De Algemene Verordening Gegevensbescherming en de artikel 29 werkgroep

Langzaam, doch gestaag schrijdt de tijd voort en komt de datum van 25 mei 2018 dichterbij. Vanaf die datum zullen bedrijven, overheden en toezichthouders de Algemene Verordening Gegevensbescherming toepassen. De lange tekst van de verordening beantwoordt weliswaar veel vragen, maar roept ook weer veel nieuwe vragen op. En dus is er behoefte aan uitleg, die bij voorkeur uniform moet zijn in de EU en gezaghebbend. De artikel 29 werkgroep speelt daarin een belangrijke rol. Considerati bespreekt die rol hier kort. 

Achtergrond

Een tijdige voorbereiding op de AVG is een zorg voor velen. De termijn is kort en er is nog veel onduidelijkheid op allerlei terreinen. Gelukkig lijkt de Nederlandse wetgever hiervan doordrongen en wordt hard gewerkt aan een wet die uitvoering moet geven aan de onderdelen van de verordening die op nationaal niveau nog invulling behoeven. De internetconsultatie over een voorontwerp van wet vond reeds plaats; de Nederlandse regering streeft ernaar voor het eind van 2017 een stabiele tekst in het Staatsblad te publiceren, zo begreep ik uit betrouwbare bron. De parlementaire behandeling zal dus snel moeten gaan. Veel andere lidstaten, waaronder bijvoorbeeld België, zijn nog lang niet zo ver.

Dit laat echter onverlet dat veel van de, soms nieuwe, concepten van de AVG die rechtstreeks toepasselijk zijn in de gehele Unie uitleg behoeven. Een uniforme uitleg op Europees niveau heeft daarbij natuurlijk de voorkeur boven gefragmenteerde nationale opvattingen.

Dit brengt ons bij de artikel 29 werkgroep. Deze werkgroep van toezichthouders heeft reeds begin 2016 een actieplan geformuleerd, waarin prioriteit wordt gegeven aan de nieuwe toezichtstructuur, met een one stop shop en een coherentiemechanisme, alsmede aan de uitleg van verschillende concepten. Drie guidance papers zijn eind 2016 in consultatie gegaan en begin dit jaar heeft de werkgroep de plannen voor 2017 gepubliceerd.

De guidance papers van eind 2016

Deze papers gaan over de rol van de functionaris gegevensbescherming (DPO), de aanwijzing van de leidende toezichthouder voor de one stop shop en het nieuwe recht op overdraagbaarheid van gegevens (“data portability”). Er is nu meer duidelijkheid over welke organisaties verplicht zijn een DPO te benoemen en de werkgroep heeft zich op het standpunt gesteld dat organisaties het initiatief hebben spelen bij de aanwijzing van de leidende autoriteit. Zij kennen de feiten immers het beste en stellen voor welke autoriteit in hun specifieke geval leidend zou moeten zijn, ook in geval van groepen van ondernemingen. De toezichthouders toetsen deze voorstellen.

De paper over data portability leidde tot kritiek. Critici betogen dat de werkgroep de reikwijdte van dit nieuwe recht nogal oprekt en ook wil toepassen op gegevens die niet door de betrokkene zelf zijn verstrekt. Een andere controverse betreft de overdraagbaarheid van personeelsgegevens.

Wat zijn de uitdagingen?

De naderende datum van 25 mei 2018 leidt tot een veelheid aan uitdagingen. Hier volgen er een paar:

  • Hoe te zorgen dat de toezichthouders voldoende worden geëquipeerd en effectief optreden?
  • Hoe faciliteert de toezichthouder (en de nieuwe EDPB) de dialoog met de verantwoordelijken?
  • Hoe zorgen we voor een geharmoniseerde aanpak en kan worden voorkomen dat de regels in de lidstaten (en ook buiten de EU) verschillend worden uitgelegd?
  • Wat zijn de gevolgen van Brexit?
  • Moeten bedrijven al hun contracten aanpassen?

Inhoudelijke uitdagingen zijn er ook, namelijk:

  • Wat is de betekenis van centrale begrippen als risico en hoog risico?
  • Hoe om te gaan met toestemming, datalekken en profilering?
  • Wanneer kan gerechtvaardigd belang de grondslag zijn voor gegevensverwerking?
  • Hoe kan worden voorkomen dat verschillende lidstaten een verschillende leeftijdsgrens hanteren voor toestemming door kinderen en hoe wordt die leeftijdsgrens geverifieerd?

De plannen van de artikel 29 werkgroep voor 2017

Meer in het algemeen dienen interpretaties natuurlijk op tijd te zijn. De werkgroep heeft daartoe een voorlopig actieplan opgesteld voor 2017, waarop een groot aantal van de bovengenoemde thema’s figureert en ook bijvoorbeeld transparantie en de overdracht van gegevens naar derde landen. De werkgroep organiseert een consultatie op 5 en 6 april om de prioriteiten te testen. Deze consultatie – met de hippe titel FabLab – lijkt van het grootste belang voor alle betrokkenen, maar is helaas slechts beperkt toegankelijk. Eenieder die een actieve rol wil spelen zou daar eigenlijk bij moeten kunnen zijn.

Wilt u meer weten over de veranderingen die de Algemene Verordening Gegevensbescherming met zich mee zullen brengen en de uitleg van essentiële concepten? Neem dan contact met ons op.