AVG in de praktijk : huidige balans en toekomstperspectief

De Europese Commissie heeft haar tweede verslag over de toepassing van de algemene verordening gegevensbescherming (AVG) gepubliceerd, vastgesteld overeenkomstig artikel 97 AVG.

Het eerste verslag werd aangenomen op 24 juni 2020.

Krachtens artikel 97 van de AVG moet de Commissie vanaf mei 2020 het Europees Parlement en de Raad om de vier jaar een verslag over de evaluatie en de toetsing van de AVG voorleggen. De AVG vereist tevens dat de Commissie bij deze evaluatie en toetsing de standpunten en bevindingen van het Europees Parlement, van de Raad, en van andere relevante instanties en bronnen in aanmerking neemt.

Om de effectieve toepassing van de AVG te ondersteunen en bij te dragen aan nieuwe inzichten op het gebied van gegevensbescherming, zijn verschillende acties die in dit verslag worden genoemd noodzakelijk.

De Commissie zal de uitvoering hiervan ondersteunen en monitoren, ook met het oog op het volgende verslag in 2028.

Zie in bijlage om het volledig verslag te kunnen consulteren

Conclusie

Omdat ze alle aspecten van de AVG behandelen, een duidelijk overzicht geven van de huidige situatie en veel aanbevelingen bevatten voor toekomstige ontwikkelingen en dus wat er van alle betrokkenen bij deze kwestie kan worden verwacht - het volgende rapport is gepland voor 2028 - leek het ons gepast om u de conclusies in hun geheel mee te delen. Het gaat er in dit geval om de dubbele doelstelling van de AVG volledig te bereiken, namelijk het waarborgen van een solide bescherming voor natuurlijke personen en tegelijkertijd het garanderen van het vrije verkeer van persoonsgegevens binnen de EU en veilige gegevensstromen buiten de EU.

"Mensen hebben in de zes jaar sinds de AVG van toepassing werd meer zeggenschap gekregen nu zij daadwerkelijke controle hebben over hun gegevens.

De AVG heeft ook bijgedragen tot het creëren van een gelijk speelveld voor bedrijven en is een steunpilaar geweest voor een breed scala aan initiatieven die de digitale transitie in de EU aanjagen.

Er is echter verdere actie nodig om de tweeledige doelstelling van de AVG - een sterke bescherming van personen met inachtneming van het vrije verkeer van persoonsgegevens binnen de EU en veilige gegevensstromen buiten de EU volledig te verwezenlijken:

• een robuuste handhaving van de AVG, te beginnen met de snelle goedkeuring van het voorstel van de Commissie inzake procedureregels om snelle rechtsmiddelen en rechtszekerheid te bieden in zaken die personen in de hele EU treffen;

• proactieve steun van gegevensbeschermingsautoriteiten aan belanghebbenden, met name kmo’s en kleine marktdeelnemers, bij de naleving;

• een consistente interpretatie en toepassing van de AVG in de hele EU;

• doeltreffende samenwerking tussen regelgevende instanties op zowel nationaal als EU niveau om te zorgen voor een consistente en coherente toepassing van het groeiende corpus van Europese digitale regels;

• verdere vooruitgang boeken met de internationale gegevensbeschermingsstrategie van de Commissie.

Ontwikkeling van doeltreffende samenwerkingsstructuren

Het Europees Parlement en de Raad wordt verzocht het voorstel inzake de procedureregels van de AVG snel goed te keuren.

Het Comité en de gegevensbeschermingsautoriteiten wordt verzocht om:

> regelmatige samenwerking tot stand te brengen met andere sectorale regelgevende instanties wat betreft kwesties die gevolgen hebben voor de gegevensbescherming, met name in het kader van de nieuwe digitale wetgeving van de EU, en actief deel te nemen aan structuren op EU-niveau die bedoeld zijn om de samenwerking tussen regelgevende instanties te vergemakkelijken;

> meer gebruik te maken van de samenwerkingsinstrumenten waarin de AVG voorziet, zodat geschillenbeslechting alleen als laatste redmiddel wordt gebruikt;

> efficiëntere en gerichtere werkregelingen voor richtsnoeren, adviezen en besluiten in te voeren en prioriteit te verlenen aan belangrijke kwesties om de lasten voor de gegevensbeschermingsautoriteiten te verminderen en sneller in te spelen op marktontwikkelingen.

