'Privacytoezichthouders zijn zich bewust van de problemen, handhaving zal snel volgen'

Meer dan een jaar geleden is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Voor organisaties buiten de EER is artikel 27 AVG één van de onbekende verplichtingen uit de AVG. Artikel 27 AVG verplicht dergelijke organisaties om een vertegenwoordiger in de EER aan te wijzen. Deze verplichting stelt toezichthouders en betrokkenen in staat contact op te nemen met organisaties buiten de EER, die anders moeilijk te bereiken zouden zijn.

De Functionaris Gegevensbescherming (FG) kan op grond van de AVG niet worden onderworpen aan eventuele handhavingsprocedures. Dit geldt wel voor de vertegenwoordiger. Deze potentieel zware last heeft Jane Murphy er niet van weerhouden om de European Data Protection Office (EDPO) op te richten. Het EDPO is gevestigd in Brussel en handelt als vertegenwoordiger voor organisaties die niet zijn gevestigd binnen de EER, maar wel moeten voldoen aan de AVG.

Het Data Protection & Privacy team van CMS spreekt de komende tijd met verschillende vooraanstaande professionals die op verschillende wijzen te maken hebben gehad met de (implementatie van de) AVG. In dat kader sprak het CMS Data Protection & Privacy team met Jane Murphy, oprichter en voorzitter van het bestuur van het EDPO, over de speciale rol en risico's van vertegenwoordigers in het licht van de AVG.

Welke diensten verleent de EDPO?
"Op grond van artikel 27 AVG worden wij door de verwerker of de verwerkingsverantwoordelijke gemachtigd om door toezichthouders en betrokkenen te worden benaderd over alle met de verwerking van persoonsgegevens verband houdende aangelegenheden. Dit betekent dat wij het eerste contactpunt zijn ten behoeve van niet-Europese organisaties." Zij vervolgt: "Daarnaast ondersteunen we organisaties bij het melden van datalekken bij toezichthouders. Organisaties die buiten de EER zijn gevestigd kunnen namelijk niet profiteren van het one-stop-shop-beginsel uit de AVG. Dit betekent dat dergelijke organisaties een datalek mogelijk binnen 72 uur aan alle toezichthouders afzonderlijk moeten melden. De procedures voor het melden van datalekken zijn niet geharmoniseerd en veel toezichthouders accepteren alleen meldingsformulieren in de nationale taal."

Murphy benadrukt dat de EDPO geen algemeen advies geeft over de implementatie van de AVG. "Wij adviseren organisaties bijvoorbeeld niet in welke gevallen zij verplicht zijn een toezichthouder in te lichten over een datalek. Dat is de taak van een FG of van externe advocaten."

Kunt u ons meer vertellen over het verschil tussen een vertegenwoordiger en een FG?
"Veel organisaties buiten de EER denken dat ze geen vertegenwoordiger hoeven aan te stellen omdat ze al een FG in dienst hebben. De positie van een vertegenwoordiger is echter heel anders dan de positie van een FG. De FG adviseert een organisatie met betrekking tot haar AVG-verplichtingen. Een FG handelt onafhankelijk van de organisatie en kan niet persoonlijk worden onderworpen aan handhavingsprocedures. Wij kunnen als vertegenwoordiger alleen handelen op basis van de instructies van onze cliënt. Dit betekent dat wij niet onafhankelijk kunnen opereren. Bovendien kunnen wij wel gezamenlijk met onze cliënten worden onderworpen aan handhavingsprocedures in het geval van geschonden AVG-verplichtingen. Zelfs wanneer we zelf hebben gehandeld binnen de reikwijdte van het aan ons toegekende mandaat en zelf geen verplichtingen hebben geschonden."

Wat moet een vertegenwoordiger doen als de instructies die voortvloeien uit het mandaat van uw cliënt conflicteren met de AVG?
"We zijn dergelijke tegenstrijdigheden nog niet tegengekomen, maar dit zou in de toekomst zeker kunnen gebeuren, vooral met betrekking tot het verwerkingsregister. Op grond van artikel 30 van de AVG is een vertegenwoordiger verplicht om een register van de verwerkingsactiviteiten van de verwerker of de verwerkingsverantwoordelijke bij te houden. Een toezichthouder zou ons kunnen verplichten dergelijke gegevens te verstrekken, maar het mandaat kan ons verbieden om dit te doen. We hopen dat er meer begeleiding van toezichthouders en de European Data Protection Board (EDPB) komt op dit gebied."

Wat kunnen de gevolgen voor een vertegenwoordiger zijn wanneer hij besluit dergelijke instructies besluit te volgen?
"Dat is één van de grijze gebieden in de AVG", zegt Murphy.

''We hopen dat we niet in de positie komen waarin we moeten kiezen tussen het volgen van de instructies van de cliënt en het voldoen aan de AVG.''

Jane Murphy

"Het is niet duidelijk wat er in een dergelijke situatie van een vertegenwoordiger wordt verwacht. Ook is het niet duidelijk in hoeverre een vertegenwoordiger in een dergelijke situatie kan worden onderworpen aan handhavingsprocedures. Dit zal zo spoedig mogelijk verduidelijkt moeten worden."

