Brussel, 25.7.2024

COM(2024) 357 final

MEDEDELING VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD

Tweede verslag over de toepassing van de algemene verordening gegevensbescherming















1Inleiding

Dit is het tweede verslag van de Commissie over de toepassing van de algemene verordening gegevensbescherming (AVG), vastgesteld overeenkomstig artikel 97 AVG. Het eerste verslag werd aangenomen op 24 juni 2020 (het “verslag van 2020”) ( 1 ).

De AVG is een essentieel onderdeel van de manier waarop de EU de digitale transformatie aanpakt. De basisbeginselen van deze verordening — een eerlijke, veilige en transparante verwerking van persoonsgegevens, waarbij individuele burgers de controle houden — liggen ten grondslag aan alle beleidsmaatregelen van de EU met betrekking tot de verwerking van persoonsgegevens.

Sinds het verslag van 2020 heeft de EU een reeks initiatieven genomen om het individu centraal te stellen in de digitale transitie. Elk initiatief streeft een bepaald doel na, zoals een veiligere onlineomgeving tot stand brengen, de digitale economie eerlijker en concurrerender maken, baanbrekend onderzoek faciliteren, de ontwikkeling van veilige en betrouwbare artificiële intelligentie (AI) waarborgen en een echte eengemaakte markt voor gegevens oprichten. Als daarbij persoonsgegevens in het spel zijn, bouwen die initiatieven voort op de AVG. De AVG biedt ook een basis voor sectorale initiatieven die van invloed zijn op de verwerking van persoonsgegevens, bijvoorbeeld als het gaat om financiële diensten, gezondheid, werkgelegenheid, mobiliteit en rechtshandhaving.

Er is een brede consensus onder belanghebbenden, gegevensbeschermingsautoriteiten en de lidstaten dat de AVG, ondanks enkele problemen, belangrijke resultaten heeft opgeleverd voor zowel personen als bedrijven. Dankzij de risicogestuurde en technologieneutrale benadering kunnen de betrokkenen rekenen op een goede bescherming en zijn verwerkingsverantwoordelijken en verwerkers onderworpen aan evenredige verplichtingen. Tegelijkertijd moet op een aantal gebieden verdere vooruitgang worden geboekt. In de komende jaren moet de nadruk met name liggen op het ondersteunen van de nalevingsinspanningen door belanghebbenden, met name kleine en middelgrote ondernemingen (kmo’s), kleine marktdeelnemers en onderzoekers en onderzoeksorganisaties, waarbij de gegevensbeschermingsautoriteiten duidelijkere en beter uitvoerbare richtsnoeren moeten verstrekken en een consistentere interpretatie en handhaving van de AVG in de hele EU moet worden bereikt.

Overeenkomstig artikel 97 AVG moet de Commissie met name de toepassing en werking van de internationale doorgifte van persoonsgegevens naar derde landen (d.w.z. landen buiten de EU/EER) (hoofdstuk V AVG) en de samenwerkings- en coherentiemechanismen tussen nationale gegevensbeschermingsautoriteiten (hoofdstuk VII AVG) onderzoeken. Net als het verslag van 2020 biedt dit verslag echter ook een algemene beoordeling van de toepassing van de AVG die verder gaat dan die twee elementen. Er worden ook acties vastgesteld die nodig zijn om de daadwerkelijke toepassing van de AVG op belangrijke prioriteitsgebieden te ondersteunen.

In dit verslag is rekening gehouden met de volgende bronnen: i) het standpunt en de bevindingen van de Raad, aangenomen in december 2023 ( 2 ); ii) de input van belanghebbenden, met name via de AVG-deskundigengroep met meerdere belanghebbenden ( 3 ) en een openbaar verzoek om input ( 4 ); iii) de input van gegevensbeschermingsautoriteiten (via de bijdrage van het Europees Comité voor gegevensbescherming ( 5 ) (het “Comité”)) en een verslag dat is opgesteld door het Bureau voor de grondrechten (FRA) op basis van interviews met individuele gegevensbeschermingsautoriteiten ( 6 ) (het “FRA-verslag”). Het verslag bouwt ook voort op het voortdurende toezicht van de Commissie op de toepassing van de AVG, met onder meer bilaterale dialogen met de lidstaten over de naleving van de nationale wetgeving, een actieve bijdrage aan de werkzaamheden van het Comité en nauwe contacten met een breed scala aan belanghebbenden over de praktische toepassing van de verordening.

2Handhaving van de AVG en de werking van het samenwerkings- en coherentiemechanisme

Het “één-loket”-handhavingssysteem van de AVG moet zorgen voor een geharmoniseerde interpretatie en handhaving door onafhankelijke gegevensbeschermingsautoriteiten. Dit systeem vereist samenwerking tussen gegevensbeschermingsautoriteiten in gevallen van grensoverschrijdende verwerking, waarbij betrokkenen in meerdere lidstaten wezenlijke gevolgen ondervinden. Geschillen tussen autoriteiten worden beslecht door het Comité in het kader van het coherentiemechanisme van de AVG.

2.1Naar een efficiëntere behandeling van grensoverschrijdende zaken: een voorstel voor procedureregels

In het verslag van 2020 wordt gewezen op de noodzaak van een efficiëntere en geharmoniseerde behandeling van grensoverschrijdende zaken in de EU, met name gezien de grote verschillen in de nationale administratieve procedures en interpretaties van begrippen in het AVG-samenwerkingsmechanisme. De Commissie heeft in juli 2023 dan ook een voorstel voor een verordening betreffende procedureregels vastgesteld ( 7 ), mede op basis van een lijst van problemen die het Comité in oktober 2022 aan de Commissie heeft voorgelegd ( 8 ) en de input van belanghebbenden ( 9 ) en de lidstaten ( 10 ). Het voorstel vormt een aanvulling op de AVG door uitgebreide regels vast te stellen voor grensoverschrijdende klachten, de betrokkenheid van de klager, de inachtneming van behoorlijke procedurele rechten van onderzochte partijen (verwerkingsverantwoordelijken en verwerkers) en de samenwerking tussen gegevensbeschermingsautoriteiten. De harmonisatie van deze procedurele aspecten zou bijdragen tot de tijdige afronding van onderzoeken en tot een snelle oplossing voor particulieren. Over het voorstel wordt momenteel onderhandeld in het Europees Parlement en de Raad.

2.2Meer samenwerking tussen gegevensbeschermingsautoriteiten en gebruik van het coherentiemechanisme

Het aantal grensoverschrijdende zaken is de afgelopen jaren aanzienlijk toegenomen. De gegevensbeschermingsautoriteiten hebben zich steeds meer bereid getoond om gebruik te maken van de door de AVG geboden samenwerkingsinstrumenten. Alle gegevensbeschermingsautoriteiten hebben gebruikgemaakt van het instrument voor wederzijdse bijstand ( 11 ) en van “informele” verzoeken om elkaar op vrijwillige basis bij te staan. De gegevensbeschermingsautoriteiten geven de voorkeur aan informele verzoeken, waarin geen termijn of antwoordplicht wordt opgelegd. Hoewel het Comité in 2021 richtsnoeren voor gezamenlijke acties heeft vastgesteld ( 12 ), wordt dit instrument nog niet intensief gebruikt door de autoriteiten ( 13 ). Zij halen de verschillen in nationale werkwijzen en een gebrek aan duidelijkheid over de procedure aan als de belangrijkste redenen daarvoor.

De AVG biedt de betrokken gegevensbeschermingsautoriteiten de mogelijkheid om een relevant en gemotiveerd bezwaar in te dienen als zij het in een grensoverschrijdende zaak niet eens zijn met een ontwerpbesluit van de leidende gegevensbeschermingsautoriteit. Als gegevensbeschermingsautoriteiten geen consensus kunnen bereiken over een relevant en gemotiveerd bezwaar, voorziet de AVG in geschillenbeslechting door het Comité ( 14 ). De meest voorkomende onderwerpen bij relevante en gemotiveerde bezwaren waren: i) de rechtsgrond van de verwerking; ii) informatie- en transparantieverplichtingen; iii) het melden van gegevenslekken; iv) rechten van betrokkenen; v) vrijstellingen voor internationale doorgiften; vi) het gebruik van corrigerende maatregelen; vii) het bedrag van een administratieve geldboete.

Het handhavingssysteem van de AVG gaat uit van de oprechte en doeltreffende samenwerking tussen gegevensbeschermingsautoriteiten. Hoewel de geschillenbeslechtingsprocedure een belangrijke rol speelt in deze handhavingsstructuur, moet ze worden gebruikt in de geest waarin ze is ontworpen, namelijk met inachtneming van de bevoegdheidsverdeling tussen de gegevensbeschermingsautoriteiten, de noodzaak om voor een eerlijke rechtsgang te zorgen en het belang van een tijdige oplossing van de zaak voor de betrokkenen. Elke geschillenbeslechtingsprocedure vergt aanzienlijke middelen van de leidende autoriteit, de betrokken autoriteiten en het secretariaat van het Comité en vertraagt het vinden van een oplossing voor de betrokkenen.

Toenemend gebruik van samenwerkingsinstrumenten door gegevensbeschermingsautoriteiten

·Er zijn bijna 2 400 zaken geregistreerd in het informatie-uitwisselingssysteem van het Comité ( 15 ).

·De leidende gegevensbeschermingsautoriteiten hebben ongeveer 1 500 ontwerpbesluiten uitgevaardigd ( 16 ), waarvan er 990 hebben geleid tot een definitief besluit waarin een inbreuk op de AVG werd vastgesteld ( 17 ).

·De gegevensbeschermingsautoriteiten hebben bijna 1 000 “formele” verzoeken om wederzijdse bijstand ingediend ( 18 ) en ongeveer 12 300 “informele” verzoeken ( 19 ).

·Er zijn vijf gezamenlijke acties gestart waaraan gegevensbeschermingsautoriteiten uit zeven lidstaten hebben deelgenomen.

·Gegevensbeschermingsautoriteiten uit 18 lidstaten hebben relevante en gemotiveerde bezwaren ingediend ( 20 ).

Het coherentiemechanisme van de AVG wordt steeds vaker gebruikt door gegevensbeschermingsautoriteiten. Het bestaat uit drie componenten: i) adviezen van het Comité; ii) geschillenbeslechting door het Comité; iii) de spoedprocedure ( 21 ).

Het Comité behandelt in zijn adviezen steeds vaker belangrijke kwesties over de algemene toepassing ( 22 ). Het Comité moet zorgen voor een tijdige en zinvolle raadpleging voordat die adviezen worden vastgesteld. In de zaken die aan de geschillenbeslechting zijn voorgelegd, zijn onderwerpen aan bod gekomen zoals de rechtsgrondslag voor de verwerking van gegevens voor gedragsgerichte advertenties op sociale media en de verwerking van persoonsgegevens van kinderen op het internet. De meeste van de bindende besluiten die daarop volgden, zijn aangevochten voor het Gerecht.

Transparantie in het besluitvormingsproces van het Comité is essentieel om te garanderen dat het recht op behoorlijk bestuur krachtens het Handvest van de grondrechten van de EU wordt gewaarborgd. De spoedprocedure van de AVG biedt gegevensbeschermingsautoriteiten de mogelijkheid om af te wijken van het samenwerkings- en coherentiemechanisme om dringende maatregelen te nemen als dat nodig is om de rechten en vrijheden van de betrokkenen te beschermen. Instrumenten zoals de spoedprocedure bieden de mogelijkheid om af te wijken van de normale samenwerkingsprocedure volgens de AVG en zijn alleen bedoeld om te worden gebruikt in uitzonderlijke omstandigheden en als de normale samenwerkingsprocedure de rechten en vrijheden van de betrokkenen niet kan beschermen.

Het coherentiemechanisme

·Het Comité heeft 190 adviezen inzake coherentie uitgebracht.

·Er zijn negen bindende besluiten vastgesteld in het kader van geschillenbeslechting ( 23 ). In al die gevallen werd de leidende gegevensbeschermingsautoriteit opgedragen haar ontwerpbesluit te wijzigen en in een aantal gevallen zijn aanzienlijke geldboeten opgelegd.

·Vijf gegevensbeschermingsautoriteiten hebben voorlopige maatregelen vastgesteld in het kader van de spoedprocedure (Duitsland, Finland, Italië, Noorwegen en Spanje).

·Twee gegevensbeschermingsautoriteiten hebben het Comité om een dringend bindend besluit verzocht ( 24 ) en het Comité heeft in één geval dringende definitieve maatregelen gelast.

2.3Een betere handhaving

Er is de afgelopen jaren een grote toename geweest van de handhavingsactiviteiten door gegevensbeschermingsautoriteiten, waaronder het opleggen van aanzienlijke geldboeten in baanbrekende zaken tegen grote multinationale technologiebedrijven. Er werden bijvoorbeeld geldboeten opgelegd voor: i) inbreuken op de rechtmatigheid en veiligheid van de verwerking; ii) inbreuken op de verwerking van bijzondere categorieën persoonsgegevens; iii) het niet eerbiedigen van de rechten van individuen ( 25 ). Dat heeft ertoe geleid dat particuliere ondernemingen “gegevensbescherming serieus zijn gaan nemen” ( 26 ) en heeft geholpen om in organisaties een nalevingscultuur te verankeren. Gegevensbeschermingsautoriteiten nemen besluiten aan waarin inbreuken op de AVG worden vastgesteld in zaken waarin een klacht is ingediend of in zaken die op eigen initiatief zijn opgestart. Hoewel niet in alle lidstaten een procedure voor minnelijke schikking beschikbaar is, hebben veel gegevensbeschermingsautoriteiten daar effectief gebruik van gemaakt om op klachten gebaseerde zaken snel en tot tevredenheid van de klager op te lossen. De mogelijkheid om klachten op te lossen via een minnelijke schikking wordt ook erkend in het voorstel betreffende procedureregels ( 27 ).

Gegevensbeschermingsautoriteiten hebben in ruime mate gebruikgemaakt van hun corrigerende bevoegdheden, hoewel het aantal opgelegde corrigerende maatregelen per autoriteit sterk verschilt. Na geldboeten waren waarschuwingen, berispingen en bevelen om te voldoen aan de AVG de vaakst gebruikte corrigerende maatregelen. Verwerkingsverantwoordelijken en verwerkers vechten besluiten waarin inbreuken op de AVG worden vastgesteld vaak aan bij de nationale rechtbanken, meestal om procedurele redenen ( 28 ).

Een betere handhaving

·Gegevensbeschermingsautoriteiten hebben meer dan 20 000 onderzoeken op eigen initiatief ingesteld ( 29 ).

·Samen ontvangen zij meer dan 100 000 klachten per jaar ( 30 ).

·De mediane tijd die gegevensbeschermingsautoriteiten nodig hebben om klachten te behandelen (van de ontvangst van een klacht tot de afsluiting van de zaak) varieert van 1 tot 12 maanden, en bedraagt in vijf lidstaten 3 maanden of minder (Denemarken (1 maand), Spanje (1,5 maand), Estland (3 maanden), Griekenland (3 maanden) en Ierland (3 maanden)).

·Meer dan 20 000 klachten konden worden opgelost door middel van een minnelijke schikking. Die optie wordt het meest gebruikt in Oostenrijk, Hongarije, Luxemburg en Ierland.

·In 2022 hebben de gegevensbeschermingsautoriteiten in Duitsland het grootste aantal besluiten aangenomen waarin een corrigerende maatregel werd opgelegd (3 261), gevolgd door Spanje (774), Litouwen (308) en Estland (332). Het laagste aantal corrigerende maatregelen werd opgelegd in Liechtenstein (8), Tsjechië (8), IJsland (10), Nederland (17) en Luxemburg (22).

·De gegevensbeschermingsautoriteiten hebben meer dan 6 680 geldboeten opgelegd voor een bedrag van ongeveer 4,2 miljard EUR ( 31 ). De Ierse autoriteit heeft het hoogste totaalbedrag aan boeten opgelegd (2,8 miljard EUR), gevolgd door Luxemburg (746 miljoen EUR), Italië (197 miljoen EUR) en Frankrijk (131 miljoen EUR). De laagste totaalbedragen werden opgetekend in Liechtenstein (9 600 EUR), Estland (201 000 EUR) en Litouwen (435 000 EUR).

Hoewel de meeste gegevensbeschermingsautoriteiten hun onderzoeksinstrumentarium toereikend achten, hebben sommige van hen aanvullende instrumenten op nationaal niveau nodig, zoals passende sancties wanneer verwerkingsverantwoordelijken niet meewerken of niet de nodige informatie verstrekken ( 32 ). Voor gegevensbeschermingsautoriteiten zijn onvoldoende middelen en lacunes in technische en juridische expertise de belangrijkste factoren die hun handhavingscapaciteit belemmeren ( 33 ).