De lidstaten moeten:

> instaan voor de daadwerkelijke en volledige onafhankelijkheid van de nationale gegevensbeschermingsautoriteiten;

> de gegevensbeschermingsautoriteiten voldoende middelen toewijzen zodat zij hun taken kunnen vervullen, met name door hun de technische middelen en deskundigheid te bieden die nodig zijn om in te spelen op opkomende technologieën en nieuwe taken uit hoofde van de digitale wetgeving te vervullen;

> gegevensbeschermingsautoriteiten uitrusten met de onderzoeksinstrumenten die zij nodig hebben om de handhavingsbevoegdheden uit hoofde van de AVG doeltreffend te benutten;

> de dialoog tussen gegevensbeschermingsautoriteiten en andere nationale regelgevende instanties ondersteunen, met name de instanties die zijn ingesteld in het kader van de nieuwe digitale wetgeving.

De Commissie zal:

> de snelle goedkeuring van het voorstel inzake de procedureregels van de AVG door de medewetgevers actief ondersteunen;

> de daadwerkelijke en volledige onafhankelijkheid van nationale gegevensbeschermingsautoriteiten nauwlettend blijven monitoren;

> zorgen voor synergieën en samenhang tussen de AVG en alle wetgeving die betrekking heeft op de verwerking van persoonsgegevens op basis van de ervaringen, en zo nodig passende maatregelen nemen om rechtszekerheid te bieden;

> nadenken over een betere aanpak van de behoefte aan een gestructureerde en efficiënte samenwerking tussen de regelgevende instanties om de effectieve, consistente en coherente toepassing van de digitale regels van de EU te waarborgen, met inachtneming van de bevoegdheid van de gegevensbeschermingsautoriteiten voor alle kwesties met betrekking tot de verwerking van persoonsgegevens.

Uitvoering en aanvulling van het rechtskader

De lidstaten moeten:

>ervoor zorgen dat de gegevensbeschermingsautoriteiten tijdig worden geraadpleegd voordat wetgeving inzake de verwerking van persoonsgegevens wordt aangenomen.

De Commissie zal:

> gebruikmaken van alle instrumenten die tot haar beschikking staan, met inbegrip van inbreukprocedures, om ervoor te zorgen dat de lidstaten de AVG naleven;

> de uitwisseling van standpunten en nationale praktijken tussen de lidstaten blijven ondersteunen, onder meer via de AVG-deskundigengroep van de lidstaten; - maatregelen nemen om ervoor te zorgen dat kinderen online worden beschermd, weerbaar worden gemaakt en met respect worden behandeld;

> nadenken over de mogelijke vervolgstappen met betrekking tot het voorstel voor een verordening inzake e-privacy, met inbegrip van het verband met de AVG.

Belanghebbenden ondersteunen

Het Comité en de gegevensbeschermingsautoriteiten wordt verzocht om:

> een constructieve dialoog met verwerkingsverantwoordelijken en verwerkers aan te gaan over de naleving van de AVG;

> de inspanningen ter ondersteuning van de naleving door kmo’s verder op te voeren door op maat gesneden richtsnoeren en instrumenten te verstrekken, ongegronde zorgen over de naleving weg te nemen die leven bij kmo’s waarvoor de verwerking van persoonsgegevens geen kernactiviteit is, en hen te begeleiden bij de naleving;

> de uitvoering van doeltreffende nalevingsmaatregelen door bedrijven te ondersteunen, zoals certificering en gedragscodes (ook als doorgifte-instrumenten), door belanghebbenden te betrekken bij de goedkeuringsprocedure, duidelijke tijdschema’s voor goedkeuring vast te stellen en, zoals toegezegd in de strategie 2024- 2027 van het Comité, door aan belangrijke groepen belanghebbenden uit te leggen hoe deze instrumenten kunnen worden gebruikt;

> ervoor te zorgen dat de nationale richtsnoeren en de toepassing van de AVG op nationaal niveau in overeenstemming zijn met de richtsnoeren van het Comité en de rechtspraak van het Hof van Justitie;

