Als landen die niet onder de AVG vallen handel willen drijven en daarbij persoonsgegevens willen uitwisselen met landen die wél onder de AVG vallen, moet door de Europese Commissie eerst een adequaatheidsbesluit worden vastgesteld. In andere delen van de wereld wordt dan ook hard gewerkt aan nieuwe privacywetgeving. In hoeverre wordt de EDPB daarbij betrokken? Hoe komt de agenda van de EDPB tot stand, en welke invloed heeft de Europese Commissie daarop? Een gesprek met vicevoorzitter van de EDPB en voorzitter van de AP Aleid Wolfsen over de agenda van het Europese privacyorgaan.
auteur: Léonhard Weijmar Schultz
Aleid Wolfsen: De European Data Protection Board (EDPB - Europees Comité voor gegevensbescherming) bestaat uit de nationale privacytoezichthouders uit alle landen die onder de Algemene verordening gegevensbescherming (AVG) vallen. Het is geen orgaan dat zich boven de nationale toezichthouders bevindt, wij zijn het samen. Dit heeft te maken met de manier waarop we de AVG tot stand hebben gebracht: elk land heeft een nationale toezichthouder, maar deze zijn Europees bevoegd. Alle voorzitters van die nationale toezichthouders zijn q.q. lid van de EDPB. Daarnaast is de European Data Protection Supervisor (EDPS) lid. De Europese Commissie heeft het recht om aan vergaderingen van de EDPB deel te nemen, maar zonder stemrecht.
Omdat de EDPB uit de nationale privacytoezichthouders bestaat, kunnen we zelf de agenda bepalen. We komen eens per jaar samen om een discussie te voeren over onze prioriteiten. Nationale toezichthouders proberen natuurlijk zoveel mogelijk zelf te doen, maar zij kunnen altijd een onderwerp ter discussie stellen of een voorstel doen om vanuit de EDPB richtlijnen te publiceren. Bij de AP zeggen we vaak: “We bevorderen en bewaken de AVG.” De EDPB doet dat op Europees niveau: het bevorderen door middel van richtlijnen en uitleg, het bewaken via conflictbeslechtingsmechanismen. Stel dat er een verschil van inzichten is, dan kan de EDPB een besluit nemen over wat de juiste uitleg is.
De Europese Commissie is te gast bij de vergaderingen van de EDPB. Dat wil zeggen dat ze inhoudelijk deel mag nemen, maar geen stemrecht heeft. Als bedrijven ergens in Europa bij de Europese Commissie aankloppen omdat zij niet weten hoe ze de privacywetgeving goed kunnen toepassen, dan neemt de Europese Commissie het onderwerp mee naar de vergadering en overleggen we of er bijvoorbeeld richtlijnen nodig zijn. De Europese Commissie kan die richtlijnen niet zelf vaststellen, omdat zij geen formele zeggenschap heeft. Wat zij wel kan en ook heeft gedaan, is ons stevig ondervragen over of alle landen de AVG wel voldoende hebben geïmplementeerd. Stellen regeringen wel voldoende middelen beschikbaar om de AVG überhaupt te kunnen handhaven? Is de Europese Richtlijn gegevensbescherming politie en justitie wel op tijd in iedere nationale wet geïmplementeerd?
Daar kan de Europese Commissie op ingrijpen. Ik zou bijna durven te stellen dat er geen wetgeving meer democratisch gelegitimeerd is dan de AVG. Alle nationale parlementen hebben ermee ingestemd, de Europese Raad van Ministers heeft erin meegestemd en de Europese Commissie ook. De AVG is zeer breed gedragen en als het goed is voorzien alle nationale ministers de privacytoezichthouders in overleg met het parlement van adequate middelen. Als dit toch niet of onvoldoende gebeurt, zal het parlement ingrijpen.
Wordt er niet op nationaal niveau ingegrepen, dan kan de Europese Commissie een inbreukprocedure starten. Dan dagen ze Nederland bijvoorbeeld voor het Hof van Justitie met het verzoek om ons te beboeten, omdat het door de overheid feitelijk onmogelijk wordt gemaakt om de AVG in Nederland te handhaven.
Begin dit jaar heeft de Europese Commissie nog geïnventariseerd in hoeverre alle nationale privacytoezichthouders zijn voorzien van adequate middelen. En in het verleden zijn er al verschillende inbreukprocedures tegen landen gestart, maar dat ging meer over de onafhankelijkheid van de toezichthouders. Iets wat nu wel overal goed is geregeld, in tegenstelling tot de kwestie rondom adequate middelen.
Eens per jaar vindt het Global Privacy Assembly plaats, een congres waar alle leden van de EDPB en alle andere landen met een soortgelijke autoriteit als wij lid van zijn en daar buiten alle vergaderingen om samenkomen. Daar spreken we uitgebreid over elkaars werkwijzen.
Verder worden we vooral indirect bij de opzet van andere wetgeving betrokken. Vrij recent hebben de Europese Commissie en Japan bijvoorbeeld een handelsverdrag gesloten. In het kader daarvan wilde men ook dat data uitgewisseld konden worden en dus was een adequaatheidsbesluit nodig. Japan heeft een grote economie en de Europees commissaris woonde dan ook in persoon een van onze vergaderingen bij om het economisch belang van het adequaatheidsbeleid met Japan te benadrukken, en met het verzoek aan ons om erover te adviseren. Wij hebben vervolgens kritisch naar het concept-adequaatheidsbesluit van de Europese Commissie gekeken en vonden deze op verschillende punten niet ver genoeg gaan. De norm voor de uitwisseling en verwerking van data met landen die niet onder de AVG vallen moet namelijk conform de Europese standaarden zijn, anders ga je naar een verlicht regime. Toen heeft Japan wetgeving gemaakt voor bovenop zijn eigen grondwet. Ook daarbij hebben we vanuit de EDPB geadviseerd. Als onze data nu naar Japan gaan, zijn ze beter beschermd dan de data van Japanners zelf, omdat er voor onze data wetgeving geldt die boven hun eigen grondwet gaat en vergelijkbaar is met de AVG.
In het uittredingsverdrag staat dat het Verenigd Koninkrijk (VK) uit alle EU-instituties vertrekt, dus ook de Britse voorzitter van de Britse privacytoezichthouder Information Commissioner's Office (ICO). Tot eind dit jaar moet het VK zich echter blijven houden aan de AVG, zijn zij transitiebevoegd en blijven de conflictbeslechtingsmechanismen van kracht.
Na 31 december 2020 hoeft er niet veel aan de hand te zijn. Als de Engelsen ervoor kiezen het beleid dat nu geldt een-op-een te kopiëren en van de AVG een nationale wet maken, dan zal de Europese Commissie als het ware in drie minuten de knoop doorhakken: ‘U bent conform bezig, dus er kan dataverkeer gaan plaatsvinden.’ Als het VK echter met een eigen privacywet komt, waarin andere normen voor de uitwisseling en verwerking van data worden gehanteerd en er op 31 december dus geen verdrag is over hoe nu verder, dan wordt het een grote kwestie. Dan kun je het VK vergelijken met China of Noord Korea en zal moeten wordt gewacht tot de Europese Commissie een adequaatheidsbesluit heeft vastgesteld, waar eerst weer over moet worden geadviseerd door de EDPB.
Dit artikel is ook te vinden in het dossier AVG