BLOG: Dit betekent de nieuwe koers van de EDPB voor dataprotectie in jouw organisatie

De European Data Protection Board (EDPB) heeft de strategie voor de periode 2024 tot 2027 bekendgemaakt.
Faye Horvest, adviseur bij L2P, zet de nieuwe prioriteiten van de koepelorganisatie van Europese privacytoezichthouders op een rij. Wat zijn de mogelijke gevolgen voor jouw organisatie?

Het werk van de European Data Protection Board (EDPB) schetst belangrijke kaders voor organisaties die moeten voldoen aan Europese richtlijnen zoals de Algemene Verordening Gegevensbescherming (AVG). Als de overkoepelende organisatie van de nationale privacytoezichthouders in de Europese Unie maakt de EDPB zich sterk voor een consistente toepassing en handhaving van onder andere de AVG. De EDPB ontwikkelt richtlijnen die een uitleg geven van artikelen, beginselen en begrippen van de AVG. Daarnaast geeft de EDPB adviezen over nationale wet- en regelgeving die te maken heeft met privacy en dataprotectie. Ook neemt de organisatie bindende besluiten over onder andere internationale aangelegenheden, zoals de procedures tegen TikTok en Meta. De visie en standpunten van de EDPB zijn dan ook medebepalend voor de manieren waarop organisaties in Nederland de bescherming van persoonsgegevens moeten regelen.

Waarom vaart de EDPB een nieuwe koers?

In april 2024 maakte de EDPB een nieuwe strategie voor de periode 2024 tot 2027 bekend. Het vertrekpunt daarvoor is de missie van de EDPB: de consequente toepassing van de AVG (en de daaraan gerelateerde Europese regels) in de Europese lidstaten en de effectieve samenwerking tussen de nationale privacytoezichthouders. De EDPB blijft zich ook de komende periode bezighouden met de ontwikkeling van richtlijnen, begeleiding en adviezen die bijdragen aan deze doelstellingen.

De EDPB constateert echter dat betrokkenen steeds beter op de hoogte zijn van hun privacyrechten en dat verwerkers en verwerkingsverantwoordelijken zich steeds meer bewust zijn van hun AVG-verplichtingen. Daarom richt de organisatie zich de komende jaren op vier nieuwe pijlers.

Wat zijn de prioriteiten van de nieuwe EDPB-strategie?

In een vijf pagina's tellend document geeft de EDPB een overzicht van de vier pijlers van de strategie voor de periode van 2024 tot 2027. Voor elke pijler zijn drie actiepunten benoemd. De highlights:

Pijler 1: de bevordering van harmonisatie en naleving

De richtlijnen van de EDPB helpen organisaties om de AVG toe te passen. De EDPB richt zich nu met nieuwe tools en publicaties ook op een breder publiek, waaronder kleine en middelgrote bedrijven. Het is de bedoeling dat factsheets en andere informatieve documenten minder technisch en juridisch zijn georiënteerd - en daardoor niet alleen begrijpelijk zijn voor experts.

Pijler 2: de versterking van samenwerking en handhaving

De EDPB bepleit al sinds 2022 een aanvulling op de AVG, die ervoor zorgt dat de toezichthouders in alle lidstaten vergelijkbare procedures en regels voor handhaving hanteren. De komende jaren maakt de EDPB een plan voor de praktische implementatie van het voorstel. Daarnaast is de verdere verbetering van de samenwerking en informatie-uitwisseling tussen de leden van de EDPB een prioriteit. De bedoeling is dat de onderzoeken en handhavingsacties van de nationale toezichthouders daarmee consistenter en robuuster worden.

Pijler 3: de bescherming van persoonsgegevens in een veranderende digitale wereld

De EDPB ziet dat technologische ontwikkelingen en de komst van nieuwe wet- en regelgeving over onder meer digitalisering en AI (zoals de Europese AI Act) vragen oproepen over de betekenis en de waarde van gegevensbescherming. De EDPB deelt zich de komende jaren inzichten die de verhouding verduidelijken tussen de AVG en de nieuwe Europese verordeningen en richtlijnen (die bijvoorbeeld worden uitgewerkt naar aanleiding van de European Data Strategy en de Digital Services Package). Daarnaast vraagt de EDPB aandacht voor een mensgerichte benadering van nieuwe technologie.

Pijler 4: de ondersteuning van de wereldwijde dialoog over dataprotectie

De EDPB zet de komende jaren nieuwe stappen in de wereldwijde dialoog over privacy, uitgaande van de noodzaak om de rechten van betrokkenen effectief te beschermen in het licht van internationale datastromen. De EDPB agendeert daarvoor thema's zoals de doorgifte van persoonsgegevens en de opkomst van nieuwe technologie. Daarnaast ontwikkelt de EDPB extra handreikingen over onder meer certificering, gedragscodes en binding corporate rules.

Een nieuwe strategie, en wat nu?

“The new strategy takes the existing vision in a new direction in order to respond to the data protection needs of today, and the ever evolving digital landscape", stelde EDPB-voorzitter Anu Thalus in de presentatie van de vier strategische pijlers. Thalus kondigde ook twee EDPB-werkprogramma's aan, die de implementatie van de strategische prioriteiten in meer detail uitwerken.

De concrete gevolgen van de vernieuwde EDPB-strategie voor Nederlandse organisaties zijn momenteel lastig in te schatten. De harmonisatie van de regels en procedures van de nationale privacytoezichthouders zou kunnen leiden tot een verduidelijking of zelfs een aanpassing van de uitleg van AVG-bepalingen. Vanuit de dialoog met toezichthouders buiten de Europese Unie zou de EDPB een nieuwe invulling kunnen geven aan de vereisten rond internationale doorgiften.

Het is in ieder geval duidelijk dat de omgang met de risico's van technologische ontwikkelingen (zoals AI) hoog op de agenda staat. Een risicogerichte aanpak van AVG-compliance is dan ook zeker een no regret maatregel - voor de toezichthouders én de organisaties die dergelijke innovaties (gaan) toepassen.