2.4Het Comité

Het Comité bestaat uit de voorzitter van één gegevensbeschermingsautoriteit per lidstaat en de Europese Toezichthouder voor gegevensbescherming. Ook de Commissie neemt deel, maar zonder stemrecht. Het Comité wordt in zijn werk ondersteund door een secretariaat en heeft als taak te zorgen voor de coherente toepassing van de AVG ( 34 ). De meeste gegevensbeschermingsautoriteiten zijn van mening dat het Comité een positieve rol heeft gespeeld bij de versterking van hun onderlinge samenwerking ( 35 ). Veel gegevensbeschermingsautoriteiten zetten aanzienlijke middelen in voor de activiteiten van het Comité, hoewel kleinere autoriteiten aangeven dat ze door hun omvang niet goed in staat zijn om ten volle deel te nemen ( 36 ). Sommige autoriteiten zijn van mening dat de processen van het Comité efficiënter kunnen, met name door minder te vergaderen en minder aandacht te besteden aan kleinere kwesties ( 37 ). Afhankelijk van het resultaat van de onderhandelingen over het voorstel betreffende procedureregels voor de AVG, dat tot doel heeft het aantal zaken te verminderen dat voor geschillenbeslechting aan het Comité wordt voorgelegd, kan het nodig zijn om na te denken over extra middelen voor het Comité.

Per november 2023 had het Comité 35 richtsnoeren vastgesteld. Hoewel belanghebbenden en gegevensbeschermingsautoriteiten de richtsnoeren nuttig vonden, zijn beide van mening dat deze sneller moeten worden verstrekt en dat de kwaliteit moet worden verbeterd ( 38 ). Belanghebbenden merken op dat de richtsnoeren vaak te theoretisch en te lang zijn en dat zij geen rekening houden met de risicogestuurde benadering van de AVG ( 39 ). De gegevensbeschermingsautoriteiten en het Comité moeten beknopte en praktische richtsnoeren verstrekken die een antwoord bieden op concrete problemen en het evenwicht tussen gegevensbescherming en andere grondrechten in acht nemen. Richtsnoeren moeten ook makkelijk te begrijpen zijn voor personen zonder juridische achtergrond, bijvoorbeeld in kmo’s en vrijwilligersorganisaties ( 40 ). Mogelijke manieren om dit te verwezenlijken, zijn een transparantere voorbereiding van de richtsnoeren en het organiseren van overleg in een vroeg stadium om een beter inzicht te krijgen in de marktdynamiek, de handelspraktijken en de manier waarop de richtsnoeren in de praktijk moeten worden toegepast ( 41 ). Het wordt als positief beoordeeld dat het Comité, als onderdeel van zijn strategie 2024-2027, ernaar streeft om praktische richtsnoeren te verstrekken die toegankelijk zijn voor het relevante publiek ( 42 ).

De belanghebbenden benadrukken de behoefte aan aanvullende richtsnoeren, met name over anonimisering en pseudonimisering ( 43 ), gerechtvaardigd belang en wetenschappelijk onderzoek ( 44 ). In het verslag van 2020 heeft de Commissie het Comité opgeroepen om richtsnoeren voor wetenschappelijk onderzoek vast te stellen, maar dat is nog niet gebeurd. Gezien het belang van wetenschappelijk onderzoek in de samenleving, met name om ziekten te monitoren en behandelingen te ontwikkelen, alsook om innovatie te bevorderen, is het essentieel dat de gegevensbeschermingsautoriteiten deze kwesties onverwijld verduidelijken ( 45 ). Overheidsinstanties zouden ook baat hebben bij richtsnoeren over de specifieke uitdagingen waarmee zij worden geconfronteerd ( 46 ).

2.5Gegevensbeschermingsautoriteiten

2.5.1Onafhankelijkheid en middelen

De onafhankelijkheid van gegevensbeschermingsautoriteiten is verankerd in het Handvest van de grondrechten van de Europese Unie en in het Verdrag betreffende de werking van de EU. In de AVG zijn voorschriften opgenomen die het “volledig onafhankelijk” optreden van gegevensbeschermingsautoriteiten moeten waarborgen ( 47 ). In het FRA-verslag werd geconstateerd dat de meeste gegevensbeschermingsautoriteiten hun werkzaamheden onafhankelijk van regeringen, parlementen of andere overheidsorganen verrichten ( 48 ).

Gegevensbeschermingsautoriteiten hebben toereikende personele, technische en financiële middelen nodig om hun taken in het kader van de AVG doeltreffend en onafhankelijk te kunnen uitvoeren. In het verslag uit 2020 constateerde de Commissie dat aan gegevensbeschermingsautoriteiten nog steeds onvoldoende middelen werden toegewezen en zij heeft de lidstaten hier altijd op aangesproken. Sindsdien is de situatie verbeterd.

Ruimere middelen voor gegevensbeschermingsautoriteiten ( 49 )

·Tussen 2020 en 2024 is bij op twee na alle gegevensbeschermingsautoriteiten het aantal personeelsleden toegenomen, in 14 lidstaten met meer dan 25 %.

·De personeelsomvang is het sterkst gegroeid bij de Ierse gegevensbeschermingsautoriteit (79 %), gevolgd door die in Estland en Zweden (beide met 57 %) en Bulgarije (56 %).

·In Tsjechië is de personeelsomvang van de autoriteit licht gekrompen (1 %), terwijl er in Liechtenstein geen groei was, en slechts geringe groei in Cyprus (4 %) en Hongarije (8 %).

·Tussen 2020 en 2024 is het budget van op een na alle gegevensbeschermingsautoriteiten gestegen, in 13 lidstaten met meer dan 50 %.

·Het budget is het sterkst gestegen bij de gegevensbeschermingsautoriteit in Cyprus (130 %) gevolgd door die in Oostenrijk (107 %), Bulgarije (100 %) en Estland (97 %).

·Het budget van de Griekse gegevensbeschermingsautoriteit is met 15 % gedaald, terwijl er voor de autoriteiten in Liechtenstein (1 %), Slowakije (6 %) en Tsjechië (8 %) lichte verhogingen konden worden genoteerd.

Hoewel uit deze cijfers blijkt dat er in algemene zin meer middelen worden toegewezen aan gegevensbeschermingsautoriteiten, zijn die autoriteiten zelf van mening dat zij nog altijd over onvoldoende personele middelen beschikken ( 50 ). Zij benadrukken dat er zeer specialistische technische kennis nodig is, met name over nieuwe en opkomende technologieën ( 51 ), dat onvoldoende kennis op dat gebied nadelig is voor de hoeveelheid werk die zij kunnen verzetten en de kwaliteit ervan, en dat zij om personeel moeten concurreren met de particuliere sector. Volgens de gegevensbeschermingsautoriteiten hebben hun resultaten te lijden onder een gebrek aan juridische kennis en onvoldoende talenkennis. Met name lage salarissen, de onmogelijkheid om zelf personeel te selecteren en een hoge werkdruk worden genoemd als belangrijkste factoren die deze autoriteiten belemmeren personeel te werven en te behouden ( 52 ). Ook wijzen gegevensbeschermingsautoriteiten op hun behoefte aan financiële middelen voor de modernisering en digitalisering van hun processen en voor de aanschaf van technische apparatuur ( 53 ). Alle gegevensbeschermingsautoriteiten verrichten taken die verder gaan dan voorzien in de AVG ( 54 ), bv. als toezichthoudende autoriteiten voor de richtlijn gegevensbescherming bij rechtshandhaving en de e-privacyrichtlijn, terwijl veel van hen hun bezorgdheid uiten over de toewijzing van extra verantwoordelijkheden uit hoofde van nieuwe digitale wetgeving ( 55 ).

2.5.2Moeilijkheden bij de verwerking van grote aantallen klachten

Volgens verscheidene gegevensbeschermingsautoriteiten moeten zij te veel van hun middelen inzetten voor de verwerking van grote aantallen klachten, die naar hun mening voor het grootste deel over kleinigheden gaan en ongegrond zijn, omdat de behandeling van elke klacht een voor beroep vatbare verplichting uit hoofde van de AVG is ( 56 ). Gegevensbeschermingsautoriteiten kunnen dus onvoldoende middelen inzetten voor andere activiteiten, waaronder onderzoek op eigen initiatief, voorlichtingscampagnes en contacten met verwerkingsverantwoordelijken ( 57 ). Als overheidsinstanties mogen gegevensbeschermingsautoriteiten zelf beslissen hoe zij hun middelen inzetten om al hun taken (genoemd in artikel 57, lid 1, AVG) in het algemeen belang uit te voeren. Veel gegevensbeschermingsautoriteiten werken met strategieën om klachten doelmatiger te behandelen, waaronder automatisering ( 58 ), de toepassing van procedures voor minnelijke schikking ( 59 ) en “bundeling” van klachten over vergelijkbare zaken ( 60 ).

2.5.3Interpretatie van de AVG door nationale gegevensbeschermingsautoriteiten

Een centrale doelstelling van de AVG was het aanpakken van de versnipperde benadering van gegevensbescherming die bestond ten tijde van de vorige gegevensbeschermingsrichtlijn (Richtlijn 95/46/EG) ( 61 ). Gegevensbeschermingsautoriteiten leggen belangrijke concepten op het gebied van gegevensbescherming echter nog steeds verschillend uit ( 62 ). Belanghebbenden zien dit als de grootste belemmering voor een consistente toepassing van de AVG in de EU. Aanhoudend uiteenlopende interpretaties van de verordening leiden tot rechtsongelijkheid en hogere kosten voor het bedrijfsleven (bv. als er voor verschillende lidstaten verschillende documenten vereist zijn), met als gevolg dat het vrije verkeer van persoonsgegevens binnen de EU wordt verstoord, grensoverschrijdend handelsverkeer wordt belemmerd en onderzoek en innovatie op het gebied van dringende maatschappelijke uitdagingen worden bemoeilijkt.

Belanghebbenden wezen op de volgende specifieke punten: i) het feit dat in drie lidstaten de gegevensbeschermingsautoriteiten elk hun eigen zienswijze hebben over de juiste rechtsgrondslag voor de verwerking van persoonsgegevens bij klinische proeven; ii) de standpunten over de vraag of een entiteit een verwerkingsverantwoordelijke of een verwerker is, lopen vaak uiteen; iii) in sommige gevallen wijken gegevensbeschermingsautoriteiten af van de richtsnoeren van het Comité of publiceren zij op nationaal niveau richtsnoeren die strijdig zijn met die van het Comité ( 63 ). Deze kwesties zijn nog lastiger als meerdere gegevensbeschermingsautoriteiten in een en dezelfde lidstaat strijdige interpretaties hanteren.

Ook zijn sommige belanghebbenden van mening dat bepaalde gegevensbeschermingsautoriteiten en het Comité interpretaties hanteren die afwijken van de risicogebaseerde benadering van de AVG, wat problematisch is voor de ontwikkeling van de digitale economie ( 64 ) en de vrijheid en pluriformiteit van de media. Zij noemen de volgende punten van zorg: i) de interpretatie van het begrip “anonimisering”; ii) de rechtsgrondslag van de begrippen “gerechtvaardigd belang” en “toestemming” ( 65 );iii) de uitzonderingen op het verbod op geautomatiseerde individuele besluitvorming ( 66 ). Er zij op gewezen dat gegevensbeschermingsautoriteiten en het Comité zowel de bescherming van natuurlijke personen bij verwerking van hun persoonsgegevens moeten waarborgen als het vrije verkeer van persoonsgegevens binnen de EU. Zoals in de AVG wordt erkend ( 67 ), moet het recht op bescherming van persoonsgegevens worden bezien in relatie tot de functie ervan in de samenleving en conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen.

2.5.4Contacten met verwerkingsverantwoordelijken en verwerkers

Belanghebbenden benadrukken het nut van de gelegenheid tot constructieve dialoog met gegevensbeschermingsautoriteiten om ervoor te zorgen dat zij vanaf het begin aan de AVG voldoen, met name ten aanzien van opkomende technologieën. Belanghebbenden constateren dat sommige gegevensbeschermingsautoriteiten actief contacten met verwerkingsverantwoordelijken onderhouden, terwijl andere traag reageren, vage antwoorden geven of in het geheel niet reageren ( 68 ).

3Uitvoering van de AVG door de lidstaten

3.1Versnippering van de nationale toepassing

Hoewel de AVG als verordening rechtstreeks toepasselijk is, moeten de lidstaten krachtens de verordening op bepaalde gebieden wetgeving vaststellen en biedt de AVG hun de mogelijkheid om de toepassing ervan op een beperkt aantal gebieden nader uit te werken ( 69 ). Als lidstaten op nationaal niveau wetgeving vaststellen, gelden daarbij de voorwaarden en de beperkingen uit de AVG. Net als in 2020 geven belanghebbenden aan dat zij moeilijkheden door versnippering van nationale regels ondervinden als lidstaten de mogelijkheid hebben om de AVG nader uit te werken, met name als het gaat om:

·de minimumleeftijd voor toestemming van kinderen met betrekking tot het aanbod van diensten van de informatiemaatschappij voor deze kinderen ( 70 );

·de invoering door lidstaten van bijkomende voorwaarden met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid ( 71 );

·de verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten ( 72 ), die in bepaalde gereguleerde sectoren moeilijkheden oplevert.

Wel moet echter worden opgemerkt dat versnipperingsproblemen volgens veel belanghebbenden hoofdzakelijk een gevolg zijn van uiteenlopende interpretaties van de AVG door gegevensbeschermingsautoriteiten en niet zozeer van het gebruik van facultatieve bijkomende voorwaarden door lidstaten.

De lidstaten zijn van mening dat een beperkte mate van versnippering aanvaardbaar kan zijn en dat de in de AVG bedoelde bijkomende voorwaarden een nuttige functie blijven vervullen, met name voor de verwerking door overheidsinstanties ( 73 ). In de AVG worden de lidstaten verplicht om hun nationale gegevensbeschermingsautoriteit te raadplegen als zij wetgeving voorbereiden die verband houdt met de verwerking van persoonsgegevens ( 74 ). Volgens het FRA-verslag hanteren sommige regeringen daarbij voor die autoriteiten zeer korte termijnen en worden zij in sommige gevallen in het geheel niet geraadpleegd ( 75 ).

3.2Toezicht door de Commissie

De Commissie houdt doorlopend toezicht op de uitvoering van de AVG. De Commissie heeft tegen lidstaten inbreukprocedures ingeleid die onder andere betrekking hadden op de onafhankelijkheid van gegevensbeschermingsautoriteiten (onder meer over het vrij blijven van externe invloed en over de beschikbaarheid van een voorziening in rechte in geval van afwijzing) ( 76 ) en het recht op een doeltreffende voorziening in rechte voor betrokkenen als een gegevensbeschermingsautoriteit een klacht niet behandelt ( 77 ). In het kader van dit toezicht verlangt de Commissie ook dat gegevensbeschermingsautoriteiten op strikt vertrouwelijke basis geregeld informatie verstrekken ( 78 ) over lopende grote grensoverschrijdende zaken, met name als die betrekking hebben op grote multinationale technologiebedrijven.

De Commissie onderhoudt geregeld contact met de lidstaten over de uitvoering van de AVG. Zoals uiteengezet in het verslag uit 2020 is de Commissie van de AVG-deskundigengroep van de lidstaten ( 79 ) gebruik blijven maken om besprekingen en de uitwisseling van ervaringen over een doeltreffende uitvoering van de AVG te bevorderen. Meer in het bijzonder heeft de deskundigengroep gesproken over: i) het toezicht op gerechten bij de uitoefening van hun rechterlijke taken (artikel 55 AVG en artikel 8 van het Handvest); ii) het in overeenstemming brengen van het recht op gegevensbescherming met het recht op vrijheid van meningsuiting (artikel 85 AVG); iii) het recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit (artikel 78 AVG). Naar aanleiding van deze gesprekken heeft de Commissie overzichten opgesteld van de benaderingen die worden gehanteerd bij de uitvoering van die bepalingen in de lidstaten ( 80 ). Ook heeft de Commissie via deze groep met de lidstaten van gedachten gewisseld toen zij het voorstel over procedureregels voorbereidde.