> een oplossing te vinden voor de uiteenlopende interpretaties van de AVG tussen gegevensbeschermingsautoriteiten, ook tussen autoriteiten binnen dezelfde lidstaat;

> richtsnoeren te verstrekken die beknopt, praktisch en toegankelijk zijn voor de doelgroep, zoals toegezegd in de strategie 2024-2027 van het Comité;

> te zorgen voor een eerdere en meer zinvolle raadpleging over richtsnoeren en adviezen om een beter inzicht te krijgen in de marktdynamiek en bedrijfspraktijken, de ontvangen feedback terdege in overweging te nemen, en rekening te houden met de concrete toepassing van de gehanteerde interpretaties;

> de lopende werkzaamheden met betrekking tot richtsnoeren inzake gegevens van kinderen, wetenschappelijk onderzoek, anonimisering, pseudonimisering en legitieme belangen bij wijze van prioriteit te voltooien;

> de bewustmakingsactiviteiten en de informatie- en handhavingsacties op te voeren om ervoor te zorgen dat functionarissen voor gegevensbescherming hun taken uit hoofde van de AVG kunnen vervullen.

De Commissie zal:

> financiële steun blijven verlenen voor activiteiten van gegevensbeschermingsautoriteiten die de naleving van de AVG-voorschriften door kmo’s vergemakkelijken;

> alle beschikbare middelen benutten om passende verduidelijking te verschaffen over kwesties die van belang zijn voor belanghebbenden, met inbegrip van kmo’s, met name door het Comité om advies te vragen.

Het instrumentarium voor gegevensdoorgifte en de internationale samenwerking verder ontwikkelen

Het Comité en de gegevensbeschermingsautoriteiten wordt verzocht om:

> de werkzaamheden voor het stroomlijnen en verkorten van de goedkeuringsprocedure voor bindende bedrijfsvoorschriften af te ronden en de richtsnoeren inzake elementen in bindende bedrijfsvoorschriften voor verwerkers te actualiseren;

> manieren/instrumenten te onderzoeken om gegevensexporteurs verder bij te staan bij de naleving van de Schrems II-vereisten;

> verdere manieren te onderzoeken om te zorgen voor doeltreffende handhaving ten aanzien van in derde landen gevestigde marktdeelnemers die binnen het territoriale toepassingsgebied van de AVG vallen.

De lidstaten moeten:

> het gemoderniseerde Verdrag nr. 108+ van de Raad van Europa zo spoedig mogelijk ondertekenen en ratificeren voor zover dat nog niet is gebeurd, zodat het in werking kan treden.

De Commissie zal:

> verdere vooruitgang boeken in de lopende besprekingen over adequaatheid, de verdere ontwikkeling van bestaande bevindingen inzake adequaatheid onderzoeken en nieuwe dialogen over adequaatheid voeren met belanghebbende partners;

> nauwere samenwerking ondersteunen tussen het netwerk van landen die begunstigden zijn van adequaatheidsbesluiten; - de werkzaamheden afronden met betrekking tot aanvullende standaardcontractbepalingen, met name voor gegevensdoorgiften aan gegevensimporteurs wier verwerking rechtstreeks onder de AVG valt, en doorgiften uit hoofde van Verordening (EU) 2018/1725 voor gegevensdoorgiften door EUinstellingen en -organen;

> samenwerken met internationale partners om gegevensstromen op basis van modelcontractbepalingen te vergemakkelijken;

> lopende hervormingsprocessen in verband met nieuwe of gemoderniseerde regels inzake gegevensbescherming in derde landen ondersteunen door de uitwisseling van ervaringen en beste praktijken;

> samenwerken met internationale en regionale organisaties als de OESO en de G7 om betrouwbare gegevensstromen te bevorderen op basis van hoge standaarden voor gegevensbescherming, onder meer in het kader van het “Data Free Flow with Trust”- initiatief;

> uitwisselingen tussen Europese en internationale regelgevende instanties vergemakkelijken en ondersteunen, onder meer via haar Data Protection Academy;

> internationale samenwerking inzake rechtshandhaving tussen toezichthoudende autoriteiten bevorderen, onder meer door onderhandelingen over overeenkomsten voor samenwerking en wederzijdse bijstand