Vrij verkeer niet-persoonsgebonden gegevens

De Verordening betreffende vrij verkeer van niet-persoonsgebonden zorgt ervoor dat deze gegevens (niet-persoonsgegevens) vrijelijk tussen de lidstaten kunnen stromen. Sinds 28 mei 2019 is deze verordening in werking en verwijdert deze de obstakels voor het vrij verkeer van niet-persoonsgegevens tussen de lidstaten. Dit draagt bij aan de totstandkoming van de digitale interne markt, een van de 10 prioriteiten van de Commissie Juncker.

Wat zijn niet-persoonsgebonden gegevens?

Niet-persoonsgebonden gegevens zijn in principe alle gegevens die geen persoonsgegevens zijn – in de zin van de AVG. Dit kan dus heel breed zijn. Dit betekent dat wanneer het géén ‘informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’ (Artikel 4, lid 1 AVG) betreft, de verwerking moet voldoen aan de Verordening 2018/1807.

Bepalingen verordening

De Verordening betreffende vrij verkeer van niet-persoonsgebonden gegevens ziet erop toe dat gegevenslokalisatievereisten verboden zijn, tenzij dit om redenen van openbare veiligheid toch noodzakelijk blijkt. Dit betekent dat overheden in principe geen (wettelijke) bepaling mogen opnemen, ook op het gebied van overheidsopdrachten en aanbestedingen, om gegevens binnen de grenzen van een bepaalde lidstaat te laten verwerken. De Commissie zal daarnaast zelfregulerende gedragscodes opstellen om het vrij verkeer van gegevens te  bevorderen en faciliteren.

Elke lidstaat zal bovendien een centraal aanspreekpunt aanstellen dat voor de uitvoering van de Verordening samenwerkt met alle andere aanspreekpunten van de lidstaten.

Belangrijk om op te merken is dat het verbieden van gegevenslokalisatievereisten niet betekent dat een decentrale overheid er niet voor mag kiezen om gegevens bijvoorbeeld binnen Nederland op te slaan (overweging 4). Dit mag alleen niet wettelijk of bestuursrechtelijk verplicht worden gesteld, of als voorwaarde worden opgenomen in een aanbesteding. Organisaties moeten de keuze behouden om de gegevens in alle EU-landen te kunnen verwerken. Deze verordening heeft louter tot doel deze keuzevrijheid te waarborgen door ervoor te zorgen dat een overeengekomen locatie zich eender waar in de Unie kan bevinden.

AVG & niet-persoonsgebonden gegevens

In veel gevallen bestaan gegevenssets uit persoonsgegevens en niet-persoonsgebonden gegevens. In dit geval is de Verordening niet-persoonsgebonden gegevens van toepassing op het deel niet-persoonsgebonden gegevens en is de AVG van toepassing op het deel persoonsgegevens. Wanneer deze delen ‘onlosmakelijk’ met elkaar verbonden zijn, is de AVG van toepassing op de gehele dataset. Zelfs wanneer de persoonsgegevens maar een klein deel beslaan van de gegevensset is de AVG op de gehele set van toepassing. Voor meer informatie kunt u terecht bij de richtsnoeren die de Commissie hiervoor heeft gepubliceerd.

Decentrale relevantie

In principe mogen er in de toekomst dus geen belemmeringen meer bestaan voor het opslaan en verwerken van gegevens in andere EU-lidstaten. De enige uitzondering waarbij dit verbod niet geldt is wanneer de openbare veiligheid in het geding is. Bij een dergelijke uitzondering moet wel het evenredigheidsbeginsel in acht worden genomen. De lokalisatievereisten moeten dan geschikt zijn en niet verder gaan dan nodig om het nagestreefde doel van openbare veiligheid te bereiken. Wanneer een lidstaat besluit toch een gegevenslokalisatievereiste in te voeren of een bestaand gegevenslokalisatievereiste wijzigt, moet dit bij de Commissie worden aangegeven. Deze ontwerphandelingen worden dan eerst door de Commissie beoordeeld.


X