De overeenstemming van nationale wetgeving en praktijken met de voorschriften voor gegevensbescherming uit de jurisprudentie van de EU over het Schengengebied wordt ook beoordeeld in het kader van de gezamenlijke Schengenevaluaties van de lidstaten en de Commissie. Jaarlijks vinden ten minste vijf gegevensbeschermingsevaluaties op locatie plaats, die momenteel gericht zijn op grootschalige IT-systemen en het Schengeninformatiesysteem, het visuminformatiesysteem en de toezichthoudende rol van de nationale gegevensbeschermingsautoriteiten op die systemen.

De Commissie levert (met circa dertig prejudiciële beslissingen per jaar in de afgelopen jaren) een actieve bijdrage aan het grote aantal zaken bij het Hof van Justitie, dat een centrale rol vervult voor een consistente uitleg van de belangrijkste concepten uit de AVG. De groeiende jurisprudentie van het Hof heeft diverse verduidelijkingen opgeleverd, onder meer over de definitie van persoonsgegevens ( 81 ), bijzondere categorieën van persoonsgegevens ( 82 ), verwerkingsverantwoordelijke ( 83 ), toestemming ( 84 ), gerechtvaardigd belang ( 85 ), het recht van inzage ( 86 ), het recht op wissing ( 87 ), het recht op schadevergoeding ( 88 ), geautomatiseerde individuele besluitvorming ( 89 ), administratieve geldboeten ( 90 ), functionarissen voor gegevensbescherming ( 91 ), bekendmaking van persoonsgegevens in registers ( 92 ) en de toepassing van de AVG op de werkzaamheden van parlementen ( 93 ).

4Rechten van betrokkenen

Bekendheid van de AVG en gegevensbeschermingsautoriteiten (Eurobarometer 549 uit 2024 over justitie, rechten en waarden)

·72 % van de respondenten in de EU zegt wel eens van de AVG te hebben gehoord, en daarvan weet 40 % wat het is.

·In 19 lidstaten zegt meer dan 70 % van de respondenten bekend te zijn met de AVG, waarbij de bekendheid het grootst is onder respondenten in Zweden (92 %), gevolgd door Nederland (88 %) en Malta en Denemarken (84 %), terwijl die bekendheid het kleinst is in Bulgarije (59 %), gevolgd door Letland (63 %) en Frankrijk (64 %).

·68 % van de respondenten in de EU zegt wel eens te hebben gehoord van een nationale autoriteit die verantwoordelijk is voor de eerbiediging van hun rechten op het gebied van gegevensbescherming, en 24 % van alle respondenten zegt ook te weten welke overheidsinstantie verantwoordelijk is.

·In alle lidstaten heeft ten minste de helft van de respondenten wel eens van dat soort nationale autoriteit gehoord, de meeste in Nederland (82 %), Tsjechië, Slovenië en Polen (alle 75 %) en Portugal (74 %). In Oostenrijk (56 %) en Spanje (58 %) is deze autoriteit het minst bekend.

Mensen weten steeds beter welke rechten zij op grond van de AVG hebben en oefenen hun rechten steeds actiever uit ( 94 ). Gegevensbeschermingsautoriteiten zetten aanzienlijke middelen in om bij het grote publiek meer bekendheid te geven aan rechten en plichten op het gebied van gegevensbescherming, onder meer via campagnes op sociale media en televisie en door middel van informatielijnen, nieuwsbrieven en presentaties bij onderwijsinstellingen ( 95 ). Veel van die initiatieven werden door de EU gefinancierd ( 96 ). Volgens het Bureau voor de grondrechten geniet gegevensbescherming bij het grote publiek weliswaar meer bekendheid, maar is er nog steeds onvoldoende kennis over gegevensbescherming, zoals ook blijkt uit het grote aantal klachten over kleinigheden of ongegronde klachten ( 97 ). Er zijn diverse gebruikersvriendelijke digitale instrumenten ontwikkeld om betrokkenen gemakkelijker hun rechten te kunnen laten uitoefenen ( 98 ). Wetgeving, waaronder met name de datagovernanceverordening ( 99 ), moet ervoor zorgen dat betrokkenen hun rechten in de toekomst op meer manieren kunnen uitoefenen. Bedrijven zien dat er steeds meer gebruik wordt gemaakt van het recht op gegevenswissing, terwijl dat in veel mindere mate het geval is met het recht op rectificatie en het recht van bezwaar.

4.1Recht van inzage

Volgens verwerkingsverantwoordelijken maken betrokkenen vooral gebruik van het recht van inzage (artikel 15 AVG). Hoewel het Comité in 2022 richtsnoeren voor dit recht heeft vastgesteld, zijn er volgens verwerkingsverantwoordelijken nog steeds problemen, bijvoorbeeld met de interpretatie van het begrip “ongegronde of buitensporige verzoeken” ( 100 ), met de beantwoording van grote aantallen verzoeken en met de behandeling van verzoeken die zijn ingediend voor doeleinden die geen verband houden met gegevensbescherming en bijvoorbeeld dienen om bewijs te verzamelen voor gerechtelijke procedures ( 101 ). Maatschappelijke organisaties geven aan dat vaak traag of onvolledig wordt gereageerd op verzoeken om inzage en dat gegevens niet altijd in een leesbaar formaat worden verstrekt ( 102 ). Overheidsinstanties wijzen op moeilijkheden op het raakvlak van het recht van inzage en voorschriften inzake de toegang van het publiek tot documenten ( 103 ). Het is daarom een goede zaak dat het Comité in februari 2024 van start is gegaan met een gecoördineerd handhavingskader voor gezamenlijke actie op het gebied van het recht van inzage ( 104 ).

4.2Recht op overdraagbaarheid van gegevens

In het verslag uit 2020 heeft de Commissie toegezegd dat zij praktische middelen zou gaan onderzoeken om de uitoefening van het recht op overdraagbaarheid van gegevens (artikel 20 AVG) gemakkelijker te maken, in overeenstemming met de datastrategie. Sindsdien heeft de Commissie ter aanvulling van dit recht een aantal initiatieven vastgesteld. Die initiatieven maken het gemakkelijker om naar een andere dienst over te stappen en geven mensen zo meer keuze, ondersteunen mededinging en innovatie en maken het voor mensen mogelijk om de vruchten te plukken van het gebruik van hun gegevens. De dataverordening verruimt voor gebruikers van slimme apparaten het recht op overdraagbaarheid van de gegevens die via deze apparaten worden gegenereerd en schrijft voor dat die overdraagbaarheid in het ontwerp van het product of een achterliggende server van de fabrikant of datahouder technisch mogelijk moet zijn. Volgens de digitalemarktenverordening moeten aanbieders van centrale platformdiensten die als “poortwachters” worden aangemerkt, voorzien in daadwerkelijke overdraagbaarheid van de gegevens van gebruikers en in onafgebroken realtime toegang tot die gegevens. Diverse andere initiatieven van de Commissie waarover op dit moment wordt onderhandeld of politieke overeenstemming is bereikt, voorzien in ruimere rechten op overdraagbaarheid op specifieke gebieden, waaronder de richtlijn inzake platformwerk ( 105 ), de Europese dataruimte voor gezondheid ( 106 ) en het kader voor toegang tot financiële gegevens ( 107 ).

4.3Het recht om een klacht in te dienen

Zoals blijkt uit het grote aantal klachten, geniet het recht om bij een gegevensbeschermingsautoriteit een klacht in te dienen ruime bekendheid. Maatschappelijke organisaties wijzen op ongerechtvaardigde verschillen in nationale praktijken voor de behandeling van klachten, en daar wordt iets aan gedaan in het voorstel van de Commissie over procedureregels. Weinig lidstaten hebben gebruikgemaakt van de mogelijkheid in de AVG om een non-profitinstelling het recht te verlenen om onafhankelijk van de opdracht van een betrokkene een klacht in te dienen (artikel 80, lid 2). De in 2020 vastgestelde richtlijn betreffende representatieve vorderingen ( 108 ) zal echter in dit opzicht tot meer harmonisatie leiden omdat in die richtlijn collectieve vorderingen van individuele personen wegens inbreuk op de AVG makkelijker worden gemaakt. Nationale uitvoeringsmaatregelen voor de richtlijn zijn in juni 2023 van toepassing geworden.

4.4Bescherming van de persoonsgegevens van kinderen

Kinderen hebben specifieke bescherming nodig wanneer hun persoonsgegevens worden verwerkt ( 109 ). De AVG is onderdeel van een uitgebreid rechtskader dat de bescherming van kinderen zowel online als offline waarborgt ( 110 ). Aangezien kinderen steeds meer online actief zijn, is in de afgelopen jaren op EU- en nationaal niveau een aantal maatregelen genomen om de onlinebescherming van kinderen te ondersteunen. Gegevensbeschermingsautoriteiten hebben aan socialemediabedrijven aanzienlijke boetes opgelegd wegens overtreding van de AVG bij de verwerking van de gegevens van kinderen. Samen met andere autoriteiten vragen zij om betere bescherming van kinderen op het gebied van reclame. In het verslag uit 2020 vroeg de Commissie het Comité om richtsnoeren voor de verwerking van de gegevens van kinderen, en daaraan wordt op dit moment gewerkt ( 111 ). In de digitaledienstenverordening zijn specifieke bepalingen opgenomen om een hoge mate van privacy, beveiliging en veiligheid te waarborgen voor kinderen die onlineplatforms gebruiken.

Enkele belanghebbenden maken melding van problemen bij de uitoefening van de rechten van betrokkenen als die betrokkenen kinderen zijn. Zij geven met name aan dat kinderen hun rechten niet volledig begrijpen, digitaal onvoldoende vaardig zijn en op ongepaste wijze kunnen worden beïnvloed ( 112 ). De Commissie heeft op nationaal niveau een aantal initiatieven gefinancierd die zijn gericht op bescherming van de gegevens van kinderen en op voorlichting aan kinderen over gegevensbescherming ( 113 ). In het kader van de strategie voor een beter internet voor kinderen (Better Internet for Kids, BIK+) biedt de Commissie kinderen voorlichtingsmateriaal en cursussen aan over hun digitale rechten, waaronder het recht op gegevensbescherming (bv. digitale toestemming) ( 114 ). Er komt steeds meer aandacht voor de noodzaak van doeltreffende en privacyvriendelijke hulpmiddelen voor leeftijdscontrole. Begin 2024 heeft de Commissie samen met de lidstaten, het Comité en de Europese Groep van regulerende instanties voor audiovisuele mediadiensten een taskforce voor leeftijdscontrole ingesteld om de ontwikkeling van een EU-wijde benadering van leeftijdscontrole te bespreken en te ondersteunen. Die werkzaamheden zullen nu worden voortgezet in het kader van de Raad voor de digitaledienstenverordening, in de werkgroep bescherming van minderjarigen. In het kader van de EU-verordening digitale identiteit ( 115 ), die in mei 2024 in werking is getreden, wil de Commissie verzekeren dat de Europese portemonnee voor digitale identiteit in 2026 aan alle EU-burgers en -ingezetenen wordt aangeboden, ook voor leeftijdsverificatie. Totdat het ecosysteem van de portemonnee volledig operationeel is, zal in de hele EU een kortetermijnoplossing voor leeftijdsverificatie worden ontwikkeld en beschikbaar gesteld.

5Kansen en uitdagingen voor organisaties en met name voor kmo’s

De AVG heeft een gelijk speelveld tot stand gebracht voor bedrijven die op de interne markt actief zijn, en dankzij de technologieneutrale en innovatievriendelijke benadering van de verordening hebben bedrijven met minder bureaucratie te maken en genieten zij meer vertrouwen van de consument ( 116 ). Veel bedrijven hebben op het gebied van gegevensbescherming een eigen cultuur ontwikkeld en beschouwen privacy en gegevensbescherming als belangrijke factoren voor hun concurrentiepositie. Bedrijven zien de risicogebaseerde benadering van de AVG als een leidend beginsel voor flexibiliteit en schaalbaarheid van hun verplichtingen ( 117 ).

5.1Toolbox voor ondernemingen

De AVG voorziet in een toolbox met instrumenten die organisaties in staat stellen om de verordening op een flexibele manier na te leven en dit aan te tonen, waaronder gedragscodes, certificeringsregelingen en standaardcontractbepalingen. Zoals aangekondigd in het verslag uit 2020 heeft de Commissie in 2021 standaardcontractbepalingen vastgesteld voor de verhouding tussen de verwerkingsverantwoordelijke en de verwerker ( 118 ). Die standaardcontractbepalingen vormen een kant-en-klaar en gemakkelijk in te voeren vrijwillig nalevingsinstrument, wat bijzonder nuttig is voor kmo’s of organisaties die niet beschikken over de middelen om met hun handelspartners individuele contracten overeen te komen. Ondernemingen denken verschillend over het gebruik van de standaardcontractbepalingen, in die zin dat sommige bedrijven (hoofdzakelijk kmo’s) deze bepalingen geheel of gedeeltelijk gebruiken, terwijl andere (vooral grotere ondernemingen) ze meestal niet gebruiken omdat zij de voorkeur geven aan hun eigen bepalingen.

Ondernemingen benadrukken dat gedragscodes vele mogelijkheden bieden als sectorspecifiek en kostenefficiënt nalevingsinstrument ( 119 ). Er is echter slechts een beperkt aantal gedragscodes ontwikkeld ( 120 ). Volgens de op dit moment beschikbare informatie zijn slechts twee EU-brede codes vastgesteld (beide in de cloudsector), terwijl er op nationaal niveau zes codes zijn vastgesteld ( 121 ). Volgens belanghebbenden wordt het gebruik van gedragscodes vooral beperkt door lastige eisen (waaronder de verplichting om een geaccrediteerde toezichthoudende instantie op te zetten), een gebrek aan betrokkenheid van gegevensbeschermingsautoriteiten en langdurige goedkeuringsprocedures ( 122 ).

Er is behoefte aan meer transparantie in het proces en aan duidelijke goedkeuringstermijnen. Gegevensbeschermingsautoriteiten en, in het geval van EU-brede codes, het Comité, moeten het opstellen van gedragscodes actiever stimuleren door samen te werken met de organisaties die deze codes ontwikkelen. Mede hierdoor zullen interpretatieverschillen verdwijnen en zal de goedkeuringsprocedure sneller verlopen. Belanghebbenden betreuren dat met de vaststelling van gedragscodes zoveel tijd gemoeid is; dat is een gevolg van het feit dat bij het werk aan richtsnoeren bepaalde kwesties tegelijkertijd worden besproken. Daarnaast wordt er volgens bedrijven niet op grote schaal van certificering gebruikgemaakt omdat de ontwikkeling ervan traag verloopt en gecompliceerd is. Net als bij de gedragscodes zouden gegevensbeschermingsautoriteiten bij de beoordeling en goedkeuring van certificeringen duidelijker termijnen moeten hanteren.

Het Comité heeft in zijn strategie voor de periode 2024-2027 toegezegd dat het nalevingsinstrumenten (waaronder certificering en gedragscodes) blijft ondersteunen, onder meer door groepen belanghebbenden uit te leggen hoe de instrumenten kunnen worden gebruikt ( 123 ).

5.2Specifieke uitdagingen voor kmo’s en kleine marktdeelnemers

In het verslag uit 2020 vroeg de Commissie om intensivering van de ondersteuning voor kmo’s bij de naleving van de AVG. In de afgelopen jaren zijn gegevensbeschermingsautoriteiten en het Comité nalevingsinstrumenten voor kmo’s blijven ontwikkelen, deels met financiering van de Commissie ( 124 ). In april 2023 presenteerde het Comité een handleiding voor gegevensbescherming voor kmo’s ( 125 ), met toegankelijke en begrijpelijke praktische informatie.

Kmo’s uit vele lidstaten benadrukken het nut van maatwerk bij ondersteuning door hun lokale gegevensbeschermingsautoriteiten. Door uiteenlopende benaderingen van voorlichting en advisering door gegevensbeschermingsautoriteiten zien kmo’s in bepaalde lidstaten die naleving echter als gecompliceerd en vrezen zij de handhaving ( 126 ). Gegevensbeschermingsautoriteiten moeten hun inspanningen om deze problemen op te lossen verdubbelen, onder meer aan de hand van proactieve contacten met kmo’s om ongegronde bezorgdheid over de naleving te verminderen. Gegevensbeschermingsautoriteiten zouden zich met name moeten richten op ondersteuning op maat en praktische instrumenten, waaronder modellen (bv. voor effectbeoordelingen op het gebied van gegevensbescherming), telefonische ondersteuning, illustratieve voorbeelden, checklists en richtsnoeren voor specifieke verwerkingsactiviteiten (bv. facturering of nieuwsbrieven) en technische en organisatorische maatregelen. Aangezien de meeste kmo’s zelf niet beschikken over deskundigheid op het gebied van gegevensbescherming, moet informatie voor kmo’s goed te begrijpen zijn voor mensen zonder juridische achtergrond ( 127 ).