Weten organisaties eigenlijk wel wanneer zij een vertegenwoordiger moeten aanstellen?
"De mate van bewustzijn hierover is extreem laag. Veel richtlijnen zoals ''Tien stappen om de AVG te implementeren'' zijn geschreven voor organisaties vanuit Europees perspectief waardoor de meeste van deze stappenplannen de verplichting om een vertegenwoordiger aan te stellen niet benoemen. Organisaties die deze richtlijnen volgen, hebben daarom onterecht het idee dat zij AVG-proof zijn zonder een vertegenwoordiger aangesteld te hebben. Andere organisaties geloven dat zij enkel om AVG-proof te zijn een vertegenwoordiger dienen aan te stellen en dat zij andere AVG-verplichtingen niet na hoeven te komen. Om bewustzijn op dit vlak te vergroten, nemen wij deel aan verschillende conferenties en zijn we erg actief op de sociale media."

Welk uiting van een toezichthouder vond u het meest opvallend het afgelopen jaar?
"Ik denk dat de richtlijnen die de EDPB heeft gepubliceerd over de territoriale reikwijdte van de AVG een grote impact hadden. Deze richtlijnen bevestigen dat de rol van de FG niet verenigbaar is met de rol van een vertegenwoordiger. Dit betekent dat organisaties die buiten de EER zijn gevestigd risico lopen indien zij eenzelfde persoon aanstellen die zowel de functie van FG vervult als de functie van vertegenwoordiger."

Verwacht u dat de toezichthouders binnenkort gaan handhaven ten aanzien van artikel 27 AVG?
"Ik ben op meerdere conferenties geweest waar leden van de toezichthouders aanwezig waren. Op basis van de gesprekken die daar hebben plaatsgevonden, denk ik dat handhaving zeker spoedig zal volgen. We hebben het afgelopen jaar een toename van handhaving gezien.

''Ik denk dat het opleggen van sancties aan organisaties die zijn gevestigd buiten de EER en die onterecht niet aan Artikel 27 AVG de voldoende volgende stap zal zijn.''

Jane Murphy

Ervaart u veel verschillen tussen (de standpunten van) de toezichthouders?
"Aan de ene kant zie ik een hoge mate van samenwerking tussen de verschillende toezichthouders, bijvoorbeeld in de context van de EDPB. Aan de andere kant zie ik veel onzekerheid als gevolg van de beslissingen van toezichthouders in bepaalde zaken. De boete die door de Franse autoriteiten werd opgelegd aan Google riep bijvoorbeeld vragen op of en wanneer het one-stop-shop-beginsel moet worden toegepast."

Murphy vertelt dat zij ook verschil merkt in aanpak tussen de verschillende autoriteiten met betrekking tot het melden van datalekken. "Sommige autoriteiten houden bijvoorbeeld geen rekening met organisaties buiten de EER. Naast het feit dat niet alle toezichthouders een Engelse versie van het meldingsformulier beschikbaar stellen, zijn er ook toezichthouders die verplichten een Kvk-nummer in te vullen. Aangezien organisaties buiten de EER geen lokaal KvK-nummer hebben, kunnen ze zelfs geen toegang krijgen tot de meldingsplatformen voor datalekken op websites van de nationale toezichthouders."

Zij voegt daaraan toe: "Daarnaast hebben we ervaren dat sommige toezichthouders helemaal niet reageren op meldingen, waar andere toezichthouders zoals de Engelse toezichthouder (Information Commissioner's Office) zeer gedetailleerd reageren."

Met het oog op de Brexit: Worden jullie al benaderd door Britse organisaties?
"Ja, we hebben een aantal verzoeken van zowel verwerkers als verwerkingsverantwoordelijken uit het Verenigd Koninkrijk binnengekregen. Omdat deze organisaties zullen worden gezien als verwerkers en verwerkingsverantwoordelijken uit landen buiten de EER, zijn deze organisaties verplicht om binnen de EER een vertegenwoordiger aan te stellen. De meeste organisaties realiseren zich niet dat dit waarschijnlijk tweeledig is: EER-gevestigde organisaties zijn waarschijnlijk ook verplicht om een vertegenwoordiger aan te stellen in het Verenigd Koninkrijk. Hoewel de mate van bewustzijn op dit punt laag is, hebben we wel al de nodige verzoeken gekregen, vooral van advocatenkantoren."

Welke andere ontwikkelingen verwacht u in het komende jaar?
"Artificial Intelligence (AI) zal een 'hot topic' zijn. AI zal een groot effect hebben op organisaties en hun AVG-implementatie. De toezichthouders zullen ook een belangrijke rol spelen in de perceptie van gegevensbeschermingsregels in het licht van nieuwe technologieën."

Tot slot, wat zou u willen meegeven aan organisaties die persoonsgegevens verwerken?
"Focus niet op de mogelijke negatieve gevolgen van de AVG voor uw bedrijfsactiviteiten. De AVG beschermt onze privacy en mag niet worden gezien als een belemmering voor internationale handel."

Volgende interview in de Newsflash Data Protection & Privacy: een interview met Marc van Zanten en Marlous de Groot, curatoren van het Slotervaartziekenhuis, over de AVG-vraagstukken in het kader van een faillissement.