Evaluatie van de AVG

De Algemene Verordening Gegevensbescherming (AVG) is inmiddels alweer bijna anderhalf jaar van kracht. In artikel 97 van de AVG is een verplichting tot evaluatie opgenomen voor de Europese Commissie. De Commissie moet daarom de uitwerking van de AVG evalueren en hierover vervolgens verslag doen aan het Europees Parlement en de Europese Raad.

Om aan deze evaluatieverplichting te kunnen voldoen heeft de Europese Commissie de optie gekregen om de verschillende lidstaten om input te vragen voor deze evaluatie. Hiervan heeft de Commissie gebruik gemaakt en zij heeft derhalve een uitvraag gedaan bij deze lidstaten. In relatie tot deze uitvraag is op 9 oktober 2019 een rapport gepubliceerd waarin de ontvangen feedback van de lidstaten opgenomen is.

In dit blog wordt de Nederlandse input voor de evaluatie van de AVG besproken.

Evaluatie van de AVG

Om ervoor te zorgen dat de invoering van de AVG geen problemen oplevert in lidstaten, is een evaluatieplicht opgenomen in artikel 97 van de AVG. De Commissie moet uiterlijk 25 mei 2020 verslag doen over de implementatie van de AVG en de gevolgen hiervan. De focus ligt met name op de uitwerking van de verschillende artikelen uit Hoofdstuk V (internationale transfers) en Hoofdstuk VII (consistentie en samenwerking). Na afronding van deze evaluatie moet daarna elke vier jaar eenzelfde soort evaluatie plaatsvinden.

Uit artikel 97(3) van de AVG blijkt dat de Commissie voor het opstellen van het verslag informatie mag opvragen bij de lidstaten, alsmede bij de toezichthouder(s).

Ontvangen input

De Commissie heeft gebruik gemaakt van haar bevoegdheid om informatie bij de lidstaten op te vragen en heeft vervolgens de input die zij ontvangen heeft gepubliceerd. Opvallend is dat er (tot op heden) maar 19 van de 28 lidstaten hebben gereageerd[i].

Wanneer de input van de verschillende lidstaten verder bekeken wordt, blijkt dat Nederland veruit het meeste uitgebreide stuk heeft ingediend. De Nederlandse bijdrage behelst 20 pagina’s, terwijl het op een na langste stuk (van Duitsland) er maar negen bevat. Wat ook opvalt, is dat Nederland veel dieper op onderwerpen is gegaan dan gevraagd.

De Nederlandse bijdrage

De Nederlandse bijdrage voor het rapport van de Europese Commissie gaat niet alleen in op de twee hoofdstukken die in de AVG benoemd worden. Nederland vindt het namelijk belangrijk om de evaluatie ook uit te voeren in het licht van maatschappijlijke ontwikkeling. Het stuk gaat daarom ook in op technologische ontwikkelingen en de overige hoofdstukken van de AVG.

Evaluatie uitwerking AVG

Voor wat betreft de evaluatie van de AVG en de praktische uitwerking daarvan heeft Nederland een aantal observaties opgenomen.

De volgende onderwerpen zijn door Nederland opgenomen in de feedback:

• Consistentie tussen de AVG en andere richtlijnen/verordeningen om verschillen in de regelgeving te voorkomen;
• Harmonisatie van toestemmingsleeftijd van kinderen voor diensten in de informatiemaatschappij;
• Verwerkingsregister en administratieve lastenverzwaring voor het MKB;
• Certificeringsproces en mogelijkheid dit tot Europees niveau te beperken;
• Dubbelzinnig taalgebruik in de AVG en uitleg hierover;
• Gedragscodes en het aanstellen van een monitorend orgaan;
• Europese harmonisatie datalekken meldingsformulier;
• De evaluatie van bestaande adequaatheidsbeslissingen en het nemen van nieuwe adequaatheidsbeslissingen om internationale overdracht te bevorderen;
• Onafhankelijkheid en budget van de toezichthoudende autoriteit;
• Opzetten van samenwerkings- en consistentie mechanismen.

Het is volgens Nederland voor deze onderwerpen dus belangrijk dat ze opgenomen worden in het evaluatierapport van de Commissie.

Technologische ontwikkelingen

Nederland stelt verder dat er een aantal belangrijke ontwikkelingen plaatsvinden in het kader van techniek en de informatiemaatschappij.

Zij signaleert daarom vier technologische ontwikkelingen waar extra aandacht voor gevraagd wordt:

• Risico’s van de datakracht van een aantal grote Tech-bedrijven en de mogelijkheid om door samenwerking tussen verschillende autoriteiten (gegevensbescherming, mededinging en consumentenbescherming) deze risico’s te verminderen;
• Analyses en profiling met behulp van big data en de eventuele noodzaak van het mogen verwerken van bijzondere persoonsgegevens om algorithmic bias te voorkomen;
• Offer discrimination, oftewel het gebruik van profiling voor het doen van een gepersonaliseerd aanbod wanneer dit kan leiden tot prijsdiscriminatie. Daarnaast vraagt Nederland in te gaan op manieren om te voorkomen dat dergelijke praktijken leiden tot stigmatisering of uitsluiting;
• Toepassing van blockchain en de mogelijke drempels die dit opwerpt bij het uitoefenen van rechten van betrokkenen.

Volgende stap: Rapport van de Europese Commissie

Op basis van de ontvangen input en een eigen evaluatie zal de Europese Commissie nu een verslag opstellen om het Europees Parlement en de Europese Raad te informeren. Dit moet zoals blijkt uit artikel 97 AVG, uiterlijk 25 mei 2020 gebeuren.

Omdat de Nederlandse input verder ging dan de verplichte kaders, is het nu afwachten of het verslag van de Commissie de zorgen van Nederland meeneemt in haar rapport.

 

Hulp nodig?

Heeft u vragen over de uitwerking van enkele verplichtingen uit de AVG voor uw organisatie? Wilt u meer informatie over het toepassen van de AVG of wilt u eens met ons sparren over deze onderwerpen? Neem dan contact op met onze creatieve en betrouwbare professionals via info@cuccibu.nl of +31 (0) 85 303 2984.

[i] België, Bulgarije, Denemarken, Duitsland, Estland, Frankrijk, Ierland, Kroatië, Letland, Litouwen, Luxemburg, Nederland, Oostenrijk, Polen, Portugal, Roemenië, Slovenië, Tsjechië en Zweden.