Overeenkomstig de risicogebaseerde benadering van de AVG is de naleving niet bijzonder belastend voor kmo’s die verwerkingsactiviteiten verrichten waaraan slechts geringe risico’s zijn verbonden. Hoewel de vrijstelling van de verplichting om een register van verwerkingsactiviteiten bij te houden ( 128 ) slechts in een beperkt aantal gevallen geldt ( 129 ), kunnen kmo’s die verwerkingsactiviteiten verrichten waaraan slechts geringe risico’s zijn verbonden, aan de voorschriften voldoen door een vereenvoudigd register bij te houden op basis van door gegevensbeschermingsautoriteiten verstrekte modellen. Bovendien moet dat register worden gezien als een nuttig instrument voor kmo’s om hun verwerkingsactiviteiten bij te houden.

5.3Functionarissen voor gegevensbescherming

Functionarissen voor gegevensbescherming hebben een belangrijke rol bij het waarborgen van de naleving van de AVG in de organisaties waarbij zij werken. In algemene zin beschikken functionarissen voor gegevensbescherming in de EU over de benodigde kennis en vaardigheden om hun taken uit hoofde van de AVG te vervullen, en wordt hun onafhankelijkheid geëerbiedigd ( 130 ). Er zijn echter nog steeds diverse problemen, waaronder: i) het feit dat organisaties moeilijk functionarissen voor gegevensbescherming met de vereiste deskundigheid kunnen vinden; ii) het gebrek aan EU-brede normen voor opleiding en training; iii) onvoldoende betrokkenheid van functionarissen voor gegevensbescherming bij processen in de organisatie; iv) onvoldoende middelen; v) andere taken naast gegevensbescherming; vi) onvoldoende anciënniteit ( 131 ). Het Comité heeft vastgesteld dat gegevensbeschermingsautoriteiten meer aan voorlichting, informatieverstrekking en handhaving moeten doen om ervoor te zorgen dat functionarissen voor gegevensbescherming hun AVG-taken kunnen vervullen ( 132 ).

6De AVG als hoeksteen voor EU-beleid in de digitale ruimte

6.1Digitaal beleid op basis van de AVG

In het verslag uit 2020 heeft de Commissie ondersteuning toegezegd voor de consistente toepassing van het kader voor gegevensbescherming op nieuwe technologieën, om innovatie en technologische ontwikkeling te bevorderen. De EU heeft sindsdien een reeks initiatieven vastgesteld, waarvan sommige een aanvulling op de AVG vormen of nader aangeven hoe de verordening op specifieke gebieden voor specifieke doelen moet worden toegepast, zoals hierna wordt uiteengezet.

·De digitaledienstenverordening ( 133 ), die bedoeld is om personen en bedrijven een veilige onlineomgeving te bieden, verbiedt onlineplatforms om advertenties te tonen die zijn gebaseerd op profilering waarbij wordt gebruikgemaakt van “bijzondere categorieën van persoonsgegevens” zoals gedefinieerd in de AVG.

·Om digitale markten eerlijker en betwistbaarder te maken, is in de digitalemarktenverordening ( 134 ) een verbod opgenomen voor marktdeelnemers die als “poortwachters” zijn aangewezen om uit hun kernplatformdiensten afkomstige persoonsgegevens met andere diensten te “combineren” of te “kruisen”, tenzij de gebruiker daarvoor toestemming heeft verleend overeenkomstig de AVG.

·In de AI-verordening ( 135 ) zijn de EU-regels opgenomen voor gegevensbescherming op specifieke gebieden waarop AI wordt gebruikt, bijvoorbeeld in systemen voor biometrische identificatie op afstand, de verwerking van bijzondere categorieën van gegevens om vertekening op te sporen en de verdere verwerking van persoonsgegevens in testomgevingen voor regelgeving.

·De richtlijn platformwerk ( 136 ) vult de AVG op het gebied van werkgelegenheid aan met regels voor systemen voor geautomatiseerde monitoring en besluitvorming die door digitale arbeidsplatforms worden gebruikt, en in het bijzonder met beperkingen op de verwerking van persoonsgegevens, en met regels voor transparantie, menselijk toezicht, en herziening en overdraagbaarheid.

·De verordening betreffende politieke reclame ( 137 ) verbiedt het gebruik van bijzondere categorieën van persoonsgegevens in politieke reclame en schrijft meer transparantie voor over de gebruikte technieken voor targeting en versterking.

·De verordening inzake het Europees kader voor digitale identiteit maakt de totstandkoming mogelijk van een universele, betrouwbare en veilige Europese portemonnee voor digitale identiteit. Daarmee kunnen mensen persoonlijke attributen zoals leeftijd, rijbewijzen, diploma’s en bankrekeningen aantonen, met volledige controle over hun persoonsgegevens en zonder onnodige uitwisseling van gegevens.

Over het voorstel voor een e-privacyverordening ( 138 ) ter vervanging van de huidige e-privacyrichtlijn ( 139 ) en als aanvulling op het wetgevingskader inzake de eerbiediging van het privéleven en de bescherming van persoonsgegevens is een aantal jaren onderhandeld. Er moet worden nagedacht over de volgende stappen voor dit initiatief, onder meer over de vraag hoe het zich verhoudt tot de AVG.

De verordening Interoperabel Europa ( 140 ) is bedoeld om digitale overheidsdiensten in de gehele EU interoperabel te maken. De verordening ondersteunt de samenwerking tussen gegevensbeschermingsautoriteiten met name door middel van testomgevingen voor regelgeving op het gebied van interoperabiliteit.

Verscheidene EU-initiatieven voorzien in een rechtsgrondslag voor de verwerking van persoonsgegevens door particuliere entiteiten ten behoeve van preventie, onderzoek, opsporing of vervolging van strafbare feiten. Dergelijke wetgeving moet zorgvuldig gericht zijn om zo min mogelijk ten koste te gaan van het recht op bescherming van persoonsgegevens, en moet evenredig zijn met het nagestreefde doel ( 141 ). Het Handvest, de AVG en de jurisprudentie van het Hof van Justitie vormen een toetsingskader voor deze initiatieven. Het voorgestelde pakket maatregelen tegen het witwassen van geld ( 142 ) voorziet in uitvoerige waarborgen voor de bescherming van persoonsgegevens maar doet geen afbreuk aan het doel om witwassen en de risico’s van terrorismefinanciering tegen te gaan en criminele pogingen om misbruik te maken van het financiële stelsel van de EU doeltreffend op te sporen.

In dit verband heeft de Raad benadrukt dat nieuwe EU-wetgeving met bepalingen over de verwerking van persoonsgegevens in alle gevallen in overeenstemming moet zijn met de AVG en de jurisprudentie van het Hof van Justitie.

6.2Rechtskader voor betere uitwisseling van gegevens

De datastrategie is bedoeld om ten behoeve van bedrijven, onderzoekers en overheden een eengemaakte markt voor gegevens tot stand te brengen met vrij verkeer van gegevens binnen de EU en tussen sectoren. Een belangrijk doel van de datastrategie is de totstandkoming van gemeenschappelijke Europese dataruimten om de bundeling, inzage en uitwisseling van gegevens te vergemakkelijken. Met betrekking tot persoonsgegevens vormt de AVG het kader voor alle initiatieven die verbetering nastreven van het vrije verkeer van gegevens binnen de EU, wat op zichzelf een doelstelling van de AVG is. Met betrekking tot persoonsgegevens verandert er niets aan de beschermingen die de AVG biedt.

De datagovernanceverordening ( 143 ) en de dataverordening ( 144 ) zijn pijlers van de datastrategie. De datagovernanceverordening bevat concrete regels voor het hergebruik van overheidsinformatie waarvan persoonsgegevens deel uitmaken, voorziet in een wetgevingskader voor databemiddelingsdiensten, waaronder beheersdiensten voor persoonsgegevens (Personal Information Management Services, PIMS) of persoonlijke dataclouds die dienen om betrokkenen te ondersteunen bij de uitoefening van hun rechten uit hoofde van de AVG. De verordening vormt ook het kader voor de voorwaarden die gelden voor het gebruik van gegevens voor altruïstische doeleinden. De dataverordening geeft betrokkenen door middel van technische voorschriften voor inzage en overdraagbaarheid van gegevens meer zeggenschap over de gegevens die zij genereren bij het gebruik van slimme voorwerpen die zij bezitten, huren of leasen.

De Europese dataruimte voor gezondheid (European Health Data Space, EHDS) ( 145 ) komt tegemoet aan de specifieke behoeften met betrekking tot gezondheidsgegevens maar bouwt ook voort op de AVG. Mensen kunnen hun digitale gezondheidsgegevens gemakkelijk inzien en delen met zorgverleners, ook in andere lidstaten, waardoor de zorg wordt verbeterd en patiënten meer zeggenschap over hun gegevens krijgen. Deze dataruimte voorziet ook in een gemeenschappelijk rechtskader voor het hergebruik van gezondheidsgegevens, onder meer ten behoeve van onderzoek, innovatie en de volksgezondheid, op basis van een vergunning die wordt afgegeven door een instantie voor toegang tot gezondheidsgegevens. Om de bescherming van persoonsgegevens te waarborgen, zal de EHDS voorzien in een betrouwbare regeling voor veilige toegang tot en verwerking van gezondheidsgegevens. De Commissie blijft de ontwikkeling van gemeenschappelijke Europese dataruimten in 14 sectoren ondersteunen door invoering van het nieuwe wetgevingskader en financiering van sectorspecifieke initiatieven.

6.3Beheer van nieuwe digitale regels

De ontwikkeling van digitale regelgeving vereist nauwe samenwerking tussen regelgevingsgebieden ( 146 ). Die samenwerking is des te noodzakelijker omdat aangelegenheden op het gebied van gegevensbescherming steeds meer raakvlakken hebben met bijvoorbeeld het mededingingsrecht, het consumentenrecht, regels voor digitale markten, voorschriften op het gebied van elektronische communicatie en cyberbeveiliging. Dat is bijvoorbeeld het geval wanneer moet worden beoordeeld of “Pay or OK”-systemen verenigbaar zijn met het EU-recht.

Soms worden gegevensbeschermingsautoriteiten belast met de handhaving van specifieke bepalingen uit nieuwe digitale wetgeving van de EU ( 147 ). Door nieuwe digitale regelgeving ontstaan ook specifieke verbanden waarbinnen bevoegde toezichthouders samenwerken om een samenhangende handhaving te waarborgen, waaronder de groep op hoog niveau voor de digitalemarktenverordening, de Europese data-innovatieraad (ingesteld krachtens de datagovernanceverordening) en de Europese Raad voor digitale diensten (ingesteld krachtens de digitaledienstenverordening). In de NIS 2-richtlijn ( 148 ) zijn nadere regels opgenomen voor de samenwerking tussen regulerende instanties en gegevensbeschermingsautoriteiten op het gebied van de afhandeling van beveiligingsincidenten die inbreuken in verband met persoonsgegevens vormen.

Buiten deze formele verbanden nemen gegevensbeschermingsautoriteiten maatregelen om te waarborgen dat hun werkzaamheden een aanvulling vormen op, en in overeenstemming zijn met andere gebieden van regelgeving. In juli 2020 hebben autoriteiten voor consumenten- en gegevensbescherming een “vrijwilligersgroep” ingesteld om beste praktijken te inventariseren en ervaringen op handhavingsgebied te delen. Gegevensbeschermingsautoriteiten blijven deelnemen aan gezamenlijke workshops met het samenwerkingsnetwerk voor consumentenbescherming. In 2023 heeft het Comité een taskforce opgericht voor de wisselwerking tussen gegevensbescherming, mededinging en consumentenbescherming.

Hoewel dit positieve ontwikkelingen zijn, is er toch behoefte aan meer gestructureerde en doelmatigere vormen van samenwerking, met name voor situaties die gevolgen hebben voor grote aantallen mensen in de EU en waarbij meerdere toezichthouders betrokken zijn ( 149 ). Dergelijke verbanden moeten waarborgen dat autoriteiten te allen tijde verantwoordelijk blijven voor alle aangelegenheden die verband houden met de naleving van regels op de gebieden waarvoor zij bevoegd zijn. De lidstaten moeten ook zorgen dat op nationaal niveau goed wordt samengewerkt ( 150 ).

7Internationale doorgiften en mondiale samenwerking

7.1De AVG-doorgiftetoolbox

Gegevensstromen zijn een wezenlijk onderdeel geworden van de digitale transformatie van de samenleving en van de mondialisering van de economie. Meer dan ooit tevoren is bescherming van de persoonlijke levenssfeer een voorwaarde voor stabiele, veilige en concurrerende handelsstromen, maar ook een bepalende factor voor vele vormen van internationale samenwerking. De doorgiftetoolbox uit hoofdstuk V van de AVG voorziet in uiteenlopende instrumenten voor verschillende doorgiftescenario’s en waarborgt dat gegevens ook zeer goed beschermd zijn wanneer ze de EU verlaten.

Sinds het verslag uit 2020 zijn de vereisten voor doorgifte van gegevens in de EU-wetgeving voor gegevensbescherming verder verduidelijkt en is de doorgiftetoolbox verder ontwikkeld. Een belangrijke verduidelijking heeft betrekking op het begrip “internationale doorgifte”, dat volgens de definitie van het Comité ( 151 ) elke verstrekking van onder het toepassingsgebied van de AVG vallende persoonsgegevens door een verwerkingsverantwoordelijke of een verwerker aan een andere verwerkingsverantwoordelijke of verwerker in een derde land omvat, ongeacht of de verwerking door deze laatste onder het toepassingsgebied van de AVG valt ( 152 ). Deze informatie van het Comité was bijzonder belangrijk met het oog op de rechtszekerheid van Europese verwerkingsverantwoordelijken en verwerkers in de gevallen waarin een doorgifte‑instrument overeenkomstig hoofdstuk V van de AVG nodig is.

Daarnaast heeft het Hof van Justitie in zijn arrest in de zaak-Schrems II ( 153 ) ook meer duidelijkheid verschaft over de bescherming die verschillende doorgifte-instrumenten moeten bieden om te waarborgen dat het door de AVG gegarandeerde beschermingsniveau niet wordt ondermijnd ( 154 ). Met name moeten deze instrumenten waarborgen dat personen wier persoonsgegevens naar een derde land worden doorgegeven, een beschermingsniveau genieten dat in grote lijnen overeenkomt met het binnen de EU gewaarborgde beschermingsniveau ( 155 ). Het is de verantwoordelijkheid van de gegevensexporteur in de EU om te beoordelen of dit het geval is, rekening houdend met de specifieke omstandigheden van zijn doorgiften ( 156 ).

Bij de beoordeling van het beschermingsniveau moeten gegevensexporteurs rekening houden met zowel waarborgen voor gegevensbescherming die zijn omschreven in het met een gegevensimporteur uit een derde land overeengekomen doorgifte-instrument (bv. een contract) als met relevante aspecten van het rechtsstelsel van het land waarin de gegevensimporteur is gevestigd, met name ten aanzien van mogelijke toegang tot de gegevens door overheidsinstanties in dat land ( 157 ). Dit laatste moet worden getoetst aan de criteria voor adequaatheidsbeoordeling uit artikel 45 van de AVG. Het Hof is ook nader op deze criteria ingegaan, met name ten aanzien van de regels voor toegang van overheidsinstanties tot persoonsgegevens voor doeleinden op het gebied van rechtshandhaving en nationale veiligheid.

Deze uitleg is ook te vinden in de richtsnoeren van het Comité, dat zijn “adequaatheidsreferentie” ( 158 ) heeft geactualiseerd (met richtsnoeren voor de zaken die de Commissie in aanmerking moet nemen bij een adequaatheidsbeoordeling). Daarnaast heeft het Comité nieuwe richtsnoeren vastgesteld met verdere verduidelijkingen over: i) de zaken die individuele gegevensexporteurs in aanmerking moeten nemen bij het beoordelen van het beschermingsniveau; ii) een overzicht van bronnen die mogelijk kunnen worden gebruikt; iii) voorbeelden van mogelijke aanvullende maatregelen (bv. contractuele en technische waarborgen) ( 159 ). In de richtsnoeren wordt specifiek benadrukt dat elke beoordeling door gegevensexporteurs uniek is, en dat zij daarom rekening moeten houden met de specifieke kenmerken van elke doorgifte, die afhankelijk kunnen zijn van het doel van de gegevensdoorgifte, de soorten entiteiten die daarbij betrokken zijn, de sector waarbinnen de doorgifte plaatsvindt, de categorieën persoonsgegevens die worden doorgegeven enz. ( 160 ).

