Commissie publiceert richtsnoeren over vrij verkeer van niet-persoonsgebonden gegevens – vragen en antwoorden

• - 

  Wat is het doel van deze richtsnoeren?

Met deze richtsnoeren wordt voldaan aan de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens (VVG), waarin is bepaald dat de Commissie richtsnoeren moet publiceren over de wisselwerking tussen deze verordening en de algemene verordening gegevensbescherming (GDPR) wat betreft gegevenssets die bestaan uit zowel persoonsgegevens als niet-persoonsgebonden gegevens. De richtsnoeren zijn bedoeld om gebruikers — met name uit het mkb — inzicht te geven in de wisselwerking tussen de twee verordeningen.

In overeenstemming met de bestaande documenten over de GDPR, die zijn opgesteld door het Europees Comité voor gegevensbescherming, zijn deze richtsnoeren bedoeld om duidelijk te maken welke regels van toepassing zijn wanneer er persoonsgegevens en niet-persoonsgebonden gegevens worden verwerkt. Er wordt een nuttig overzicht gegeven van de centrale concepten betreffende het vrije verkeer van persoonsgegevens en niet-persoonsgebonden gegevens binnen de EU, waarbij wordt uitgelegd welk verband er in de praktijk is tussen beide verordeningen en concrete voorbeelden worden gegeven.

• - 

  Op wie zijn de richtsnoeren gericht?

De richtsnoeren zijn van bijzonder belang voor particuliere ondernemingen, met name kleine en middelgrote ondernemingen, en organisaties en andere entiteiten die gegevens verwerken in het kader van hun beroepsactiviteiten. Dit omvat het produceren, verzamelen, opslaan, doorgeven of anderszins verwerken van zowel persoonsgegevens als niet-persoonsgebonden gegevens. Zelfs bedrijven die slechts niet-persoonsgebonden gegevens verwerken, kunnen de richtsnoeren nuttig vinden, aangezien deze betrekking hebben op situaties waarin die gegevens aan gegevenslokalisatievereisten kunnen worden onderworpen of, onder bepaalde voorwaarden, aan de regels inzake gegevensbescherming.

De richtsnoeren bieden tevens garanties dat het recht van de burgers op bescherming van hun persoonsgegevens altijd wordt nageleefd, ook als hun gegevens worden samengevoegd met andere soorten gegevens, of dat hun gegevens naar behoren worden geanonimiseerd.

De richtsnoeren hebben ook een informatieve waarde voor overheidsinstanties, die regelmatig gegevens verwerken en rechtstreeks betrokken zijn bij de vaststelling van wettelijke en bestuursrechtelijke voorschriften voor de verwerking van gegevens.

• - 

  Welke onderwerpen komen in de richtsnoeren aan bod?

In de richtsnoeren wordt niet alleen het toepassingsgebied van de VVG en de GDPR toegelicht, maar wordt ook aangegeven wat de wisselwerking tussen de twee reeksen EU-regels is. De wisselwerking tussen de twee verordeningen met betrekking tot het vrije verkeer van gegevens wordt toegelicht. Tevens wordt ingegaan op de begrippen niet-persoonsgebonden gegevens en persoonsgegevens, en wordt uitgelegd welke regels in acht moeten worden genomen bij de verwerking van gemengde gegevenssets, d.w.z. gegevenssets die zowel persoonsgegevens als niet-persoonsgebonden gegevens bevatten. Ook wordt een toelichting gegeven over het begrip "gegevensportabiliteit" en de manier waarop het in de GDPR en de VVG wordt gebruikt. Bedrijven krijgen een overzicht over de gedragscodes voor gegevensportabiliteit en het overstappen op andere aanbieders van gegevensverwerkingsdiensten. Tevens wordt de rol omschreven die zelfreguleringsinstrumenten, zoals gedragscodes en certificeringsmechanismen, spelen bij het aantonen van de naleving van de regels inzake gegevensbescherming. Om een beeld te geven van de wijze waarop de twee verordeningen bijdragen aan het vrije verkeer van gegevens binnen de EU, wordt in de richtsnoeren een toelichting gegeven over de concepten van gegevenslokalisatievereisten in het kader van de VVG en het beginsel van vrij verkeer in het kader van de GDPR.

• - 

  Wat zijn niet-persoonsgebonden gegevens?

Niet-persoonsgebonden gegevens zijn te onderscheiden van persoonsgegevens, zoals vastgelegd in de GDPR. Niet-persoonsgebonden gegevens kunnen aan de hand van hun oorsprong als volgt worden ingedeeld:

• - 

  gegevens die oorspronkelijk geen betrekking hadden op een geïdentificeerde of identificeerbare natuurlijke persoon, zoals gegevens over weersomstandigheden die zijn verkregen door op windturbines geïnstalleerde sensoren of gegevens over de onderhoudsbehoeften van industriële machines; of
• - 

  gegevens die in eerste instantie persoonlijke gegevens waren, maar daarna anoniem zijn gemaakt.

