Wat zijn niet-persoonsgebonden gegevens?
De verordening is van toepassing op het verwerken van elektronische niet-persoonsgebonden gegevens van een natuurlijk- of rechtspersoon gevestigd in de Europese Unie. De regels gaan dus niet over alle soorten gegevens (artikel 2). Wanneer het bijvoorbeeld gaat om de verwerking van persoonsgegevens moeten decentrale overheden zich aan de Algemene verordening gegevensbescherming (AVG) blijven houden. Ook gaat het alleen om elektronische gegevens, bijvoorbeeld de gegevens in een database of digitaal overheidsarchief. Dit betekent dat decentrale overheden of overheidsarchieven die hun niet-persoonsgebonden, elektronische gegevens laten verwerken of zelf verwerken (bijvoorbeeld door zelf de clouddienst te leveren waar de gegevens in worden opgeslagen) onder de regels van deze verordening vallen.
Bepalingen verordening
De Verordening betreffende vrij verkeer van niet-persoonsgebonden gegevens ziet erop toe dat gegevenslokalisatievereisten verboden zijn, tenzij dit om redenen van openbare veiligheid toch noodzakelijk blijkt. Gegevenslokalisatievereisten zijn juridische of administratieve maatregelen waarin staan dat gegevensverwerking moet plaatsvinden op een specifiek EU-grondgebied. In de verordening is dit dus verboden. Dit betekent dat overheden in principe geen (wettelijke) bepaling mogen opnemen, ook op het gebied van overheidsopdrachten en aanbestedingen, om gegevens binnen de grenzen van een bepaalde lidstaat te laten verwerken. De Commissie zal daarnaast zelfregulerende gedragscodes opstellen om het vrij verkeer van gegevens te bevorderen en faciliteren.
Elke lidstaat zal bovendien een centraal aanspreekpunt aanstellen dat voor de uitvoering van de verordening samenwerkt met alle andere aanspreekpunten van de lidstaten.
Belangrijk om te vermelden is dat het verbieden van gegevenslokalisatievereisten niet betekent dat een decentrale overheid er niet voor mag kiezen om gegevens bijvoorbeeld binnen Nederland op te slaan (overweging 4). Dit mag alleen niet wettelijk of bestuursrechtelijk verplicht worden gesteld, of als voorwaarde worden opgenomen in een aanbesteding. Organisaties moeten de keuze behouden om de gegevens in alle EU-landen te kunnen verwerken. Deze verordening waarborgt enkel de keuzevrijheid om ervoor te zorgen dat een overeengekomen locatie zich in de Europese Unie bevindt.
AVG & niet-persoonsgebonden gegevens
In veel gevallen bestaan gegevenssets uit persoonsgegevens en niet-persoonsgebonden gegevens. In dit geval is de Verordening niet-persoonsgebonden gegevens van toepassing op het deel niet-persoonsgebonden gegevens en is de AVG van toepassing op het deel persoonsgegevens. Wanneer deze delen ‘onlosmakelijk’ met elkaar verbonden zijn, is de AVG van toepassing op de gehele dataset. Zelfs wanneer de persoonsgegevens maar een klein deel beslaan van de gegevensset is de AVG op de gehele set van toepassing. Voor meer informatie kunt u terecht bij de richtsnoeren die de Commissie hiervoor heeft gepubliceerd.
Decentrale relevantie
In principe mogen er in de toekomst dus geen belemmeringen meer bestaan voor het opslaan en verwerken van niet-persoonsgebonden gegevens in andere EU-lidstaten. De enige uitzondering waarbij dit verbod niet geldt is wanneer de openbare veiligheid in het geding is. Bij een dergelijke uitzondering moet wel het evenredigheidsbeginsel in acht worden genomen. De lokalisatievereisten moeten dan geschikt zijn en niet verder gaan dan nodig om het nagestreefde doel van openbare veiligheid te bereiken. Wanneer een lidstaat besluit toch een gegevenslokalisatievereiste in te voeren of een bestaand gegevenslokalisatievereiste wijzigt, moet dit bij de Commissie worden aangegeven. Deze ontwerphandelingen worden dan eerst door de Commissie beoordeeld.
De Europese Commissie moet uiterlijk op 29 november 2022 de verordening evalueren en verslag uitbrengen aan het Europees Parlement, de Europese Raad en het Europees Economisch en Sociaal Comité.