Gezien deze verschillende verduidelijkingen over de vereisten voor internationale doorgifte van gegevens zijn in de afgelopen jaren aanzienlijke stappen gezet in de richting van een verdere ontwikkeling en operationalisering van de AVG-doorgiftetoolbox.

7.1.1Adequaatheidsbesluiten

Zoals ook blijkt uit de reacties die van belanghebbenden werden ontvangen, blijven adequaatheidsbesluiten belangrijk binnen de AVG-doorgiftetoolbox ( 161 ) en vormen zij een eenvoudige en complete oplossing voor doorgiften van gegevens zonder dat de gegevensexporteur nadere waarborgen hoeft te verstrekken of vergunningen hoeft te krijgen. Door het vrije verkeer van persoonsgegevens mogelijk te maken, hebben deze besluiten handelskanalen geopend voor EU-bedrijven, onder meer door de voordelen van handelsovereenkomsten aan te vullen en te versterken, en hebben zij de samenwerking met buitenlandse partners vergemakkelijkt op een groot aantal gebieden, van regelgeving tot onderzoek.

Sinds het verslag uit 2020 hebben steeds meer landen moderne wetgeving voor gegevensbescherming ingevoerd, die onder meer voorziet in belangrijke beginselen voor gegevensbescherming, individuele rechten en doeltreffende handhaving door onafhankelijke toezichthouders. Mede daardoor ( 162 ) heeft de Commissie haar werkzaamheden op het gebied van adequaatheid kunnen intensiveren. Zo werd een adequaatheidsbesluit voor het Verenigd Koninkrijk vastgesteld ( 163 ), dat van groot belang is voor een goede werking van de diverse overeenkomsten die na de Brexit met het VK zijn gesloten. Om de toekomstbestendigheid van dit besluit te waarborgen, is daarin een “vervalclausule” opgenomen die in 2025 afloopt, waarna het besluit kan worden vernieuwd als het beschermingsniveau nog altijd adequaat is. De Commissie heeft ook een adequaatheidsbesluit vastgesteld voor de Republiek Korea ( 164 ), dat met betrekking tot stromen van persoonsgegevens een aanvulling vormt op de vrijhandelsovereenkomst tussen de EU en Zuid-Korea en samenwerking op het gebied van regelgeving bevordert. Een eerste evaluatie van het adequaatheidsbesluit zal eind 2024 plaatsvinden.

Na de intrekking van het adequaatheidsbesluit voor het EU-VS-privacyschild is de Commissie daarnaast met de regering van de Verenigde Staten (VS) besprekingen gaan voeren over de ontwikkeling van een vervangende regeling die voldoet aan de door het Hof verduidelijkte vereisten ( 165 ). De president van de VS verleende zijn goedkeuring aan een nieuw presidentieel besluit over “betere waarborgen voor Amerikaanse activiteiten op het gebied van inlichtingen uit berichtenverkeer”, met nieuwe bindende en afdwingbare waarborgen, die moeten zorgen dat gegevens voor doeleinden op het gebied van de nationale veiligheid alleen toegankelijk zijn voor zover dat noodzakelijk en evenredig is, en dat voor Europeanen doeltreffende beroepsmogelijkheden beschikbaar zijn. Op basis daarvan heeft de Commissie haar adequaatheidsbesluit inzake het kader voor gegevensbescherming EU-VS (Data Privacy Framework, DPF) ( 166 ) vastgesteld, dat vrij verkeer van persoonsgegevens mogelijk maakt van de EU naar Amerikaanse bedrijven die zich bij het DPF aansluiten. Aangezien de door de Amerikaanse regering ingevoerde waarborgen op het gebied van nationale veiligheid ongeacht het gebruikte AVG-doorgiftemechanisme van toepassing zijn op alle doorgiften van gegevens aan bedrijven in de VS, is het gebruik van andere instrumenten, waaronder standaardcontractbepalingen en bindende bedrijfsvoorschriften, aanzienlijk makkelijker geworden. Een eerste evaluatie van de werking van het DPF zal in de zomer van 2024 plaatsvinden om te verifiëren of alle relevante onderdelen volledig zijn omgezet in het Amerikaanse rechtskader en of zij in de praktijk doeltreffend werken.

Momenteel vinden adequaatheidsonderhandelingen plaats met Brazilië en Kenia en, voor het eerst, met verscheidene internationale organisaties (zo verkeren de gesprekken over adequaatheid met de Europese Octrooiorganisatie in een gevorderd stadium) ( 167 ). Naar aanleiding van oproepen van diverse belanghebbenden ( 168 ) is de Commissie daarnaast actief verkennende gesprekken gaan voeren met landen in verschillende regio’s van de wereld.

De Commissie houdt ook doorlopend toezicht op de ontwikkelingen in de landen waarvoor reeds adequaatheidsbevindingen bestaan en evalueert bestaande besluiten periodiek, overeenkomstig de desbetreffende verplichtingen uit de AVG ( 169 ). In april 2023 heeft de Commissie haar verslag vastgesteld over de eerste periodieke evaluatie van het adequaatheidsbesluit voor Japan ( 170 ), waarin werd geconcludeerd dat Japan nog steeds een adequaat beschermingsniveau waarborgt ( 171 ). Uit de evaluatie is gebleken dat de Europese en Japanse kaders voor gegevensbescherming na de vaststelling van de wederzijdse adequaatheidsbesluiten verder zijn geharmoniseerd.

Overeenkomstig artikel 97 van de AVG werd daarnaast in het kader van de evaluatie uit 2020 van de toepassing en de werking van de AVG een begin gemaakt met de eerste evaluatie van de elf adequaatheidsbesluiten ( 172 ) die nog krachtens het vorige EU-kader voor gegevensbescherming (de richtlijn gegevensbescherming) zijn vastgesteld. De conclusie over dit aspect van de evaluatie werd uitgesteld, met name om rekening te houden met het arrest van het Hof van Justitie in de zaak-Schrems II en de interpretatie daarvan door het Comité. Naar aanleiding van bovengenoemde verduidelijkingen van het Hof over belangrijke onderdelen van de adequaatheidsnorm vond uitvoerig overleg met de betrokken landen en gebieden plaats over de desbetreffende aspecten van hun rechtskader, en kwamen regelingen voor toezicht en handhaving tot stand.

Op 15 januari 2024 publiceerde de Commissie haar verslag over deze elf besluiten, samen met uitvoerige landenrapporten over de ontwikkelingen in elk van de landen en gebieden sinds de vaststelling van de adequaatheidsbesluiten en de regels die van toepassing zijn voor toegang van overheidsinstanties tot gegevens, met name voor doeleinden op het gebied van rechtshandhaving en nationale veiligheid ( 173 ). In het verslag wordt geconcludeerd dat alle elf landen en gebieden nog steeds een adequaat beschermingsniveau bieden voor uit de EU doorgegeven persoonsgegevens. Er wordt geconstateerd dat alle betrokken landen en gebieden hun rechtskader op het gebied van de bescherming van de persoonlijke levenssfeer op verschillende manieren hebben gemoderniseerd en aangescherpt. Om relevante verschillen in het beschermingsniveau aan te pakken, zijn met sommige van de betrokken landen en gebieden bovendien, waar dit nodig was om de continuïteit van het adequaatheidsbesluit te waarborgen, na onderhandelingen aanvullende waarborgen overeengekomen voor vanuit Europa doorgegeven persoonsgegevens.

Uit die evaluaties blijkt ook dat adequaatheidsbesluiten niet zozeer een “eindpunt” zijn, maar de basis vormen voor nauwere samenwerking en verdere harmonisatie van regelgeving tussen de EU en deze gelijkgezinde partners. Zo kan volgens het verslag over de eerste evaluatie van het adequaatheidsbesluit voor Japan de verdere versterking van het Japanse kader voor gegevensbescherming aanleiding zijn om het adequaatheidsbesluit ook buiten het handelsverkeer te gaan toepassen op doorgiften die momenteel niet onder dat besluit vallen, onder meer op het gebied van samenwerking en onderzoek op het gebied van regelgeving. Momenteel vinden gesprekken plaats over een dergelijke mogelijke uitbreiding. In algemene zin zijn adequaatheidsbesluiten een strategisch onderdeel geworden van de algehele relatie van de EU met deze buitenlandse partners en worden zij gezien als een belangrijke stimulerende factor voor verdergaande samenwerking op een breed scala van gebieden.

Het groeiende netwerk van landen en gebieden waarvoor de EU een adequaatheidsbesluit heeft vastgesteld, is niet alleen een degelijk fundament voor meer bilaterale samenwerking maar biedt ook nieuwe kansen om de voordelen van veilige en vrije gegevensstromen te maximaliseren en om nauwer met gelijkgezinde partners samen te werken aan de handhaving van regels voor gegevensbescherming. De Commissie heeft daarom in maart 2024 de eerste vergadering op hoog niveau ooit over veilige gegevensstromen georganiseerd, die werd bijgewoond door de verantwoordelijke ministers en directeuren van gegevensbeschermingsautoriteiten uit 15 landen en gebieden waarvoor de EU een adequaatheidsbesluit heeft vastgesteld, en door de voorzitter van het Europees Comité voor gegevensbescherming ( 174 ). Tijdens de vergadering werden verscheidene concrete actiepunten vastgesteld waaraan binnen deze groep verder wordt gewerkt.

Meer in het algemeen zijn adequaatheidsbesluiten van de Europese Commissie dankzij hun “netwerkeffect” ook steeds relevanter buiten de EU, omdat ze niet alleen het vrije verkeer van gegevens mogelijk maken met de dertig economieën van de EER maar ook met veel meer rechtsgebieden overal ter wereld die landen waarvoor een adequaatheidsbesluit van de EU bestaat, erkennen als “veilige bestemmingen” onder hun eigen regels voor gegevensbescherming ( 175 ).

7.1.2Instrumenten die passende waarborgen bieden

Sinds het verslag van 2020 zijn aanvullende instrumenten ontwikkeld die passende waarborgen bieden en zijn praktische richtsnoeren verstrekt om het gebruik ervan te vergemakkelijken.

Zoals aangekondigd in het verslag van 2020 heeft de Commissie gemoderniseerde standaardcontractbepalingen ( 176 ) vastgesteld. Bij de ontwikkeling daarvan is uitvoerig geput uit de feedback van verschillende belanghebbenden ( 177 ). De nieuwe standaardcontractbepalingen zijn in de plaats gekomen van de drie reeksen standaardcontractbepalingen die in het kader van de richtlijn gegevensbescherming waren vastgesteld. De belangrijkste nieuwe aspecten zijn: i) geactualiseerde waarborgen in overeenstemming met de AVG; ii) een modulaire aanpak met één enkel toegangspunt dat een breed scala aan doorgiftescenario’s bestrijkt; iii) een flexibeler gebruik van standaardcontractbepalingen door meerdere partijen; iv) een praktisch instrumentarium om te voldoen aan het arrest-Schrems II.

De gemoderniseerde standaardcontractbepalingen zijn door de belanghebbenden verwelkomd en de ontvangen feedback bevestigt dat dergelijke bepalingen veruit het meest gebruikte instrument blijven voor doorgiften door gegevensexporteurs uit de EU ( 178 ). Om gegevensexporteurs te helpen met de naleving, heeft de Commissie een lijst van veelgestelde vragen en antwoorden opgesteld als verdere leidraad bij het gebruik van de bepalingen ( 179 ). Die lijst zal worden bijgewerkt als er nieuwe vragen rijzen, bijvoorbeeld in het licht van de verdere feedback die in het kader van deze evaluatie wordt ontvangen.

Vele gegevensexporteurs melden dat de door het arrest-Schrems II vereiste “doorgifte-effectbeoordelingen” voor hen moeilijk uitvoerbaar zijn, met name vanwege de complexiteit ervan en de kosten en de tijd die ermee gemoeid zijn ( 180 ). Zij zijn ingenomen met de richtsnoeren van het Comité en de standaardcontractbepalingen, maar vragen om aanvullende richtsnoeren (bijvoorbeeld over de verantwoordelijkheden van de betrokken partijen en de benodigde gedetailleerdheid van de doorgifte-effectbeoordelingen) en om aanvullende instrumenten om te helpen bij de uitvoering van dergelijke beoordelingen (zoals modellen, algemene landbeoordelingen en risicocatalogi). Hoewel deze feedback van belanghebbenden voornamelijk betrekking had op de standaardcontractbepalingen, zijn dezelfde beoordelingen ook vereist voor andere doorgifte-instrumenten (zoals bindende bedrijfsvoorschriften). Daarom is het van belang dat het Comité — voortbouwend op de ervaring die de afgelopen jaren is opgedaan met de toepassing van de Schrems II-vereisten, onder meer in het kader van de handhavingsactiviteiten van de nationale gegevensbeschermingsautoriteiten — nagaat op welke wijze en met welke instrumenten gegevensexporteurs verder kunnen worden geholpen bij de naleving van de regels in dit verband.

In aanvulling op de bestaande standaardcontractbepalingen ontwikkelt de Commissie aanvullende reeksen bepalingen om EU-gegevensexporteurs een alomvattend en samenhangend pakket te bieden. Dat omvat standaardcontractbepalingen uit hoofde van Verordening (EU) 2018/1725 voor gegevensdoorgiften door EU-instellingen en -organen aan commerciële exploitanten in derde landen ( 181 ) en standaardcontractbepalingen voor gegevensdoorgiften aan gegevensimporteurs uit derde landen wier verwerkingsactiviteiten rechtstreeks onder de AVG vallen. Die laatste bepalingen komen tegemoet aan de wens van belanghebbenden om specifiek de scenario’s te behandelen waarin de gegevensimporteur binnen het territoriale toepassingsgebied van de AVG valt (bijvoorbeeld omdat de verwerking gericht is op de markt van de Unie overeenkomstig artikel 3, lid 2, AVG) ( 182 ). Zoals het Comité heeft verduidelijkt, is een doorgifte-instrument op grond van hoofdstuk V AVG ook in dit geval vereist vanwege de verhoogde risico’s voor persoonsgegevens die buiten de EU worden verwerkt, bijvoorbeeld als gevolg van mogelijk tegenstrijdige nationale wetgeving of onevenredige toegang van de overheid in het derde land ( 183 ). De nieuwe standaardcontractbepalingen die door de Commissie worden ontwikkeld, zullen specifiek betrekking hebben op dit scenario en volledig rekening houden met de vereisten die op grond van de AVG reeds rechtstreeks op die verwerkingsverantwoordelijken en verwerkers van toepassing zijn ( 184 ).

Verschillende soorten belanghebbenden ( 185 ) erkennen dat modelbepalingen een steeds centralere rol spelen bij het faciliteren van gegevensstromen wereldwijd. Verschillende rechtsgebieden hebben de EU-standaardcontractbepalingen als doorgiftemechanisme in hun eigen gegevensbeschermingswetgeving overgenomen, met beperkte formele aanpassingen aan hun nationale rechtsorde ( 186 ). Diverse andere landen hebben eigen modelbepalingen vastgesteld die grote overeenkomsten vertonen met de standaardcontractbepalingen van de EU ( 187 ). Een belangrijk voorbeeld is de opstelling van modelbepalingen door andere internationale/regionale organisaties of netwerken, zoals het Raadgevend Comité van de Raad van Europa voor Verdrag nr. 108, het Ibero-Amerikaans netwerk voor gegevensbescherming en de Associatie van Zuidoost-Aziatische Staten (Asean) ( 188 ). Dat biedt nieuwe mogelijkheden om gegevensstromen tussen verschillende regio’s wereldwijd te vergemakkelijken op basis van modelbepalingen. Een concreet voorbeeld is de EU-Asean-gids over de EU-standaardcontractbepalingen en de Asean-modelbepalingen die bedrijven, onder meer op basis van feedback uit het bedrijfsleven, helpen bij de naleving van beide reeksen bepalingen ( 189 ).