De richtsnoeren bevatten meer voorbeelden van niet-persoonsgebonden gegevens, maar daarnaast wordt uitleg verstrekt over (geanonimiseerde en gepseudonimiseerde) persoonsgegevens, om meer inzicht te geven in de grenzen tussen persoonsgegevens en niet-persoonsgebonden gegevens.

• - 

  Wat zijn gemengde gegevenssets?

In de praktijk is het zeer waarschijnlijk dat een gegevensset in de meeste gevallen zowel persoonsgegevens als niet-persoonsgebonden gegevens bevat. Dit wordt vaak een "gemengde gegevensset" genoemd. Het merendeel van de in de data-economie gebruikte gegevenssets is gemengd. Dergelijke sets worden vaak verzameld vanwege technologische ontwikkelingen zoals het internet der dingen (d.w.z. voorwerpen digitaal met elkaar verbinden), kunstmatige intelligentie en technologieën die de analyse van big data mogelijk maken.

Een gemengde gegevensset bestaat bijvoorbeeld uit de fiscale gegevens van een onderneming, met vermelding van de naam en het telefoonnummer van de algemeen directeur van de onderneming. Andere voorbeelden zijn gegevens die een bedrijf heeft over IT-problemen en oplossingen daarvoor op basis van individuele meldingen van IT-incidenten, of geanonimiseerde statistische gegevens van een onderzoeksinstelling en de aanvankelijk verzamelde onbewerkte gegevens, zoals de antwoorden van individuele respondenten op vragen in statistische enquêtes.

• - 

  Moeten persoonsgegevens en niet-persoonsgebonden gegevens afzonderlijk worden verwerkt?

Nee. Noch in de VVG, noch in de GDPR is bepaald dat gemengde gegevenssets moeten worden opgesplitst of dat persoonsgegevens en niet-persoonsgebonden gegevens afzonderlijk moeten worden verwerkt. In de meeste gevallen zou dit bezwaarlijk en onpraktisch zijn, en eventueel zelfs onmogelijk. De richtsnoeren geven uitleg over de toepasselijke regels in overeenstemming met de VVG (artikel 2, lid 2). In het geval van gemengde gegevenssets:

• - 

  is de VVG van toepassing op het deel niet-persoonsgebonden van de gegevensset;
• - 

  is de bepaling in de GDPR over vrij verkeer van toepassing op het deel persoonsgegevens van de gegevensset.

Indien het deel niet-persoonsgebonden gegevens en het deel persoonsgegevens "onlosmakelijk met elkaar verbonden" zijn, zijn de uit de GDPR voortvloeiende rechten en verplichtingen inzake gegevensbescherming volledig van toepassing op de volledige gemengde gegevensset, ook wanneer persoonsgegevens slechts een klein deel van de gegevensset uitmaken.

De richtsnoeren geven ook uitleg over het begrip "onlosmakelijk verbonden" alsmede praktische voorbeelden van de toepassing van de bovengenoemde regels.

• - 

  Is er een conflict tussen de twee verordeningen?

De GDPR en de VVG bevatten geen tegenstrijdige verplichtingen. Enerzijds zorgt de GDPR voor een hoog niveau van gegevensbeschermingsregels en het vrije verkeer van persoonsgegevens, anderzijds zorgt de VVG voor het vrije verkeer van niet-persoonsgebonden gegevens. Samen voorzien de twee verordeningen in het vrije verkeer van "alle" gegevens binnen de EU.

Bovendien bevat de VVG geen verplichtingen voor ondernemingen en zijn de praktische aspecten van de verwerking van niet-persoonsgebonden gegevens een kwestie van keuze voor de specifieke onderneming. De VVG bevat geen beperking van de contractuele vrijheid van bedrijven en geeft hen de mogelijkheid de locatie voor de verwerking van hun gegevens te kiezen.

• - 

  Waarom wordt in de richtsnoeren ook ingegaan op zelfreguleringswerkzaamheden?

De VVG heeft tot doel het vrije verkeer van niet-persoonsgebonden gegevens binnen de EU mogelijk te maken. Verschillende groepen van belanghebbenden stellen gedragscodes op voor gegevensportabiliteit en het veranderen van dienstverlener in B2B-relaties, evenals gedragscodes inzake gegevensbescherming in het kader van de GDPR. Er wordt ook gewerkt aan de cyberbeveiligingscertificering van clouddiensten. Zelfregulering geeft marktdeelnemers dus de mogelijkheid om innovatiever te worden en het vertrouwen in hun activiteiten te vergroten. Daarnaast kan hiermee beter worden ingespeeld op marktontwikkelingen.

Meer informatie

Persbericht - Digitale eengemaakte markt: Commissie publiceert richtsnoeren over vrij verkeer van niet-persoonsgebonden gegevens

Richtsnoeren voor de verordening inzake het vrije verkeer van niet-persoonsgebonden gegevens

Een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de EU - vragen en antwoorden

Algemene verordening gegevensbescherming nu één jaar van kracht

Cloud stakeholder working groups on cloud switching and cloud security certification

Praktische informatie over het vrije verkeer van gegevens op het portaal "Uw Europa"

MEMO/19/2750