
Brussel, 20 januari - Het Europees Comité voor gegevensbescherming (EDPB) heeft een verslag goedgekeurd over de tenuitvoerlegging van het recht van toegang voor verwerkingsverantwoordelijken. In het verslag wordt een samenvatting gegeven van de resultaten van een reeks gecoördineerde nationale acties die in 2024 in het kader van het gecoördineerde handhavingskader (CEF) zijn uitgevoerd. Het geeft een opsomming van de problemen die voor sommige verwerkingsverantwoordelijken zijn waargenomen, samen met een reeks aanbevelingen om hen te helpen het recht op toegang uit te voeren. Een centraal element is dat verwerkingsverantwoordelijken zich bewust zijn van Richtsnoeren 01/2022 van het EDPB over de rechten van betrokkenen – Recht van toegang en of deze richtsnoeren in de praktijk zijn gevolgd.
Vicevoorzitter Zdravko Vukíc van het EDPB: “De CEF is een waardevol initiatief dat de samenwerking tussen gegevensbeschermingsautoriteiten helpt versterken: door geselecteerde onderwerpen op een gecoördineerde manier aan te pakken, bereiken ze meer efficiëntie en meer consistentie. De wijze waarop verwerkingsverantwoordelijken het recht op toegang ten uitvoer leggen, vormt de kern van de gegevensbescherming en is een van de meest uitgeoefende rechten van betrokkenen.”
Gedurende 2024 hebben 30 gegevensbeschermingsautoriteiten in heel Europa gecoördineerde onderzoeken ingesteld naar de naleving van het recht van toegang door verwerkingsverantwoordelijken, door formele onderzoeken in te stellen, te beoordelen of een formeel onderzoek gerechtvaardigd was en/of feitenonderzoeken uit te voeren. In totaal hebben 1.185 verwerkingsverantwoordelijken, bestaande uit kleine en middelgrote ondernemingen (kmo’s) en grote ondernemingen die actief zijn in verschillende sectoren en gebieden, alsook verschillende soorten overheidsinstanties, op de actie gereageerd.
Verbeterpunten en belangrijkste uitdagingen
Uit de resultaten blijkt dat meer bewustmaking over Richtsnoeren 01/2022 nodig is, zowel op nationaal als op EU-niveau, aangezien de richtsnoeren verwerkingsverantwoordelijken helpen bij de uitvoering van het recht van toegang, uitleggen hoe de uitoefening van dit recht kan worden vergemakkelijkt en een opsomming geven van de uitzonderingen en beperkingen van het recht van toegang.
Als gevolg van de CEF-actie van 2024 werden zeven uitdagingen vastgesteld. Een daarvan is het gebrek aan gedocumenteerde interne procedures om toegangsverzoeken af te handelen. Bovendien werden ook inconsistente en buitensporige interpretaties van de beperkingen van het recht van toegang in acht genomen, zoals een overdreven beroep op bepaalde uitzonderingen om verzoeken om toegang automatisch te weigeren. Een ander voorbeeld zijn de belemmeringen waarmee personen kunnen worden geconfronteerd bij de uitoefening van hun recht van toegang, zoals formele vereisten of verzoeken om buitensporige identificatiedocumenten te verstrekken. Voor elke vastgestelde uitdaging bevat het verslag een lijst van niet-bindende aanbevelingen waarmee verwerkingsverantwoordelijken en gegevensbeschermingsautoriteiten rekening moeten houden.
Positieve bevindingen
Ondanks de bestaande uitdagingen evalueerde twee derde van de deelnemende gegevensbeschermingsautoriteiten de mate van naleving van de antwoordende verwerkingsverantwoordelijken met betrekking tot het recht op toegang van “gemiddeld” tot “hoog”. Een belangrijke factor die van invloed werd geacht op de mate van naleving was de omvang van de toegangsverzoeken van verwerkingsverantwoordelijken en de omvang van de organisatie. Meer in het bijzonder hadden grote verwerkingsverantwoordelijken of verwerkingsverantwoordelijken die meer verzoeken ontvingen, meer kans om een hoger nalevingsniveau te bereiken dan kleine organisaties met minder middelen.
In heel Europa werden positieve bevindingen waargenomen. Deze omvatten de toepassing van beste praktijken door verwerkingsverantwoordelijken, zoals gebruiksvriendelijke onlineformulieren waarmee personen gemakkelijk een toegangsverzoek kunnen indienen, alsook zelfbedieningssystemen waarmee personen hun persoonsgegevens in een paar klikken en op elk moment autonoom kunnen downloaden.
Achtergrond en volgende stappen
De CEF is een kernactiviteit van het EDPB in het kader van zijn strategie 2024-2027, die erop gericht is de handhaving en samenwerking tussen gegevensbeschermingsautoriteiten te stroomlijnen.
In de afgelopen drie jaar zijn twee eerdere CEF-acties uitgevoerd.
De resultaten van deze nationale acties worden samen geaggregeerd en geanalyseerd om een dieper inzicht in het onderwerp te verkrijgen en een gerichte follow-up op zowel nationaal als EU-niveau mogelijk te maken.
In 2023 publiceerde het EDPB het verslag over zijn eerste gecoördineerde actie inzake het gebruik van cloudgebaseerde diensten door de publieke sector.
In 2024 publiceerde het EDPB ook het verslag over de resultaten van de tweede gecoördineerde actie inzake de aanwijzing en positie van functionarissen voor gegevensbescherming.
De CEF 2025-actie zal betrekking hebben op de tenuitvoerlegging van het recht op wissing.
Het hier gepubliceerde persbericht is automatisch uit het Engels vertaald. De EDPB garandeert de juistheid van de vertaling niet. Raadpleeg de officiële tekst in de Engelse versie als er enige twijfel bestaat.