Naast standaardcontractbepalingen worden bindende bedrijfsvoorschriften nog steeds op grote schaal gebruikt voor gegevensstromen tussen leden van ondernemingsgroepen of tussen ondernemingen die een gezamenlijke economische activiteit verrichten. Sinds de AVG van toepassing is, heeft het Comité tachtig positieve adviezen uitgebracht over nationale besluiten tot goedkeuring van bindende bedrijfsvoorschriften ( 190 ). Het Comité heeft voorts richtsnoeren uitgevaardigd over de elementen die moeten worden opgenomen in bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken (en over de informatie die moet worden verstrekt in een aanvraag voor bindende bedrijfsvoorschriften), die zijn bijgewerkt om rekening te houden met de AVG-vereisten en het arrest-Schrems II ( 191 ). Er wordt ook gewerkt aan geactualiseerde richtsnoeren over bindende bedrijfsvoorschriften voor verwerkers ( 192 ). Aangezien bindende bedrijfsvoorschriften ervoor moeten zorgen dat bedrijven beschikken over bindende beleidsmaatregelen/programma’s inzake gegevensbescherming, beschouwen veel belanghebbenden deze als een bijzonder nuttig instrument voor naleving en een betrouwbaar doorgifte-instrument ( 193 ). Tegelijkertijd blijven belanghebbenden melden dat de duur en de complexiteit van de goedkeuringsprocedure door de nationale gegevensbeschermingsautoriteiten een bredere toepassing van bindende bedrijfsvoorschriften in de weg staan. Daarom is het belangrijk dat de autoriteiten blijven werken aan het stroomlijnen en verkorten van de goedkeuringsprocedure.

Sinds het verslag van 2020 zijn ook stappen ondernomen om het gebruik van certificering en gedragscodes als doorgifte-instrumenten te vergemakkelijken, bijvoorbeeld door de goedkeuring van specifieke richtsnoeren voor beide instrumenten door het Comité ( 194 ). Tegelijkertijd wijzen belanghebbenden ook in het geval van certificering en gedragscodes als verantwoordingsinstrumenten op de problematische duur en complexiteit van de goedkeuringsprocedure.

Tot slot voorziet de AVG ook in specifieke instrumenten — internationale overeenkomsten en door gegevensbeschermingsautoriteiten goedgekeurde administratieve regelingen — aan de hand waarvan overheidsinstanties persoonsgegevens doorgeven aan hun tegenhangers in derde landen of aan internationale organisaties. Het Comité heeft richtsnoeren vastgesteld over de in dergelijke instrumenten op te nemen waarborgen ( 195 ), die de onderhandelingen over dergelijke overeenkomsten en regelingen kunnen vergemakkelijken.

7.1.3Zorgen voor complementariteit met ander beleid

Aangezien gegevensstromen essentieel zijn geworden voor tal van activiteiten, is het cruciaal ervoor te zorgen dat het gegevensbeschermingsbeleid en andere beleidslijnen complementair met elkaar zijn. De opneming van gegevensbeschermingswaarborgen in internationale instrumenten is vaak een voorwaarde voor gegevensstromen en een belangrijke factor voor een stabiele en betrouwbare samenwerking.

Zo zijn internationale overeenkomsten die de nodige gegevensbeschermingswaarborgen bieden, onder meer door de continuïteit van de bescherming aan de zijde van een verzoekende autoriteit te waarborgen, van essentieel belang om de courtoisie te waarborgen en de grensoverschrijdende toegang van rechtshandhavingsinstanties tot elektronisch bewijsmateriaal in het bezit van ondernemingen te vergemakkelijken en aldus doeltreffender op te treden tegen misdrijven. Die aanpak komt tot uiting in het tweede aanvullend protocol bij het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken ( 196 ), dat de bestaande regels voor het verkrijgen van grensoverschrijdende toegang tot elektronisch bewijsmateriaal in strafrechtelijke onderzoeken aanscherpt en zorgt voor passende gegevensbeschermingswaarborgen. Het protocol is inmiddels door verschillende EU-lidstaten ondertekend. Evenzo vorderen de bilaterale onderhandelingen tussen de EU en de VS over een overeenkomst betreffende grensoverschrijdende toegang tot elektronisch bewijsmateriaal voor samenwerking in strafzaken ( 197 ).

De uitwisseling van persoonsgegevens van passagiers (PNR-gegevens) is een ander onderdeel van het veiligheidsbeleid van de EU dat baat heeft gehad bij de ontwikkeling van krachtige gegevensbeschermingswaarborgen. In 2023 hebben de EU en Canada hun onderhandelingen afgerond over een nieuwe PNR-overeenkomst in overeenstemming met de vereisten die het Hof van Justitie in Advies 1/15 heeft geformuleerd ( 198 ). Soortgelijke waarborgen zijn opgenomen in het PNR-hoofdstuk van de Handels- en samenwerkingsovereenkomst tussen de EU en het Verenigd Koninkrijk. De versterking van de bescherming van de privacy in deze overeenkomsten, die als model kan dienen voor toekomstige overeenkomsten met andere partners, biedt luchtvaartmaatschappijen rechtszekerheid en waarborgt tegelijkertijd de stabiliteit van belangrijke informatie-uitwisselingen in het kader van de bestrijding van terrorisme en andere ernstige grensoverschrijdende criminaliteit.

De Commissie is ook voorstander van krachtige bepalingen ter bescherming van de privacy en ter bevordering van de digitale handel bij de Wereldhandelsorganisatie in het kader van de lopende onderhandelingen over een gezamenlijke verklaring inzake elektronische handel. Soortgelijke bepalingen ter bestrijding van ongerechtvaardigde belemmeringen voor digitale handel, waarbij de noodzakelijke beleidsruimte van de partijen op het gebied van gegevensbescherming wordt gevrijwaard, zijn consequent opgenomen in de vrijhandelsovereenkomsten die de EU na de inwerkingtreding van de AVG heeft gesloten, met name in de Handels- en samenwerkingsovereenkomst tussen de EU en het Verenigd Koninkrijk en in de overeenkomsten met Chili, Japan en Nieuw-Zeeland. Bepalingen inzake privacy en gegevensstromen zijn ook onderwerp van gesprek in de lopende onderhandelingen over digitale handel met Singapore en Zuid-Korea.

7.2Internationale samenwerking op het gebied van gegevensbescherming

7.2.1De bilaterale dimensie

De Commissie heeft de dialoog met landen en internationale organisaties over de ontwikkeling, hervorming en uitvoering van privacyregels voortgezet, onder meer door opmerkingen in te dienen in het kader van openbare raadplegingen over ontwerpwetgeving of regelgevingsmaatregelen op het gebied van privacy ( 199 ), verklaringen af te leggen voor bevoegde parlementaire organen ( 200 ) en deel te nemen aan specifieke bijeenkomsten met regeringsvertegenwoordigers, parlementaire delegaties en regelgevende instanties uit tal van regio’s van over de wereld ( 201 ). De uitvoering van verschillende van deze activiteiten vond plaats in het kader van het door de EU gefinancierde project “Enhanced Data Protection and Data Flows”, dat landen ondersteunt die voornemens zijn moderne gegevensbeschermingskaders te ontwikkelen of de capaciteit van hun regelgevende instanties te versterken door middel van opleiding, kennisdeling, capaciteitsopbouw en de uitwisseling van beste praktijken. De Commissie heeft voorts bijgedragen aan andere initiatieven, zoals de digitale alliantie EU-Celac.

Gegevensbescherming zal ook een belangrijke rol blijven spelen in de werkzaamheden van de Commissie in verband met de uitbreiding. De EU-wetgeving inzake gegevensbescherming is een belangrijk element in de algemene inspanningen van de uitbreidingslanden om hun rechtskader af te stemmen op dat van de EU (met name omdat de verwerking en de uitwisseling van persoonsgegevens in vele beleidsmaatregelen centraal staan). Bovendien zijn de onafhankelijkheid en de goede werking van een gegevensbeschermingsautoriteit essentiële onderdelen van de algemene controlemechanismen en de rechtsstaat, en zal het belang ervan toenemen naarmate de EU de uitbreidingslanden geleidelijk integreert in de eengemaakte markt (zoals beoogd door initiatieven zoals het groeiplan voor de Westelijke Balkan).

Uitwisselingen tussen regelgevende instanties vormen een steeds belangrijker aspect van de dialoog tussen de EU en derde landen. Zoals aangekondigd in het verslag van 2020 heeft de Commissie een “Data Protection Academy” (academie voor gegevensbescherming) opgericht om uitwisselingen tussen gegevensbeschermingsautoriteiten van de EU en van derde landen te bevorderen, teneinde bij te dragen tot capaciteitsopbouw en de samenwerking ter plaatse te verbeteren. De academie verzorgt opleidingen op maat op verzoek van autoriteiten van derde landen en brengt de expertise van vertegenwoordigers van handhavingsinstanties, de academische wereld, de particuliere sector en de Europese instellingen bijeen. De opleidingen hebben als meerwaarde dat de verschillende componenten worden afgestemd op de belangen en behoeften van de verzoekende autoriteit. Bovendien stellen deze opleidingen de gegevensbeschermingsautoriteiten van de EU en van derde landen in staat contacten te leggen, kennis te delen, ervaringen en beste praktijken uit te wisselen en mogelijke samenwerkingsterreinen te identificeren. De academie heeft tot dusver opleidingen verzorgd voor de gegevensbeschermingsautoriteiten van Indonesië, Brazilië, Kenia, Nigeria en Rwanda en werkt momenteel aan opleidingen voor verschillende andere landen.

Naast het belang van dialoog tussen de regelgevende instanties, bestaat er, zoals de Raad en het Comité ook erkennen in hun feedback ( 202 ), een steeds grotere behoefte om passende rechtsinstrumenten te ontwikkelen voor nauwere vormen van samenwerking en wederzijdse bijstand, onder meer door de noodzakelijke uitwisseling van informatie in het kader van onderzoeken mogelijk te maken. Aangezien privacyschendingen steeds vaker grensoverschrijdende gevolgen hebben, kunnen zij vaak alleen doeltreffend worden onderzocht en aangepakt via samenwerking tussen regelgevende instanties uit de EU en van buiten de EU. De Commissie zal daarom toestemming vragen om onderhandelingen te openen met als doel samenwerkingsovereenkomsten op het gebied van handhaving te sluiten met bepaalde derde landen (zoals ook bepaald in artikel 50 van de AVG). In dat verband neemt de Commissie nota van het verzoek van het Comité om de landen met de meeste marktdeelnemers die rechtstreeks onder de AVG vallen, specifiek te beschouwen als potentiële partners, met name G7-landen en/of landen die begunstigde zijn van een adequaatheidsbesluit ( 203 ).

De sluiting van dergelijke overeenkomsten inzake samenwerking op het gebied van handhaving en wederzijdse bijstand zou ook bijdragen tot de naleving van de AVG door en de doeltreffende handhaving ervan ten aanzien van buitenlandse marktdeelnemers die onder de AVG vallen, bijvoorbeeld omdat zij zich specifiek richten op de EU-markt door goederen of diensten aan te bieden. De Raad merkt op hoe belangrijk het is de naleving van de AVG in dergelijke gevallen af te dwingen, en uit zijn bezorgdheid over het gelijke speelveld met entiteiten in de EU en over de doeltreffende bescherming van de rechten van personen ( 204 ). De Commissie is het eens met de oproep van de Raad om verschillende manieren te onderzoeken om de handhaving in dit scenario te vergemakkelijken. Hoewel formelere vormen van samenwerking met regelgevende instanties uit derde landen zeker een belangrijke rol kunnen spelen, moet ook intensiever gebruik worden gemaakt van andere — reeds bestaande — mogelijkheden. Dat houdt in dat ten volle gebruik moet worden gemaakt van het handhavingsinstrumentarium van artikel 58 AVG en dat vertegenwoordigers van buitenlandse ondernemingen in de EU (die zijn aangewezen overeenkomstig artikel 27 AVG) moeten worden betrokken.

7.2.2De multilaterale dimensie

De Commissie blijft ook actief deelnemen aan een aantal internationale fora om gedeelde waarden te bevorderen en te zorgen voor regionale en mondiale convergentie.

In dat verband draagt zij bijvoorbeeld actief bij aan de werkzaamheden van het Raadgevend Comité voor het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (Verdrag nr. 108), het enige juridisch bindende multilaterale instrument op het gebied van de bescherming van persoonsgegevens. Tot dusver hebben 31 landen het wijzigingsprotocol ter modernisering van Verdrag nr. 108 geratificeerd ( 205 ), waaronder veel EU-lidstaten en enkele niet-lidstaten van de Raad van Europa (Argentinië, Mauritius en Uruguay). Slechts één EU-lidstaat moet nog overgaan tot ondertekening ( 206 ), terwijl acht EU-lidstaten ( 207 ) het gemoderniseerde verdrag reeds hebben ondertekend, maar nog niet geratificeerd. De Commissie dringt er bij de resterende lidstaat op aan het gemoderniseerde verdrag te ondertekenen en bij de overige lidstaten om snel tot ratificatie over te gaan zodat het in de nabije toekomst in werking kan treden. Daarnaast zal de Commissie proactief derde landen blijven aanmoedigen om toe te treden.

Binnen de G20 en de G7 werd in het kader van privacy en gegevensstromen met name gesproken over de operationalisering van het oorspronkelijk door Japan voorgestelde concept “vrije gegevensstroom met vertrouwen” (DFFT), waarbij wordt erkend dat gegevensbescherming en -beveiliging kunnen bijdragen tot het vertrouwen in de digitale economie en gegevensstromen kunnen vergemakkelijken ( 208 ). De OESO speelt daarbij een bijzonder belangrijke rol door een forum te bieden voor een DFFT-deskundigengroep, waarin een breed scala van belanghebbenden (regeringen, regelgevende instanties, industrie, maatschappelijk middenveld, academische wereld) bijeenkomt om input te leveren over specifieke projecten en vragen in verband met DFFT. Bovendien is een belangrijk resultaat van het DFFT-initiatief, waaraan de Commissie in aanzienlijke mate heeft bijgedragen, de goedkeuring door de OESO van een verklaring inzake de toegang van de overheid tot persoonsgegevens die in het bezit zijn van particuliere instanties, het eerste internationale instrument op dit gebied. Het omvat een reeks gedeelde vereisten om de privacy te waarborgen bij de toegang tot persoonsgegevens voor doeleinden in verband met de nationale veiligheid en de rechtshandhaving. Gelet op het toenemende wereldwijde besef dat het vertrouwen in gegevensdoorgifte wordt aangetast door de onevenredige toegang van de overheid, is deze verklaring een belangrijke stap in het bevorderen van betrouwbare gegevensstromen. De Commissie zal landen blijven aanmoedigen zich aan te sluiten bij de verklaring, die ook openstaat voor niet-OESO-lidstaten.

De Commissie werkt ook samen met verschillende regionale organisaties en netwerken die gemeenschappelijke gegevensbeschermingswaarborgen ontwikkelen. Dit betreft bijvoorbeeld de Asean, de Afrikaanse Unie, het forum voor privacyautoriteiten Azië-Pacific, het Ibero-Amerikaans netwerk voor gegevensbescherming en het netwerk van Afrikaanse gegevensbeschermingsautoriteiten (NADPA — RADPD). De ontwikkeling van de eerder genoemde EU-Asean-gids over modelbepalingen is een concreet voorbeeld van een dergelijke vruchtbare samenwerking.

Tot slot onderhoudt de Commissie een dialoog met verschillende internationale organisaties, onder meer om na te gaan hoe de gegevensstromen tussen de EU en dergelijke organisaties verder kunnen worden vergemakkelijkt. Het feit dat veel organisaties hun gegevensbeschermingskader de afgelopen jaren hebben gemoderniseerd of daarmee bezig zijn, biedt ook nieuwe gelegenheden om ervaringen en beste praktijken uit te wisselen. In dat verband zijn de door de Europese Toezichthouder voor gegevensbescherming georganiseerde jaarlijkse workshops met internationale organisaties en een speciale taskforce voor internationale gegevensdoorgiften bijzonder nuttig gebleken voor het uitwisselen en verkennen van concrete samenwerkingsinstrumenten, met inbegrip van de uitwisseling van persoonsgegevens ( 209 ).

8Conclusie

Mensen hebben in de zes jaar sinds de AVG van toepassing werd meer zeggenschap gekregen nu zij daadwerkelijke controle hebben over hun gegevens. De AVG heeft ook bijgedragen tot het creëren van een gelijk speelveld voor bedrijven en is een steunpilaar geweest voor een breed scala aan initiatieven die de digitale transitie in de EU aanjagen.

