Eind 2018 heeft de European Data Protection Board (EDPB) twee nieuwe richtlijnen ter consultatie gepubliceerd. Een van deze richtlijnen gaat in op de territoriale reikwijdte van de Algemene verordening gegevensbescherming. In de andere richtlijn bespreekt de EDPB het aanstellen van organen die een AVG-keurmerk of certificaat kunnen uitgeven. Belanghebbenden en andere geïnteresseerden kunnen nog enkele weken via de website van de EDPB op de voorstellen reageren.
EDPB: verduidelijking, advisering, samenwerking
De European Data Protection Board (EDPB) bestaat uit de toezichthoudende autoriteiten voor gegevensbescherming van de EU-lidstaten. Eerder opereerde de groep onder de naam ‘Artikel 29-Werkgroep’. Het uitgeven van richtlijnen en andere aanbevelingen door de EDPB is in de AVG vastgelegd. Dit is onderdeel van hun taak bij te dragen aan het zorgen voor de juiste toepassing van de verordening. Met de richtlijnen beoogt de EDPB concepten uit de verordening op een uniforme manier in de hele EU te verduidelijken. Alle richtlijnen, aanbevelingen en best practices zijn op de website te vinden.
Territoriale reikwijdte
Of de AVG van toepassing is op een organisatie is afhankelijk van waar deze gevestigd is en op wie de verwerking van persoonsgegevens door de organisatie is gericht. Richtlijn 3/2018 gaat onder andere in op wat ‘gevestigd’ betekent in het kader van het EU-gegevensbeschermingsrecht en geeft verschillende voorbeelden van bedrijven die wel of niet aan de AVG moeten voldoen. Ook wordt verduidelijkt onder welke voorwaarden een organisatie die niet in de EU gevestigd is, maar wel activiteiten uitvoert die gericht zijn op EU-burgers, toch onder de reikwijdte van de AVG valt.
Geïnteresseerden hebben nog tot 18 januari 2019 de tijd om op de richtlijn te reageren.
Certificeringsorganen
De AVG moedigt de lidstaten ook aan om de invoering van een certificeringsmechanisme te bevorderen. In de praktijk betekent dit dat verwerkingsverantwoordelijken en verwerkers bij een goedgekeurd orgaan een certificaat kunnen opvragen, waarmee zij aantonen dat ze volgens de regels van de AVG persoonsgegevens verwerken. De AVG stelt verschillende eisen aan de organen die deze certificaten kunnen uitgeven. In Richtlijn 4/2018 worden deze nader uitgewerkt.
De Nederlandse Raad voor Accreditatie heeft op dit moment nog geen certificatieorgaan voor de AVG geaccrediteerd. In juni 2018 waarschuwde de Autoriteit Persoonsgegevens (AP) al voor bedrijven die beweren dat zij een door de AP goedgekeurd AVG-keurmerk kunnen verlenen.
Geïnteresseerden kunnen tot 1 februari 2019 op de richtlijn reageren.
Bron:
Openbare raadplegingen, EDPB
Meer informatie:
De Algemene verordening gegevensbescherming, Kenniscentrum Europa Decentraal
AVG: richtsnoeren, aanbevelingen en best practices, EDPB
AVG-certificaat, Autoriteit Persoonsgegevens