt 4.2, kan de algemene verordening gegevensbescherming ook worden gebruikt om aan te tonen dat er sprake is van passende waarborgen inzake gegevensbeveiliging.
Slotopmerkingen
Rechtszekerheid en vertrouwen in de verwerking van gegevens zijn van essentieel belang voor de EU om gegevens optimaal te benutten, waarbij waardeketens zich over sectoren en grenzen heen kunnen ontwikkelen. Beide verordeningen garanderen dit en streven tegelijk ook naar het vrije verkeer van gegevens. Met de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens en de algemene verordening gegevensbescherming wordt de grondslag gelegd voor het vrije verkeer van alle gegevens binnen de Europese Unie en een sterk concurrerende Europese gegevenseconomie.