Er is echter verdere actie nodig om de tweeledige doelstelling van de AVG — een sterke bescherming van personen met inachtneming van het vrije verkeer van persoonsgegevens binnen de EU en veilige gegevensstromen buiten de EU — volledig te verwezenlijken:

·een robuuste handhaving van de AVG, te beginnen met de snelle goedkeuring van het voorstel van de Commissie inzake procedureregels om snelle rechtsmiddelen en rechtszekerheid te bieden in zaken die personen in de hele EU treffen;

·proactieve steun van gegevensbeschermingsautoriteiten aan belanghebbenden, met name kmo’s en kleine marktdeelnemers, bij de naleving;

·een consistente interpretatie en toepassing van de AVG in de hele EU;

·doeltreffende samenwerking tussen regelgevende instanties op zowel nationaal als EU-niveau om te zorgen voor een consistente en coherente toepassing van het groeiende corpus van Europese digitale regels;

·verdere vooruitgang boeken met de internationale gegevensbeschermingsstrategie van de Commissie.

Om de doeltreffende toepassing van de AVG te ondersteunen en verdere overwegingen over gegevensbescherming te onderbouwen, zijn verschillende van de hier genoemde acties nodig. De Commissie zal de uitvoering van deze acties ondersteunen en monitoren, mede met het oog op het volgende verslag in 2028.

Ontwikkeling van doeltreffende samenwerkingsstructuren

Het Europees Parlement en de Raad wordt verzocht het voorstel inzake de procedureregels van de AVG snel goed te keuren.

Het Comité en de gegevensbeschermingsautoriteiten wordt verzocht om:

-regelmatige samenwerking tot stand te brengen met andere sectorale regelgevende instanties wat betreft kwesties die gevolgen hebben voor de gegevensbescherming, met name in het kader van de nieuwe digitale wetgeving van de EU, en actief deel te nemen aan structuren op EU-niveau die bedoeld zijn om de samenwerking tussen regelgevende instanties te vergemakkelijken;

-meer gebruik te maken van de samenwerkingsinstrumenten waarin de AVG voorziet, zodat geschillenbeslechting alleen als laatste redmiddel wordt gebruikt;

-efficiëntere en gerichtere werkregelingen voor richtsnoeren, adviezen en besluiten in te voeren en prioriteit te verlenen aan belangrijke kwesties om de lasten voor de gegevensbeschermingsautoriteiten te verminderen en sneller in te spelen op marktontwikkelingen.

De lidstaten moeten:

-instaan voor de daadwerkelijke en volledige onafhankelijkheid van de nationale gegevensbeschermingsautoriteiten;

-de gegevensbeschermingsautoriteiten voldoende middelen toewijzen zodat zij hun taken kunnen vervullen, met name door hun de technische middelen en deskundigheid te bieden die nodig zijn om in te spelen op opkomende technologieën en nieuwe taken uit hoofde van de digitale wetgeving te vervullen;

-gegevensbeschermingsautoriteiten uitrusten met de onderzoeksinstrumenten die zij nodig hebben om de handhavingsbevoegdheden uit hoofde van de AVG doeltreffend te benutten;

-de dialoog tussen gegevensbeschermingsautoriteiten en andere nationale regelgevende instanties ondersteunen, met name de instanties die zijn ingesteld in het kader van de nieuwe digitale wetgeving.

De Commissie zal:

-de snelle goedkeuring van het voorstel inzake de procedureregels van de AVG door de medewetgevers actief ondersteunen;

-de daadwerkelijke en volledige onafhankelijkheid van nationale gegevensbeschermingsautoriteiten nauwlettend blijven monitoren;

-zorgen voor synergieën en samenhang tussen de AVG en alle wetgeving die betrekking heeft op de verwerking van persoonsgegevens op basis van de ervaringen, en zo nodig passende maatregelen nemen om rechtszekerheid te bieden;

-nadenken over een betere aanpak van de behoefte aan een gestructureerde en efficiënte samenwerking tussen de regelgevende instanties om de effectieve, consistente en coherente toepassing van de digitale regels van de EU te waarborgen, met inachtneming van de bevoegdheid van de gegevensbeschermingsautoriteiten voor alle kwesties met betrekking tot de verwerking van persoonsgegevens.

Uitvoering en aanvulling van het rechtskader

De lidstaten moeten:

-ervoor zorgen dat de gegevensbeschermingsautoriteiten tijdig worden geraadpleegd voordat wetgeving inzake de verwerking van persoonsgegevens wordt aangenomen.

De Commissie zal:

-gebruikmaken van alle instrumenten die tot haar beschikking staan, met inbegrip van inbreukprocedures, om ervoor te zorgen dat de lidstaten de AVG naleven;

-de uitwisseling van standpunten en nationale praktijken tussen de lidstaten blijven ondersteunen, onder meer via de AVG-deskundigengroep van de lidstaten;

-maatregelen nemen om ervoor te zorgen dat kinderen online worden beschermd, weerbaar worden gemaakt en met respect worden behandeld;

-nadenken over de mogelijke vervolgstappen met betrekking tot het voorstel voor een verordening inzake e-privacy, met inbegrip van het verband met de AVG.

Belanghebbenden ondersteunen

Het Comité en de gegevensbeschermingsautoriteiten wordt verzocht om:

-een constructieve dialoog met verwerkingsverantwoordelijken en verwerkers aan te gaan over de naleving van de AVG;

-de inspanningen ter ondersteuning van de naleving door kmo’s verder op te voeren door op maat gesneden richtsnoeren en instrumenten te verstrekken, ongegronde zorgen over de naleving weg te nemen die leven bij kmo’s waarvoor de verwerking van persoonsgegevens geen kernactiviteit is, en hen te begeleiden bij de naleving;

-de uitvoering van doeltreffende nalevingsmaatregelen door bedrijven te ondersteunen, zoals certificering en gedragscodes (ook als doorgifte-instrumenten), door belanghebbenden te betrekken bij de goedkeuringsprocedure, duidelijke tijdschema’s voor goedkeuring vast te stellen en, zoals toegezegd in de strategie 2024-2027 van het Comité, door aan belangrijke groepen belanghebbenden uit te leggen hoe deze instrumenten kunnen worden gebruikt;

-ervoor te zorgen dat de nationale richtsnoeren en de toepassing van de AVG op nationaal niveau in overeenstemming zijn met de richtsnoeren van het Comité en de rechtspraak van het Hof van Justitie;

-een oplossing te vinden voor de uiteenlopende interpretaties van de AVG tussen gegevensbeschermingsautoriteiten, ook tussen autoriteiten binnen dezelfde lidstaat;

-richtsnoeren te verstrekken die beknopt, praktisch en toegankelijk zijn voor de doelgroep, zoals toegezegd in de strategie 2024-2027 van het Comité;

-te zorgen voor een eerdere en meer zinvolle raadpleging over richtsnoeren en adviezen om een beter inzicht te krijgen in de marktdynamiek en bedrijfspraktijken, de ontvangen feedback terdege in overweging te nemen, en rekening te houden met de concrete toepassing van de gehanteerde interpretaties;

-de lopende werkzaamheden met betrekking tot richtsnoeren inzake gegevens van kinderen, wetenschappelijk onderzoek, anonimisering, pseudonimisering en legitieme belangen bij wijze van prioriteit te voltooien;

-de bewustmakingsactiviteiten en de informatie- en handhavingsacties op te voeren om ervoor te zorgen dat functionarissen voor gegevensbescherming hun taken uit hoofde van de AVG kunnen vervullen.

De Commissie zal:

-financiële steun blijven verlenen voor activiteiten van gegevensbeschermingsautoriteiten die de naleving van de AVG-voorschriften door kmo’s vergemakkelijken;

-alle beschikbare middelen benutten om passende verduidelijking te verschaffen over kwesties die van belang zijn voor belanghebbenden, met inbegrip van kmo’s, met name door het Comité om advies te vragen.

Het instrumentarium voor gegevensdoorgifte en de internationale samenwerking verder ontwikkelen

Het Comité en de gegevensbeschermingsautoriteiten wordt verzocht om:

-de werkzaamheden voor het stroomlijnen en verkorten van de goedkeuringsprocedure voor bindende bedrijfsvoorschriften af te ronden en de richtsnoeren inzake elementen in bindende bedrijfsvoorschriften voor verwerkers te actualiseren;

-manieren/instrumenten te onderzoeken om gegevensexporteurs verder bij te staan bij de naleving van de Schrems II-vereisten;

-verdere manieren te onderzoeken om te zorgen voor doeltreffende handhaving ten aanzien van in derde landen gevestigde marktdeelnemers die binnen het territoriale toepassingsgebied van de AVG vallen.

De lidstaten moeten:

-het gemoderniseerde Verdrag nr. 108+ van de Raad van Europa zo spoedig mogelijk ondertekenen en ratificeren voor zover dat nog niet is gebeurd, zodat het in werking kan treden.

De Commissie zal:

-verdere vooruitgang boeken in de lopende besprekingen over adequaatheid, de verdere ontwikkeling van bestaande bevindingen inzake adequaatheid onderzoeken en nieuwe dialogen over adequaatheid voeren met belanghebbende partners;

-nauwere samenwerking ondersteunen tussen het netwerk van landen die begunstigden zijn van adequaatheidsbesluiten;

-de werkzaamheden afronden met betrekking tot aanvullende standaardcontractbepalingen, met name voor gegevensdoorgiften aan gegevensimporteurs wier verwerking rechtstreeks onder de AVG valt, en doorgiften uit hoofde van Verordening (EU) 2018/1725 voor gegevensdoorgiften door EU-instellingen en -organen;

-samenwerken met internationale partners om gegevensstromen op basis van modelcontractbepalingen te vergemakkelijken;

-lopende hervormingsprocessen in verband met nieuwe of gemoderniseerde regels inzake gegevensbescherming in derde landen ondersteunen door de uitwisseling van ervaringen en beste praktijken;

-samenwerken met internationale en regionale organisaties als de OESO en de G7 om betrouwbare gegevensstromen te bevorderen op basis van hoge standaarden voor gegevensbescherming, onder meer in het kader van het “Data Free Flow with Trust”-initiatief;

-uitwisselingen tussen Europese en internationale regelgevende instanties vergemakkelijken en ondersteunen, onder meer via haar Data Protection Academy;

-internationale samenwerking inzake rechtshandhaving tussen toezichthoudende autoriteiten bevorderen, onder meer door onderhandelingen over overeenkomsten voor samenwerking en wederzijdse bijstand.

(1) ()    Gegevensbescherming als pijler van zeggenschap van de burger en de EU-aanpak van de digitale transformatie — twee jaar toepassing van de algemene verordening gegevensbescherming (COM(2020) 264 final van 24.6.2020).
(2) ()     https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/nl/pdf .
(3) ()    Een samenvatting van de input van de AVG-deskundigengroep met meerdere belanghebbenden is hier beschikbaar: Verslag van de deskundigengroep met meerdere belanghebbenden over de toepassing van de AVG — juni 2024.pdf . De reacties op het openbare verzoek om input en in de bilaterale vergaderingen met belanghebbenden komen grotendeels overeen met de standpunten van de leden van de AVG-deskundigengroep met meerdere belanghebbenden.
(4) ()     https://ec.europa.eu/info/law/better-regulation/ .
(5) ()     Bijdrage van de EDPB aan de evaluatie van de AVG in het kader van artikel 97 | Europees Comité voor gegevensbescherming (europa.eu) .
(6) ()     AVG in de praktijk — Ervaringen van gegevensbeschermingsautoriteiten | Bureau van de Europese Unie voor de grondrechten (europa.eu) .
(7) ()    Voorstel voor een verordening van het Europees Parlement en de Raad tot vastlegging van aanvullende procedureregels met betrekking tot de handhaving van Verordening (EU) 2016/679 (COM(2023) 348 final).
(8) ()     https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_en .
(9) ()    Via de AVG-deskundigengroep met meerdere belanghebbenden en een verzoek om input uit februari 2023.
(10) ()    Met name via de AVG-deskundigengroep van de lidstaten: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=nl&do=groupDetail.groupDetail&groupID=3461 .
(11) ()    Artikel 61 AVG.
(12) ()     Internal_edpb_document_1_2021_on_art_62_joint_operations_en.pdf (europa.eu) .
(13) ()    Artikel 62 AVG.
(14) ()    Artikel 65 AVG.
(15) ()    Per 3 november 2023 (bijdrage van het Comité).
(16) ()    Krachtens artikel 60, lid 3, AVG.
(17) ()    Per 3 november 2023.
(18) ()    De Ierse autoriteit heeft de meeste formele verzoeken ingediend (246), terwijl de Duitse de meeste verzoeken heeft ontvangen (516).
(19) ()    De Ierse autoriteit heeft de meeste informele verzoeken ingediend (4 245), gevolgd door de Duitse autoriteiten (2 036).
(20) ()    Van de 289 relevante en gemotiveerde bezwaren die door autoriteiten zijn gemeld, waren er 101 (35 %) afkomstig van de Duitse autoriteiten. De kans op het bereiken van consensus over relevante en gemotiveerde bezwaren varieerde van 15 % (van de bezwaren van de Duitse autoriteiten) tot 100 % (van de bezwaren van de Poolse autoriteit).
(21)

()    Respectievelijk de artikelen 64, 65 en 66 AVG.

(22) ()    Adviezen krachtens artikel 64, lid 2, AVG.
(23)

()    Krachtens artikel 65, lid 1, punt a), AVG.

