In november 2018 heeft de EU een verordening aangenomen over het vrij verkeer van niet-persoonsgebonden gegevens. Het stellen van locatievereisten aan het verwerken van gegevens is niet zomaar meer toegestaan. De regels moeten vanaf 4 juni 2019 worden toegepast. Wat betekent dit voor decentrale overheden en overheidsarchieven die hun gegevens (willen laten) verwerken op servers binnen of buiten Nederland?
Verordening 2018/1807
Het doel van de verordening voor het vrije verkeer van niet-persoonsgebonden gegevens is om het makkelijker te maken om gegevensverwerkingsdiensten grenzeloos aan te bieden. De EU ziet momenteel een gebrek aan gegevensmobiliteit en concurrentie tussen verleners van bijvoorbeeld clouddiensten in de Unie.
Elektronische niet-persoonsgebonden gegevens
De regels gaan niet over alle soorten gegevens (artikel 2). De verordening is van toepassing op het verwerken van elektronische niet-persoonsgebonden gegevens van een natuurlijk- of rechtspersoon gevestigd in de Unie. Wanneer het gaat om de verwerking van persoonsgegevens moeten decentrale overheden zich dus aan de Algemene verordening gegevensbescherming blijven houden. Ook gaat het alleen om elektronische gegevens, bijvoorbeeld de gegevens in een database of digitaal overheidsarchief. Dit betekent dat decentrale overheden of overheidsarchieven die hun niet-persoonsgebonden, elektronische gegevens laten verwerken of zelf verwerken (bijvoorbeeld door zelf de clouddienst te leveren waar de gegevens in worden opgeslagen) onder de regels van deze verordening vallen.
Vrij verkeer van de gegevens
In de verordening is een verbod neergelegd op zogenoemde gegevenslokalisatievereisten. Het is niet toegestaan voorwaarden of vereisten te stellen die gegevensverwerking op het grondgebied van een bepaalde lidstaat verplicht stelt, of gegevensverwerking in een andere lidstaat belemmert, behalve wanneer het gaat om redenen van openbare veiligheid (artikel 3). De lidstaten mogen niet in wettelijke of bestuursrechtelijke bepalingen vereisen dat de gegevens op een bepaalde plek worden opgeslagen, of voor verwerking bepaalde technologische voorzieningen eisen die alleen binnen een specifieke lidstaat zijn gecertificeerd. Tevens mag zo’n gegevenslokalisatievereiste niet worden gesteld bij het uitzetten van een overheidsopdracht.
[su_box title=”Opmerking:” box_color=”#f4c0c6″ title_color=”#ffffff”]Belangrijk om op te merken is dat het verbieden van gegevenslokalisatievereisten niet betekent dat een decentrale overheid er niet voor mag kiezen om gegevens bijvoorbeeld binnen Nederland op te slaan (overweging 4). Dit mag alleen niet wettelijk of bestuursrechtelijk verplicht worden gesteld, of als voorwaarde worden opgenomen in een aanbesteding. Organisaties moeten de keuze behouden om de gegevens in alle EU-landen te kunnen verwerken.[/su_box]
Wat betekent dit voor decentrale overheden?
In principe mogen er in de toekomst dus geen belemmeringen meer bestaan voor het opslaan en verwerken van gegevens in andere EU-lidstaten. De enige uitzondering waarbij dit verbod niet geldt is wanneer de openbare veiligheid in het geding is. Bij een dergelijke uitzondering moet wel het evenredigheidsbeginsel in acht worden genomen. De lokalisatievereisten moeten dan geschikt zijn en niet verder gaan dan nodig om het nagestreefde doel van openbare veiligheid te bereiken. Wanneer een lidstaat besluit toch een gegevenslokalisatievereiste in te voeren of een bestaand gegevenslokalisatievereiste wijzigt, moet dit bij de Commissie worden aangegeven. Deze ontwerphandelingen worden dan eerst door de Commissie beoordeeld.
Welke andere regels stelt de verordening?
De lidstaten moeten een centraal aanspreekpunt oprichten dat, in samenwerking met soortgelijke instanties in andere lidstaten, toeziet op de uitvoering van deze verordening. Ook worden lidstaten op grond van de verordening verplicht alle huidige gegevenslokalisatievereisten te toetsen aan de regels van de verordening en de vereisten die daar niet mee in overeenstemming zijn in te trekken. De vereisten die wel gerechtvaardigd zijn om redenen van openbare veiligheid en bij de Commissie zijn kennisgegeven, dienen publiekelijk kenbaar te worden gemaakt via een nationaal online informatiepunt.
Voor 4 juni
Wanneer er op dit moment voor de verwerking van elektronische niet-persoonsgebonden gegevens van decentrale overheidsorganisaties gegevenslokalisatievereisten bestaan, zullen deze getoetst moeten worden aan de regels van de verordening en – indien toegestaan – via het informatiepunt openbaar gemaakt moeten worden. Vervolgens zullen de restricties die niet noodzakelijk zijn voor de openbare veiligheid opgeheven moeten worden. Daarnaast moet een decentrale overheid er voortaan rekening mee houden dat er in een overheidsopdracht voor bijvoorbeeld het hosten van een digitaal overheidsarchief niet mag worden verplicht dat de gegevens alleen binnen Nederland mogen worden opgeslagen.
Bron:
Meer informatie:
Informatiemaatschappij, Kenniscentrum Europa Decentraal
