De Algemene Verordening Gegevensbescherming (AVG) is sinds het in werking treden op 25 mei 2018 een essentiële pijler van digitalisering, die bepaalt hoe en wanneer persoonsgegevens verwerkt mogen worden. Om de effectiviteit van de AVG te waarborgen, voert de Europese Commissie vanaf 2020 elke vier jaar een grondige evaluatie uit. Afgelopen juli werd het tweede verslag van deze evaluatie gepubliceerd.
AVG als hoeksteen
De Commissie noemt de AVG in het rapport ‘de hoeksteen’ van het digitaliseringsprogramma van de Europese Unie (EU) is. De wetgeving die sinds 2020 in dit domein is gepubliceerd, vult de AVG aan of bouwt er op voort. Zo wordt de Verordening inzake het Europees kader voor digitale identiteit (eIDAS) genoemd, omdat persoonlijke kenmerken zoals leeftijd en diploma’s gebruikt worden om de digitale identiteit te creëren. De AVG voorkomt onnodige uitwisseling van deze gegevens.
Een ander voorbeeld is de Interoperabel Europa Verordening. Deze zorgt ervoor dat overheden onderling en met Europese instanties informatie en gegevens gemakkelijk digitaal kunnen uitwisselen. Overheden zijn in het bezit van de persoonsgegevens van hun burgers. De Interoperabel Europa Verordening maakt het mogelijk om deze gegevens makkelijker tussen lidstaten uit te wisselen. De AVG zorgt ervoor dat dit niet onrechtmatig wordt gedaan.
Ook hierbij moet rekening gehouden worden met welke persoonsgegevens uitgewisseld worden. De AVG is daarmee niet alleen belangrijk voor overheden, het heeft ook grote impact op bedrijven. Zo verzekert de Dataverordening, die meer toespitst op beheer, delen en hergebruik, dat gebruikers toegang hebben tot de persoonsgegevens die zij aan slimme apparaten verstrekken en de overdraagbaarheid van deze gegevens. Het recht van inzage uit de AVG ligt hier onder andere aan ten grondslag.
Dit laat zien dat de AVG invloed heeft op verdere wetgeving. Ook op nationaal niveau leeft de AVG. In veertien lidstaten groeiden de gegevensbeschermingsautoriteiten met 25%. Daarnaast hebben deze autoriteiten, in Nederland vertegenwoordigd door de Autoriteit Persoonsgegevens (AP), de afgelopen vier jaar bijna 990 besluiten genomen waarin inbreuken op de AVG werden vastgesteld. De recente zaak waarin de AP het bedrijf Uber een boete opgelegd heeft, is hier een mooi voorbeeld van.
Evaluatie
In het eerste evaluatieverslag uit 2020 kwam de Commissie tot de conclusie dat er voornamelijk behoefte was aan een efficiëntere en geharmoniseerde behandeling van grensoverschrijdende zaken in de EU. Ondanks dat de AVG een verordening is en daarmee grotendeels gelijk is door de gehele Unie, mogen lidstaten op bepaalde punten zelf bepalen hoe ze de regels toepassen. Uit het onderzoek van de Commissie in 2024 bleek dat dit nog steeds het geval is. Specifieke interpretatieverschillen tussen gegevensbeschermingsautoriteiten lijken hier ten grondslag aan te liggen.
Sinds 2020 wordt dus al ingezet op Europees-brede harmonisatie. Zo heeft de Commissie in juli 2023 een voorstel voor een Verordening met aanvullende procedureregels voor de AVG ingediend bij het Parlement en de Raad. Deze procedures moeten klachtbehandeling uniformer maken voor lidstaten en op die manier de samenwerking tussen de gegevensbeschermingsautoriteiten verbeteren.
Dergelijke inter-Europese samenwerkingen zijn de afgelopen vier jaar al verbeterd. De AVG stelde al een zogeheten samenwerking en coherentiemechanisme in. Onderdeel van dit mechanisme, is een nieuw orgaan van de EU, het Europees Comité voor de Gegevensbescherming. In dit Comité nemen toezichthouders van de lidstaten zitting, net als de Europese Toezichthouder voor gegevensbescherming. NB: er kan dus verwarring bestaan tussen de Europese toezichthouder en het Europese comité, ook de afkortingen lijken op elkaar.
Naast het uitwisselen van gegevens onderling en het verlenen van wederzijdse bijstand, kunnen toezichthoudende autoriteiten van de lidstaten het Comité raadplegen over specifiek bij de AVG geregelde maatregelen. Ook mag het Comité specifieke geschillen beslechten. Er is een informatie-uitwisselingsysteem opgezet waarlangs toezichthoudende autoriteiten hulp van elkander kunnen verzoeken. In het verslag wordt vermeld dat er eind 2023 bijna 2.400 uitgewisselde zaken zijn geregistreerd in het uitwisselingssysteem. Er zijn hierbij bijna 1.000 formele verzoeken voor wederzijdse hulp tussen toezichthouders . Hiernaast zijn er nog 12.300 informele verzoeken. Ook hebben toezichthoudende autoriteiten vijf gezamenlijke werkzaamheden onder artikel 62 AVG gestart. Hieraan hebben zeven lidstaten deelgenomen.
Decentrale relevantie
De AVG is springlevend en zal belangrijk blijven. Het vormt duidelijk een belangrijk onderdeel van het digitale decennium. Data delen vindt plaats met inachtneming van regels over gegevensbescherming, ook voor aankomende wetgeving. Kennis over de AVG en privacywetgeving is cruciaal voor decentrale overheden om nieuwe wetten te implementeren en uit te voeren en om in de dagelijkse gang van zaken gegevens en informatie uit te wisselen. Ook in de omgang met nieuwe technologie, zoals AI, is het belangrijk om rekening te houden met de AVG.
Bronnen
Europese Commissie – Rapport betreffende de toepassing van de AVG [Engels]
