
Brussel, 24 januari 2019 — De Europese gegevensbeschermingsautoriteiten hebben op 22 en 23 januari hun zesde plenaire vergadering gehouden in het kader van het Europees Comité voor gegevensbescherming (European Data Protection Board, EDPB). Tijdens de plenaire vergadering is een breed scala aan onderwerpen besproken.
Privacyschild
De leden van het Comité hebben het verslag van de EDPB over de tweede jaarlijkse evaluatie van het EU-VS-privacyschild goedgekeurd. De EDPB verwelkomt de inspanningen van de Amerikaanse autoriteiten en de Commissie wat betreft de tenuitvoerlegging van het privacyschild, met name de maatregelen om het initiële certificeringsproces aan te passen en ambtshalve toezicht- en handhavingsmaatregelen in te leiden, alsmede het streven naar bekendmaking van een aantal belangrijke documenten, ten dele door derubricering (zoals bij beslissingen van het FISA-hof), de benoeming van een nieuwe voorzitter en drie nieuwe leden van de Privacy and Civil Liberties Oversight Board (PCLOB) en de onlangs aangekondigde benoeming van een permanente Ombudspersoon.
Gezien de bevindingen van de tweede evaluatie geeft de uitvoering van het privacyschild op een aantal punten nog steeds aanleiding tot zorg. Zo heeft de voorganger van de EDPB, de Artikel 29 Werkgroep, reeds haar bezorgdheid geuit over het ontbreken van concrete garanties dat het ongericht verzamelen en inzien van persoonsgegevens ten behoeve van de nationale veiligheid is uitgesloten. Verder kan de EDPB uit de informatie die tot dusver bekend is gemaakt, niet opmaken dat de Ombudspersoon voldoende bevoegdheden heeft om op te treden tegen inbreuken. Ook wijst de EDPB erop dat de controles op de inhoudelijke naleving van de beginselen van het privacyschild niet grondig genoeg zijn.
Bovendien maakt de EDPB zich zorgen over de controles die noodzakelijk zijn om te voldoen aan de vereisten inzake verdere doorgifte, de reikwijdte van de betekenis van HR-gegevens en het certificeringsproces, alsook de lijst van problemen die bij de eerste evaluatie naar voren zijn gebracht en nog niet zijn opgelost.
Brexit
De EDPB heeft mogelijke gevolgen van de Brexit op het gebied van gegevensbescherming besproken. De leden hebben afgesproken te zullen samenwerken en informatie te zullen uitwisselen over de voorbereidingen op de Brexit en de instrumenten die ter beschikking staan voor het doorgeven van gegevens naar het Verenigd Koninkrijk nadat het land de EU heeft verlaten.
Vragen en antwoorden over klinische proeven
Op verzoek van de Europese Commissie (DG SANTE) heeft de EDPB advies uitgebracht over de vragen en antwoorden met betrekking tot klinische proeven. Het advies gaat met name over aspecten die verband houden met passende rechtsgrondslagen in de context van klinische proeven en het secundaire gebruik van de bij klinische proeven verkregen gegevens voor wetenschapsdoeleinden. Het advies zal aan de Europese Commissie worden toegezonden.
Lijsten voor gegevensbeschermingseffectbeoordelingen
De EDPB heeft adviezen uitgebracht over de lijsten voor gegevensbeschermingseffectbeoordelingen die door Liechtenstein en Noorwegen bij de EDPB zijn ingediend. Deze lijsten zijn een belangrijk instrument voor een consistente toepassing van de Algemene Verordening Gegevensbescherming in de hele EER. Een gegevensbeschermingseffectbeoordeling is een proces om de risico’s die van invloed kunnen zijn op de rechten en vrijheden van personen in kaart te brengen en binnen de perken te houden. De algemene regel is dat de verwerkingsverantwoordelijke moet beoordelen of een gegevensbeschermingseffectbeoordeling vereist is, voordat hij met de verwerking begint. De nationale toezichthoudende autoriteiten moeten echter een lijst opstellen van het soort verwerkingsactiviteiten waarvoor een gegevensbeschermingseffectbeoordeling verplicht is. Deze twee adviezen volgen op de 22 adviezen die op de plenaire vergadering van september zijn vastgesteld en de vier adviezen die op de plenaire vergadering van december zijn vastgesteld, en leveren opnieuw een bijdrage aan de totstandkoming van gemeenschappelijke criteria die in de hele EER voor gegevensbeschermingseffectbeoordelingen moeten gelden.
Richtsnoeren voor certificering
De EDPB heeft na een openbare raadpleging de definitieve versie van de richtsnoeren voor certificering bekendgemaakt. Daarnaast is ook een nieuwe bijlage vastgesteld. Een ontwerpversie van de richtsnoeren was vastgesteld op de eerste plenaire vergadering van de EDPB, in mei 2018. De richtsnoeren moeten primair fungeren als overkoepelende criteria die relevant kunnen zijn voor alle soorten certificeringsmechanismen die overeenkomstig de artikelen 42 en 43 AVG worden opgesteld. De richtsnoeren geven aan wat de zin van certificering is in verband met de verantwoordingsplicht, geven uitleg over de belangrijkste begrippen die in de bepalingen van de artikelen 42 en 43 worden gebruikt en leggen uit welke zaken kunnen worden gecertificeerd en wat het doel van certificering is. De richtsnoeren bieden lidstaten, toezichthoudende autoriteiten en nationale accreditatie-instanties hulp bij de toetsing en goedkeuring van certificeringscriteria overeenkomstig de artikelen 42 en 43 AVG. De bijlage zal beschikbaar worden gesteld voor publieke consultatie.
Antwoord aan de Australische toezichthoudende autoriteit over melding van inbreuken in verband met persoonsgegevens
De voorzitter van de EDPB heeft in oktober 2018 een schriftelijk verzoek ontvangen van de Australian Information Commissioner over de publicatie van meldingen van inbreuken in verband met persoonsgegevens door de toezichthoudende autoriteiten. De EDPB is verheugd over de belangstelling van de Australian Information Commissioner voor samenwerking met de EDPB op dit gebied, en benadrukt dat internationale samenwerking belangrijk is. De EDPB verstrekt in zijn antwoord nadere informatie over de wijze waarop toezichthoudende autoriteiten omgaan met de publicatie van informatie over inbreuken in verband met persoonsgegevens.