Eén maand Europees Comité: de EDPB

De nieuwe mechanismen voor samenwerking tussen de autoriteiten voor gegevensbescherming in de Unie zijn misschien wel de grootste vernieuwingen die de AVG heeft opgeleverd.

Het Europees Comité voor de gegevensbescherming of EDPB zal een belangrijke rol spelen bij die samenwerking, onder andere door zijn interpretaties van de AVG in richtsnoeren en aanbevelingen, en ook via adviezen en bindende besluiten in het coherentiemechanisme. Het is alleen al daarom van belang voor iedere privacy professional om de activiteiten van de EDPB nauwgezet te volgen.

Eerste documenten op de EDPB website

De website van de EDPB biedt een aantal interessante eerste inzichten. Zo zijn de procedureregels voor de EDPB daar te vinden. Die procedureregels bevestigen bijvoorbeeld de door de EDPB gemaakte keuze voor een part time voorzitter. Deze is en blijft tevens hoofd van een nationale autoriteit. Als de benoemingstermijn van de EDPB voorzitter in de eigen lidstaat eindigt, eindigt tevens het EDPB-voorzitterschap. De AVG verplicht daar niet toe.

Ook geeft de website een overzicht van de reeds beschikbare guidance voor de toepassing van de AVG. De EDPB bekrachtigt een zestiental documenten die al eerder door de toezichthouders waren vastgesteld. Bovendien heeft de EDPB zelf ook al de eerste richtsnoeren opgesteld, over de toepassing van artikel 49 AVG (derogaties voor doorgifte naar derde landen). Een ander set richtsnoeren, over AVG certificering, is in consultatie gegeven aan belanghebbenden. Hoewel niet formeel bindend, zullen deze documenten een belangrijke rol blijven spelen bij de toepassing van de AVG, al is het alleen maar omdat de toezichthouders niet zomaar van de interpretaties in  deze documenten – waar zij zelf aan hebben bijgedragen – kunnen afwijken.

Een document dat mijn aandacht ving bij het schrijven van deze blog is getiteld “State of play – IMI for GDPR purposes”. Op zichzelf is dit een technische mededeling, namelijk dat een bestaand systeem voor informatie-uitwisseling tussen nationale autoriteiten nu ook door de DPAs zal worden gebruikt. Dit is een beveiligd systeem, dat vertrouwelijke uitwisseling moet garanderen.

Echter, het document laat ook zien dat het systeem al daadwerkelijk functioneert en dat al meer dan dertig grensoverschrijdende zaken in onderzoek zijn. Zaken dus waarbij er een leidende autoriteit is en betrokken autoriteiten en waar de handhaving plaatsvindt overeenkomstig het one stop shop mechanisme, met als oogmerk consensus tussen de betrokken DPAs. Deze eerste ervaringen met het systeem kunnen voor de praktijk interessante informatie opleveren over de toepassing van de AVG.

Tot slot

De EDPB bestaat uit de hoofden van de nationale autoriteiten in de EU lidstaten, alsmede de EU toezichthouder. Binnenkort reeds zullen ook de autoriteiten van de drie landen van de Europese Economische Ruimte (Noorwegen, IJsland en Liechtenstein) volledig lid worden van de EDPB, naar verluidt echter zonder stemrecht. Deze autoriteiten zullen, zo begreep ik, wel kunnen optreden als leidende autoriteit in grensoverschrijdende zaken. De eerstvolgende vergadering van de plenaire EDPB staat gepland voor 4 en 5 juli.