De Verordening voor het vrij verkeer van niet-persoonsgebonden gegevens (Verordening 2018/1807) stelt regels vast met betrekking tot gegevenslokalisatievereisten en de beschikbaarheid van gegevens voor bevoegde autoriteiten en gedragscodes om vrij verkeer van elektronische, niet persoonsgebonden gegevens te faciliteren. Samen met de Algemene Verordening Gegevensbescherming (AVG, Verordening 2016/679) zorgt deze Verordening voor een alomvattende en coherente benadering van het vrije verkeer van alle gegevens in de Europese Unie.
Persoonsgegevens en niet-persoonsgebonden gegevens
De Verordening niet-persoonsgebonden van toepassing op elektronische niet-persoonsgebonden gegevens, bijvoorbeeld gegevens in een database of digitaal overheidsarchief. Voor de definitie van niet-persoonsgebonden gegevens verwijst de verordening niet-persoonsgebonden gegevens naar de AVG voor de definitie van persoonsgebonden gegevens.
Persoonsgegevens, zoals gedefinieerd in artikel 4 lid 1 van de AVG, zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon. Hieronder valt informatie die direct over een persoon gaat of gemakkelijk naar een persoon te herleiden is. Meer informatie over de definitie van persoonsgegevens kun je hier vinden: verwerken van persoonsgegevens.
Hieruit vloeit voort dat niet-persoonsgebonden gegevens alle andere gegevens omvatten die niet onder de definitie van persoonsgebonden gegevens vallen, zoals omschreven in artikel 3 lid 1 van de verordening. Een persoon mag op basis van de beschikbare gegevens niet direct of indirect kunnen worden geïdentificeerd. Voorbeelden hiervan zijn bedrijfs-en organisatorische gegevens, zoals bedrijfsnamen en algemene contactgegevens zoals een bedrijfstelefoonnummer. Gegevens over het gebruik van pesticiden en water zijn ook voorbeelden van dergelijke gegevens.
Verbod op gegevenslokalisatievereisten
Gegevenslokalisatievereiste betreft elke nationaalrechtelijke norm die verplicht tot gegevensverwerking binnen het grondgebied van een lidstaat, of die gegevensverwerking in een andere lidstaat belemmert, zoals omschreven in artikel 3, lid 5. Op basis van artikel 4 lid 1 van de verordening zijn zulke regels verboden, tenzij dit om redenen van openbare veiligheid toch noodzakelijk blijkt. Dit betekent dat overheden enkel om evenredigheidsredenen in het kader van openbare veiligheid juridische of administratieve maatregelen mogen opleggen om burgers of bedrijven te verplichten om data binnen de landsgrenzen te verwerken of op te slaan. Organisaties moeten namelijk de keuze behouden om de gegevens in elk EU-land te kunnen verwerken, waarbij de verordening keuzevrijheid waarborgt. Het verbod op gegevenslokalisatievereisten is ook van toepassing bij aanbesteden (Richtlijn 2014/24).
Gegevenslokalisatievereisten kunnen ook ervoor zorgen dat het praktisch onmogelijk is om te veranderen van cloudproviders, omdat deze in een andere lidstaat gevestigd zijn. Dit is ook wel bekend als ‘vendor lock-in’. Het verbod op gegevenslokalisatievereisten in artikel 4, lid 1 maakt het daarbij ook mogelijk en gemakkelijker om over te stappen naar een andere cloudprovider. Artikel 6 faciliteert hierbinnen nader het recht van gegevensportabiliteit,oftewel het overdragen van gegevens, door de Europese Commissie de bevoegdheid te geven gedragscodes met o.a. beste praktijken op te stellen. Artikel 20, lid 1 van de AVG waarborgt daarbij weer de gegevensportabiliteit van persoonsgebonden gegevens.
Beschikbaarheid van gegevens voor bevoegde autoriteiten
Artikel 5 van de Verordening niet-persoonsgebonden gegevens garandeert de toegang tot gegevens die zijn opgeslagen in een andere lidstaat door bevoegde autoriteiten, zoals decentrale overheden.Het artikel stelt in dit kader daarbij ook een verbod op het weigeren van toegang tot gegevens omdat deze nodig zijn voor het uitvoeren van officiele taken. Daarnaast, om het vrije verkeer van niet-persoonsgebonden gegevens verder te waarborgen, is in artikel 7 een samenwerkingsmechanisme opgenomen. Lidstaten wijzen hiervoor een centraal aanspreekpunt dat voor de uitvoering van de verordening samenwerkt met alle andere aanspreekpunten van de lidstaten. Meer informatie hierover vindt u op de pagina over de Single Digital Gateway.
AVG en niet-persoonsgebonden gegevens
In veel gevallen bestaan datasets uit persoonsgegevens en niet-persoonsgebonden gegevens. De Verordening niet-persoonsgebonden gegevens is dan van toepassing op de niet-persoonsgebonden gegevens en de AVG op persoonsgegevens. Echter, in veel gevallen zijn de gegevens onlosmakelijk van elkaar, oftewel moeilijk te onderscheiden van elkaar. Volgens artikel 2, lid 1, is in dit geval de AVG van toepassing op de gehele dataset.
Richtsnoeren
Op grond van artikel 8 van de Verordening nier-persoonsgebonden gegevens heeft de Europese Commissie Richtsnoeren over de verordening inzake een kader tot het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie. Deze richtsnoer geeft niet alleen inzicht in de verordening maar ook de wisselwerking tussen de AVG en het vrij verkeer van niet-persoonsgebonden gegevens.
Decentrale relevantie
De Verordening vrij verkeer niet-persoonsgebonden gegevens is relevant voor decentrale overheden met betrekking tot het verbod op lokalisatievereisten, in het bijzonder op het gebied van aanbestedingen van overheidsopdrachten. Omdat decentrale overheden zaken zoals ICT-systemen niet zelf produceren schakelen zijn hiervoor andere partijen in. Hierbij mogen decentrale overheden bijvoorbeeld bij het aanbesteden van ICT-systemen het bedrijf niet verplichten om gegevens alleen in Nederland te beperking of de verwerking van dergelijke gegevens in andere lidstaten te verhinderen. Het verbod op gegevens lokalisatie vereisten betekent ook dat het makkelijker is voor decentrale overheden om over te stappen naar een andere clouddienstverlener waarbij de niet-persoonsgebonden gegevens niet verwerkt of bewaard worden in Nederland. Hierdoor hebben decentrale overheden toegang tot goedkopere en mogelijk meer efficiënte clouddienstverleners.
Bovendien waarborgt de Verordening niet-persoonsgebonden gegevens toegang tot niet-persoonsgebonden gegevens die zijn opgeslagen in een andere lidstaat. Hierdoor kunnen decentrale overheden hun publieke taken onbelemmerd uitvoeren waar deze gegevens nodig zijn. Ten slotte verduidelijkt de Verordening ook het toepassingsgebied van de AVG in het geval van een dataset waarbij persoonsgegevens en niet-persoonsgebonden gegevens onlosmakelijk zijn verbonden met elkaar. In dat geval zijn de regels van de AVG van toepassing, gezien de nauwe wisselwerking tussen het AVG en de Verordening niet-persoonsgebonden gegevens.
Wij zijn erg benieuwd naar concrete voorbeelden die voorkomen in de decentrale (aanbestedings)praktijk met betrekking tot niet-persoonsgebonden gegevens. Heeft u deze en wilt u deze graag delen, dan kunt u dit via de helpdesk of info@europadecentraal.nl doen.