(24) ()    Overeenkomstig artikel 66, lid 2, AVG.
(25) ()    Zie bijdrage van het Comité, punt 5.3.4.
(26) ()    FRA-verslag, blz. 36.
(27) ()    Voorstel betreffende procedureregels, artikel 5.
(28) ()    In Roemenië zijn alle 26 besluiten waarbij een inbreuk werd vastgesteld, aangevochten voor de rechtbank, terwijl in Nederland het percentage aangevochten besluiten 23 % bedroeg. Het slaagpercentage bij het aanvechten van een besluit was het hoogst in België (39 %).
(29) ()    De gegevensbeschermingsautoriteiten in Duitsland hebben het grootste aantal onderzoeken op eigen initiatief ingesteld (7 647), gevolgd door Hongarije (3 332), Oostenrijk (1 681) en Frankrijk (1 571).
(30) ()    In 2022 waren er negen gegevensbeschermingsautoriteiten die meer dan 2 000 klachten ontvingen. Het hoogste aantal klachten werd geregistreerd in Duitsland (32 300), Italië (30 880), Spanje (15 128), Nederland (13 133) en Frankrijk (12 193), terwijl het laagste aantal werd geregistreerd door Liechtenstein (40), IJsland (140) en Kroatië (271).
(31) ()    Alle autoriteiten hebben administratieve geldboeten opgelegd, behalve Denemarken, dat geen administratieve geldboeten kent. Het hoogste aantal geldboeten werd opgelegd in Duitsland (2 106) en Spanje (1 596). Het laagste aantal werd opgelegd in Liechtenstein (3), gevolgd door IJsland (15) en Finland (20).
(32) ()    FRA-verslag, blz. 38.
(33) ()    FRA-verslag, blz. 20 en 23. Zie ook standpunt en bevindingen van de Raad, punt 17.
(34) ()    Artikel 70, lid 1, AVG.
(35) ()    FRA-verslag, blz. 64.
(36) ()    FRA-verslag, blz. 67. In 2023 ontving het Comité de meeste middelen van de Duitse gegevensbeschermingsautoriteiten (26 fulltime-equivalenten (fte’s)), gevolgd door Ierland (16) en Frankrijk (12) (bijdrage van het Comité).
(37) ()    FRA-verslag, blz. 67.
(38) ()    FRA-verslag, blz. 67; samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(39) ()    Samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(40) ()    Zie ook standpunt en bevindingen van de Raad, punt 45.
(41) ()    Zie ook standpunt en bevindingen van de Raad, punt 34.
(42) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .
(43) ()    Zie ook standpunt en bevindingen van de Raad, punt 31, d).
(44) ()    Zij vragen met name duidelijkheid over de betekenis van de term “wetenschappelijk onderzoek”, de rol van toestemming in het kader van de verwerking van persoonsgegevens voor onderzoek, de relevante rechtsgrondslag en de taken en verantwoordelijkheden van de betrokken actoren.
(45) ()    Zie ook standpunt en bevindingen van de Raad, punt 31, b).
(46) ()    Standpunt en bevindingen van de Raad, punten 27-28.
(47) ()    Artikel 52 AVG.
(48) ()    FRA-verslag, blz. 31.
(49) ()    Zie punt 4.4.1 van de bijdrage van het Comité, ook voor de absolute cijfers.
(50) ()    Slechts vijf gegevensbeschermingsautoriteiten zijn van mening dat zij over toereikende personele middelen beschikken (bijdrage van het Comité, blz. 33).
(51) ()    FRA-verslag, blz. 20. Enkele gegevensbeschermingsautoriteiten besteden bepaalde taken aan externe contractanten uit, waaronder de afhandeling van klachten, juridische analyses en forensische analyses.
(52) ()    FRA-verslag, blz. 24.
(53) ()    FRA-verslag, blz. 22.
(54) ()    Zie bijdrage van het Comité, punt 4.4.5.
(55) ()    Bijdrage van het Comité, blz. 32.
(56) ()    FRA-verslag, blz. 48.
(57) ()    FRA-verslag, blz. 45. Gegevensbeschermingsautoriteiten vinden ambtshalve onderzoeken van groot belang omdat klagers wellicht niet op de hoogte zijn van veel overtredingen van de AVG.
(58) ()    FRA-verslag, blz. 8.
(59) ()    FRA-verslag, blz. 39.
(60) ()    FRA-verslag, blz. 41.
(61) ()    Overweging 9 AVG.
(62) ()    Samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(63) ()    Samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(64) ()    Samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(65) ()    Respectievelijk artikel 6, lid 1, punt f), AVG en artikel 6, lid 1, punt a), AVG.
(66) ()    Artikel 22, lid 2, AVG.
(67) ()    Overweging 4.
(68) ()    Samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(69) ()    Bv. de minimumleeftijd voor toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij (artikel 8, lid 1, AVG).
(70) ()    Artikel 8, lid 1, AVG.
(71) ()    In deze mogelijkheid wordt voorzien door artikel 9, lid 4, AVG.
(72) ()    Artikel 10 AVG.
(73) ()    Standpunt en bevindingen van de Raad, punt 30.
(74) ()    Artikel 36 AVG.
(75) ()    FRA-verslag, blz. 11.
(76) ()    België (2021/4045) en België (2022/2160).
(77) ()    Finland (2022/4010) en Zweden (2022/2022).
(78) ()    Met informatie over het zaaknummer, het soort onderzoek (eigen initiatief of naar aanleiding van een klacht), een omschrijving van de reikwijdte van het onderzoek, de betrokken gegevensbeschermingsautoriteiten, de belangrijkste stappen en datums in de procedure tot dusver, de genomen onderzoeksmaatregelen en andere maatregelen en datums.
(79) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&do=groupDetail.groupDetail&groupID=3461 .
(80) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=en&meetingId=31754&fromExpertGroups=3461 .
(81) ()    Zaak C-319/22, ECLI:EU:C:2023:837.
(82) ()    Zaken C-184/20, ECLI:EU:C:2022:601 en C-252/21, ECLI:EU:C:2023:537.
(83) ()    Zaken C-683/21, ECLI:EU:C:2023:949, C-604/22, ECLI:EU:C:2024:214 en C-231/22, ECLI:EU:C:2024:7.
(84) ()    Zaak C-61/19, ECLI:EU:C:2020:901.
(85) ()    Zaken C-597/19, ECLI:EU:C:2021:492 en C-252/21, ECLI:EU:C:2023:537.
(86) ()    Zaken C-307/22, ECLI:EU:C:2023:811 en C-154/21, ECLI:EU:C:2023:3.
(87) ()    Zaak C-460/20, ECLI:EU:C:2022:962.
(88) ()    Zaak C-300/21, ECLI:EU:C:2023:370, zaak C-687/21, ECLI:EU:C:2024:72 en zaak C-667/21, ECLI:EU:C:2023:1022.
(89) ()    Gevoegde zaken C‑26/22 en C‑64/22, ECLI:EU:C:2023:958.
(90) ()    Zaak C-807/21, ECLI:EU:C:2023:950 en zaak C-683/21, ECLI:EU:C:2023:949.
(91) ()    Zaak C-453/21, ECLI:EU:C:2023:79.
(92) ()    Zaken C-439/19, ECLI:EU:C:2021:504 en C-184/20, ECLI:EU:C:2022:601.
(93) ()    Zaken C-33/22, ECLI:EU:C:2024:46 en C‑272/19, ECLI:EU:C:2020:535.
(94) ()    Standpunt en bevindingen van de Raad, punt 13.
(95) ()    Bijdrage van het Comité, punt 6.
(96) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .
(97) ()    FRA-verslag, blz. 9 en 48.
(98) ()    Samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(99) ()    Artikel 10, Verordening (EU) 2022/868 (datagovernanceverordening), PB L 152 van 3.6.2022, blz. 1.
(100) ()    Artikel 12, lid 5, AVG.
(101) ()    Volgens het Hof van Justitie hoeft een betrokkene echter geen redenen op te geven voor een verzoek om inzage in persoonsgegevens: zie zaak C-307/22, ECLI:EU:C:2023:811, punt 38.
(102) ()    Samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(103) ()    Standpunt en bevindingen van de Raad, punten 27-28.
(104) ()     https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_en .
(105) ()     Platformwerkers: Raad bevestigt akkoord over nieuwe regels voor betere arbeidsvoorwaarden — Consilium (europa.eu) .
(106) ()    Voorstel voor een verordening betreffende de Europese ruimte voor gezondheidsgegevens (COM(2022) 197 final).
(107) ()    Voorstel voor een verordening betreffende een kader voor toegang tot financiële gegevens en tot wijziging van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010, (EU) nr. 1095/2010 en (EU) 2022/2554 (COM(2023) 360 final).
(108) ()    Richtlijn (EU) 2020/1828 van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG (PB L 409 van 4.12.2020, blz. 1).
(109) ()    Overweging 38 AVG.
(110) ()    Aanbeveling over de ontwikkeling en versterking van geïntegreerde systemen voor kinderbescherming in het belang van het kind: https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_nl .
(111) ()    Zie ook het standpunt en de bevindingen van de Raad, punt 31, a).
(112) ()    Samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(113) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .
(114) ()     https://digital-strategy.ec.europa.eu/en/policies/strategy-better-internet-kids .
(115) ()    Verordening (EU) 2024/1183 tot wijziging van Verordening (EU) nr. 910/2014, wat betreft de vaststelling van het Europees kader voor digitale identiteit (PB L, 2024/1183, 30.4.2024).
(116) ()    Zoals werd erkend in het verslag van het “Fit for Future”-platform, een deskundigengroep op hoog niveau die de Commissie helpt om de EU-wetgeving eenvoudiger te maken en kosten te besparen: https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_nl . Zie ook de samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden en punt 12 van het standpunt en de bevindingen van de Raad.
(117) ()    Samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(118) ()    Uitvoeringsbesluit (EU) 2021/915 van de Commissie van 4 juni 2021 betreffende standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers uit hoofde van artikel 28, lid 7, AVG en artikel 29, lid 7, AVG (C/2021/3701) (PB L 199 van 7.6.2021, blz. 18).
(119) ()    Samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(120) ()    Standpunt en bevindingen van de Raad, punt 25.
(121) ()     https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_en?f%5B0%5D=coc_scope%3Anational .
(122) ()    Samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(123) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .
(124) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .
(125) ()     https://edpb.europa.eu/sme-data-protection-guide/home_en .
(126) ()    Samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(127) ()    Zie het standpunt en de bevindingen van de Raad, punt 24 en samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(128) ()    Artikel 30, lid 5, AVG.
(129) ()    Als bij de organisatie minder dan 250 personen in dienst zijn, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is of de verwerking bijzondere categorieën van gegevens, als bedoeld in artikel 9, lid 1, AVG, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 AVG betreft.
(130) ()    Standpunt en bevindingen van de Raad, punt 26 en EDPB 2023 Coordinated Enforcement Action Designation and Position of Data Protection Officers (EDPB, Gecoördineerde handhaving 2023, Aanwijzing en positie van functionarissen voor gegevensbescherming): https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf .
(131) ()    Samenvatting van de AVG-deskundigengroep met meerdere belanghebbenden.
(132) ()    Zie de aanbevelingen in EDPB, Coordinated Enforcement Action.
(133) ()    Verordening (EU) 2022/2065 van het Europees Parlement en de Raad van 19 oktober 2022 betreffende een eengemaakte markt voor digitale diensten en tot wijziging van Richtlijn 2000/31/EG (digitaledienstenverordening) (PB L 277 van 27.10.2022, blz. 1).
(134) ()    Verordening (EU) 2022/1925 (digitalemarktenverordening) (PB L 265 van 12.10.2022, blz. 1).
(135) ()    Verordening (EU) 2024/1689 (verordening artificiële intelligentie) (PB L, 2024/1689, 12.7.2024).
(136) ()     Platformwerkers: Raad bevestigt akkoord over nieuwe regels voor betere arbeidsvoorwaarden — Consilium (europa.eu) .
(137) ()    Verordening (EU) 2024/900 betreffende transparantie en gerichte politieke reclame (PB L, 2024/900, 20.3.2024).
(138) ()    Voorstel voor een verordening met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie (COM(2017) 10 final).
(139) ()    Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).
(140)

()    Verordening (EU) 2024/903 (verordening Interoperabel Europa) (PB L, 2024/903, 22.3.2024).

(141) ()    Zie het standpunt en de bevindingen van de Raad, punt 31, f).
(142) ()     https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_en .
(143) ()    Verordening (EU) 2022/868 (datagovernanceverordening) (PB L 152 van 3.6.2022, blz. 1).
(144) ()    Verordening (EU) 2023/2854 (dataverordening) (PB L, 2023/2854, 22.12.2023).
(145) ()     https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_NL.html .
(146) ()    Zie het standpunt en de bevindingen van de Raad, punten 40 en 41, en de samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(147) ()    Zie bijvoorbeeld artikel 37, lid 3, van de dataverordening.
(148) ()    Richtlijn (EU) 2022/2555 (NIS 2‑richtlijn) (PB L 333 van 27.12.2022, blz. 80).
(149) ()    Zie het standpunt en de bevindingen van de Raad, punten 18, 40 en 41, en de samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(150) ()     Duitsland heeft voor toezichthouders op diverse gebieden een “digitale cluster” ingesteld om beter samen te werken aan alle aspecten van digitalisering en om kennis en goede praktijken uit te wisselen: https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn .
(151) ()     EDPB, Richtsnoeren 05/2021.
(152) ()     EDPB, Richtsnoeren 05/2021, deel 2.
(153) ()     Zaak C-311/18, ECLI:EU:C:2020:559 (Schrems II).
(154) ()     Schrems II, punt 93.
(155) ()     Schrems II, punten 96 en 105.
(156) ()     Schrems II, punt 131.
(157) ()     Schrems II, punt 105.
(158) ()     EDPB, Aanbevelingen 02/2020 en Adequaatheidsreferentie WP 254 rev. 01.
(159) ()     EDPB, Aanbevelingen 01/2020, aangevuld met Aanbevelingen 02/2020.
(160) ()     Zie bv. EDPB, Aanbevelingen 01/2020, punten 8-13, 32 en 33.
(161) ()     Zie bv. de bijdrage van het Comité, blz. 7 en 8, het standpunt en de bevindingen van de Raad, punt 36, en de samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(162) ()    Tot uitvoering van de mededeling van de Commissie “Uitwisseling en bescherming van persoonsgegevens in een geglobaliseerde wereld” van 10.1.2017 (COM(2017) 7 final).
(163) ()     Uitvoeringsbesluit (EU) 2021/1772 van de Commissie (PB L 360 van 11.10.2021, blz. 1).
(164) ()    Uitvoeringsbesluit (EU) 2022/254 van de Commissie (PB L 44 van 24.2.2022, blz. 1).
(165) ()     https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_en .
(166) ()    Uitvoeringsbesluit (EU) 2023/1795 van de Commissie (PB L 231 van 20.9.2023, blz. 118).
(167) ()     De Europese Octrooiorganisatie is een intergouvernementele organisatie die is opgericht krachtens het Europees Octrooiverdrag. De belangrijkste taak van deze organisatie is de afgifte van Europese octrooien. In dat verband werkt de organisatie nauw samen met bedrijven en overheidsinstanties in de lidstaten van de EU en met diverse instellingen en organen van de EU.
(168) ()     Bijdrage van het Comité, blz. 7 en 8.
(169) ()    Artikel 45, leden 4 en 5, AVG. Zie ook Schrems I, punt 76.
(170) ()     Uitvoeringsbesluit (EU) 2019/419 van de Commissie (PB L 76 van 19.3.2019, blz. 1). Zie ook https://ec.europa.eu/commission/presscorner/detail/nl/IP_19_421 . Dit besluit was het eerste adequaatheidsbesluit krachtens de AVG en de eerste wederzijdse adequaatheidsregeling.
(171) ()     Verslag van de Commissie over de eerste evaluatie van de werking van het adequaatheidsbesluit voor Japan, 3.4.2023, COM(2023) 275 final (en SWD(2023) 75 final).
(172) ()     Andorra, Argentinië, Canada (voor commerciële exploitanten), de Faeröer, Guernsey, Israël, Jersey, Man, Nieuw-Zeeland, Uruguay en Zwitserland.
(173) ()     Verslag van de Commissie over de eerste evaluatie van de adequaatheidsbesluiten die zijn vastgesteld op grond van artikel 25, lid 6, van Richtlijn 95/46/EG, 15.1.2024, COM(2024) 7 final (en SWD(2024) 3 final).
(174) ()     https://ec.europa.eu/commission/presscorner/detail/en/mex_24_1307#11 .
(175) ()     Waaronder Argentinië, Colombia, Israël, Marokko, Uruguay en Zwitserland.
(176) ()     Uitvoeringsbesluit (EU) 2021/914 van de Commissie (PB L 199 van 7.6.2021, blz. 31).
(177) ()     Die feedback omvatte bijvoorbeeld gezamenlijk advies 2/2021 van EDPB en EDPS in het kader van de goedkeuringsprocedure voor de standaardcontractbepalingen.
(178) ()     Standpunt en bevindingen van de Raad, punt 37, bijdrage van het Comité, blz. 9, samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(179) ()     https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_en .
(180) ()     Zie bv. de samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(181) ()     Overeenkomstig artikel 48, lid 2, punt b), van Verordening (EU) 2018/1725.
(182) ()     Standpunt en bevindingen van de Raad, punt 37, bijdrage van het Comité, blz. 9, samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(183) () EDPB, Richtsnoeren 05/2021, blz. 3.
(184) ()     Zoals ook uiteengezet in EDPB, Richtsnoeren 05/2021, punt 4.
(185) ()     Bijdrage van het Comité, blz. 9, samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(186) ()     Bijvoorbeeld het Verenigd Koninkrijk ( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ) en Zwitserland ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).
(187) ()     Bijvoorbeeld Nieuw-Zeeland ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ ) en Argentinië ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).
(188) ()     Zie https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 , https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf en https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf .
(189) ()     https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_en?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf .
(190) ()     Bijdrage van het Comité, blz. 9.
(191) ()     EDPB, Aanbevelingen 1/2022.
(192) ()     Bijdrage van het Comité, blz. 9.
(193) ()     Samenvatting van de feedback van de AVG-deskundigengroep met meerdere belanghebbenden.
(194) ()    EDPB, Richtsnoeren 07/2022 en 04/2021.
(195) ()     EDPB, Richtsnoeren 2/2020.
(196) ()     Tweede aanvullend protocol bij het Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken, inzake nauwere samenwerking en verstrekking van elektronisch bewijsmateriaal (CETS nr. 224).
(197) ()     https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_en .
(198) ()     Voorstel van de Commissie voor een besluit van de Raad betreffende de ondertekening, namens de Europese Unie, van een overeenkomst tussen Canada en de Europese Unie inzake de doorgifte en verwerking van persoonsgegevens van passagiers (PNR-gegevens) (COM(2024) 94 final).
(199) ()     Dit betrof overleg dat werd georganiseerd door bijvoorbeeld Australië, China, Rwanda, Argentinië, Brazilië, Ethiopië, Indonesië, Peru, Maleisië en Thailand.
(200) ()     Bijvoorbeeld voor de parlementaire organen van Chili, Ecuador en Paraguay.
(201) () Dit omvatte ook de organisatie van seminars en studiebezoeken, bijvoorbeeld met Kenia, Indonesië en Singapore.
(202) ()     Bijdrage van het Comité, blz. 8; standpunt en bevindingen van de Raad, punt 38.
(203) ()     Bijdrage van het Comité, blz. 8.
(204) ()     Standpunt en bevindingen van de Raad, punt 39.
(205) ()     Protocol tot wijziging van het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (CETS nr. 223).
(206) ()    Denemarken.
(207) ()    België, Griekenland, Ierland, Letland, Luxemburg, Nederland, Tsjechië en Zweden.
(208) ()     Zie bijvoorbeeld https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1 .
(209) ()     https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en .