De European Data Protection Board (EDPB) heeft ingestemd met een eerste versie van de richtlijnen over een AVG-certificaat. Iedereen die hier een mening over heeft, kan deze tot en met 30 september kenbaar maken. Na deze consultatieronde stelt de Europese privacytoezichthouder de definitieve richtlijnen vast.
Dat kondigt de Autoriteit Persoonsgegevens aan in een persbericht (1).
Het is inmiddels iets meer dan vier jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) in werking trad. Deze wet uit Brussel werd in het leven geroepen om de privacy van Europese burgers te beschermen (2). Daarin staat onder meer wat persoonsgegevens zijn, op welke grondslag bedrijven deze data mogen opslaan en verwerken, en welke rechten op het gebied van privacy burgers hebben.
Hoewel de nationale toezichthouders uit de EU-lidstaten de afgelopen jaren de nodige ervaring hebben opgedaan met de AVG, blijkt het in praktijk lastige materie te zijn. Niet alle toezichthouders interpreteren de verordening op dezelfde wijze. Aleid Wolfsen, bestuursvoorzitter van de Autoriteit Persoonsgegevens, is daar al eens op gewezen door de Europese Commissie, zo bleek eerder deze week uit een brief die in handen is van NRC (3).
Om ervoor te zorgen dat alle neuzen dezelfde kant op wijzen, werd in 2018 de European Data Protection Board (EDPB) in het leven geroepen. Vertegenwoordigers van de nationale toezichthouders komen regelmatig bijeen om te bespreken hoe ze op een consequente manier de AVG kunnen toepassen in eigen land.
Daarvoor hebben ze een nieuw instrument bedacht: het AVG-certificaat. Hiermee kunnen overheden, bedrijven en organisaties aantonen dat ze persoonsgegevens volgens de Europese privacywetgeving verwerken. Kortom, het is de basis voor gegevensuitwisseling tussen Europese en niet-Europese bedrijven.
Om zo’n certificaat te krijgen, moet een organisatie zich laten keuren door een geaccrediteerde certificatie-instelling. Die zijn er op dit moment nog niet in ons land. De Autoriteit Persoonsgegevens verwacht dat deze er in de toekomst wel komen. Deze controlerende instanties moeten worden benoemd door de Raad voor Accreditatie (RvA).
“Een AVG-certificaat kan de basis zijn om op een veilige manier persoonsgegevens te versturen vanuit de Europese Unie (EU) naar landen buiten de EU. Europese bedrijven laten met zo’n certificaat zien dat zij de AVG goed hebben geïmplementeerd binnen én buiten de EU”, aldus de Autoriteit Persoonsgegevens.
Het AVG-certificaat volgt op een moment dat de EU en VS druk bezig zijn om een opvolger van het Privacy Shield te realiseren. In de zomer van 2020 zette het Europees Hof van Justitie een streep door het Privacy Shield, dat jarenlang als basis diende om gegevens uit te wisselen met niet-Europese landen. Kort gezegd oordeelde het Hof dat de VS niet hetzelfde beschermingsniveau bood als hier in Europa (4).
Na iets minder dan twee jaar onderhandelen ligt er nu een principeakkoord op tafel dat het Privacy Shield moet gaan vervangen. De komende maanden worden de puntjes op de -i gezet (5). De EDPB is positief over het akkoord op hoofdlijnen (6). De Europese privacywaakhond zegt “een constructieve rol” te zullen spelen bij de uitwisseling van persoonsgegevens tussen de EU en de VS. “De EDPB staat klaar om de Europese Commissie en de VS te helpen bij het opzetten van een nieuw kader dat volledig dat volledig in overeenstemming is met de EU-wetgeving inzake gegevensbescherming”, zo beloofde de instantie in april.
De richtlijnen over het ACG-certificaat als doorgifte-instrument zijn nog niet definitief. De EDPB heeft ingestemd met een eerste versie van de richtlijnen. Het is nu aan Europese organisaties en andere belanghebbenden om hun mening hierover te geven. Dat kan via de website van de EDPB. Daarvoor hebben ze tot en met 30 september 2022 de tijd. Na deze consultatieronde stelt de Europese privacytoezichthouder de richtlijnen definitief vast.
https://autoriteitpersoonsgegevens.nl/nl/nieuws/nieuwe-edpb-guidelines-over-avg-certificaat-als-doorgifte-instrument
https://www.vpngids.nl/privacy/
https://www.vpngids.nl/nieuws/europese-commissie-waarschuwt-ap-voor-te-strenge-interpretatie-avg/
https://www.vpngids.nl/nieuws/europese-hof-van-justitie-privacy-shield-eu-vs-is-ongeldig/
https://www.vpngids.nl/nieuws/eu-en-vs-sluiten-principeakkoord-over-gegevensuitwisseling/
https://www.vpngids.nl/nieuws/edpb-tevreden-over-principeakkoord-gegevensuitwisseling/
