Brussel, 17 juli - Tijdens zijn meest recente plenaire vergadering heeft het Europees Comité voor gegevensbescherming (EDPB) een verklaring aangenomen over de rol van de gegevensbeschermingsautoriteiten in het kader van de wet op de artificiële intelligentie (AI-verordening).
Volgens het EDPB beschikken gegevensbeschermingsautoriteiten reeds over ervaring en deskundigheid met betrekking tot de gevolgen van AI voor de grondrechten, met name het recht op bescherming van persoonsgegevens, en moeten zij daarom in een aantal gevallen worden aangewezen als markttoezichtautoriteiten. Dit zou zorgen voor een betere coördinatie tussen de verschillende regulerende instanties, de rechtszekerheid voor alle belanghebbenden vergroten en het toezicht op en de handhaving van zowel de AI-verordening als de EU-wetgeving inzake gegevensbescherming versterken.
Overeenkomstig de AI-verordening benoemen de lidstaten vóór 2 augustus 2025 markttoezichtautoriteiten op nationaal niveau met het oog op het toezicht op de toepassing en uitvoering van de AI-verordening.
In zijn verklaring beveelt het EDPB het volgende aan:
- Zoals reeds aangegeven in de AI-verordening moeten gegevensbeschermingsautoriteiten worden aangewezen als markttoezichtautoriteiten voor AI-systemen met een hoog risico die worden gebruikt voor rechtshandhaving, grensbeheer, rechtsbedeling en democratische processen;
- De lidstaten moeten overwegen om ook voor andere AI-systemen met een hoog risico gegevensbeschermingsautoriteiten als markttoezichtautoriteiten aan te wijzen, rekening houdend met de standpunten van de nationale gegevensbeschermingsautoriteit, met name wanneer die AI-systemen met een hoog risico zich bevinden in sectoren die gevolgen kunnen hebben voor de rechten en vrijheden van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens;
- GBA’s, indien aangewezen als markttoezichtautoriteiten, moeten worden aangewezen als centrale contactpunten voor het publiek en hun tegenhangers op het niveau van de lidstaten en de EU;
- Er moeten duidelijke procedures worden vastgesteld voor samenwerking tussen markttoezichtautoriteiten en de andere regulerende instanties die belast zijn met het toezicht op AI-systemen, met inbegrip van gegevensbeschermingsautoriteiten. Daarnaast moet passende samenwerking tot stand worden gebracht tussen het AI-bureau van de EU en de gegevensbeschermingsautoriteiten/EDPB.
Vicevoorzitter Irene Loizidou Nicolaidou van de EDPB: “DPA’s moeten een prominente rol spelen bij de handhaving van de AI-verordening, aangezien de meeste AI-systemen betrekking hebben op de verwerking van persoonsgegevens. Ik ben ervan overtuigd dat gegevensbeschermingsautoriteiten geschikt zijn voor deze rol vanwege hun volledige onafhankelijkheid en grondige kennis van de risico’s van AI voor de grondrechten, op basis van hun bestaande ervaring.”
Vervolgens heeft de afwikkelingsraad twee documenten met veelgestelde vragen (FAQ) over het EU-VS-kader voor gegevensbescherming (DPF) vastgesteld, met als doelmeer duidelijkheid te verschaffen over de werking van het DPF.
De FAQ voor particulieren bevat informatie over de werking van het DPF: hoe u hiervan kunt profiteren, hoe u een klacht kunt indienen en hoe deze klacht zal worden behandeld.
Evenzo wordt in de FAQ voor bedrijven uitgelegd welke Amerikaanse bedrijven in aanmerking komen voor deelname aan het DPF: wat u moet doen voordat u persoonsgegevens doorgeeft aan een bedrijf in de VS dat DPF-gecertificeerd is, en waar u verdere richtsnoeren kunt vinden.
Tot slot heeft het EDPB een advies goedgekeurd waarin de EuroPriSe-criteriacatalogus voor de certificering van verwerkingsactiviteiten door verwerkers wordt goedgekeurd, resulterend in een Europees gegevensbeschermingszegel.* Europese gegevensbeschermingszegels zijn belangrijke instrumenten die bijdragen tot de naleving van de AVG.
In september 2022 had het EDPB een advies uitgebracht over de EuroPriSe-certificeringscriteria, waardoor deze in Duitsland konden worden erkend als certificeringscriteria voor verwerkingsactiviteiten door verwerkers. Na een actualisering van de regeling worden de criteria in dit nieuwe advies goedgekeurd als zijnde van toepassing in de hele EU/EER en als Europees gegevensbeschermingszegel.
GDPR-certificering draagt bij aan het aantonen van nalevingsinspanningen en aan meer transparantie en vertrouwen. Het maakt een betere beoordeling mogelijk van de mate van bescherming die wordt geboden door producten, diensten, processen of systemen die worden gebruikt door organisaties die persoonsgegevens verwerken.
Opmerking voor redacteuren:
*Het EuroPrise Europees gegevensbeschermingszegel wordt toegevoegd aan het register van certificeringsmechanismen en gegevensbeschermingszegels overeenkomstig artikel 42, lid 8, AVG.
Het advies over de goedkeuring van de EuroPriSe-certificeringsregeling als Europees gegevensbeschermingszegel, dat tijdens de plenaire vergadering van het EDPB is goedgekeurd, is onderworpen aan de nodige juridische, taalkundige en opmaakcontroles en zal na voltooiing beschikbaar worden gesteld op de website van het EDPB.
Het hier gepubliceerde persbericht is automatisch uit het Engels vertaald. De EDPB garandeert de juistheid van de vertaling niet. Raadpleeg de officiële tekst in de Engelse versie als er enige twijfel bestaat.