Het kan een uitdaging zijn om de complexe regelgeving op het gebied van gegevensbescherming te doorgronden, vooral voor organisaties en bedrijven die internationaal werken.
De Algemene Verordening Gegevensbescherming (AVG) bepaalt dat organisaties die buiten de EU gevestigd zijn en geen vestiging in de regio hebben, een vertegenwoordiger moeten aanwijzen als ze persoonsgegevens van inwoners van de EU verwerken.
Dit is een vereiste voor zowel verwerkingsverantwoordelijken als verwerkers.
Een verwerkingsverantwoordelijke wordt gedefinieerd als een persoon of organisatie die de middelen en het doel van de verwerking van persoonsgegevens bepaalt. Een verwerker is een persoon of organisatie die uitsluitend in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
In deze blog helpen we u begrijpen of uw organisatie een AVG-vertegenwoordiger nodig heeft. Of u nu een verwerkingsverantwoordelijke of verwerker bent, wij beantwoorden enkele van de belangrijkste vragen die vaak worden gesteld door bedrijven uit allerlei sectoren en van alle groottes.
Vraag 1: Wat is een AVG-vertegenwoordiger?
Een AVG-vertegenwoordiger is een persoon of organisatie die is aangesteld om een verwerkingsverantwoordelijke of verwerker te vertegenwoordigen die persoonsgegevens van inwoners van de EU verwerkt en buiten dat grondgebied is gevestigd.
Vertegenwoordigers fungeren als contactpunt voor in de EU gevestigde personen die hun rechten als betrokkene willen uitoefenen en voor regelgevende instanties die vragen hebben over de gegevensverwerkingsactiviteiten.
Voorbeeld: Als een persoon die in de EU woont, wil weten welke persoonlijke gegevens een bedrijf in de VS over hem of haar heeft opgeslagen (een recht dat bekend staat als een Data Subject Access Request of DSAR), kan hij of zij contact opnemen met de AVG-vertegenwoordiger van het bedrijf voor de EU.
De vertegenwoordiger zal dit verzoek in behandeling nemen en ervoor zorgen dat de persoon de informatie ontvangt waar hij of zij recht op heeft volgens de wetgeving inzake gegevensbescherming.
Vraag 2: Worden ons type verwerking en onze hoeveelheid gegevens als incidenteel beschouwd? Zo ja, hebben we dan een AVG-vertegenwoordiger nodig?
Het verschilt per individuele situatie en is bijvoorbeeld afhankelijk van de vraag of het type verwerking en de hoeveelheid gegevens als ‘incidenteel’ worden beschouwd en of een organisatie goederen of diensten aanbiedt aan inwoners van de EU.
Over het algemeen hoeft u geen AVG-vertegenwoordiger aan te stellen als de gegevensverwerking incidenteel is, weinig risico inhoudt voor de rechten op het gebied van gegevensbescherming van individuen en niet gepaard gaat met grootschalig gebruik van gegevens van bijzondere categorieën of strafbare feiten.
Voorbeeld 1: Een bedrijf voor medische hulpmiddelen in de VS verkoopt goederen aan klanten in de VS. Het bedrijf heeft momenteel geen marketingactiviteiten binnen de EU-markten. Ze hebben echter één EU-klant binnengehaald. De verwerking van persoonsgegevens voor deze ene klant zal als incidenteel worden beschouwd, omdat het eenmalig is en niet op regelmatige basis zal plaatsvinden, of slechts op beperkte schaal. In deze situatie heeft het bedrijf geen AVG-vertegenwoordiger voor de EU nodig.
Het is belangrijk op te merken dat zelfs incidentele verwerking van persoonlijke gegevens uit de EU nog steeds moet voldoen aan de AVG. Dit houdt in dat er een wettelijke basis moet zijn voor de verwerking van persoonlijke gegevens en dat er passende maatregelen worden genomen voor de beveiliging van de gegevens.
Vraag 3: Hebben we nog een AVG-vertegenwoordiger nodig als we onze gegevens pseudonimiseren?
Pseudonimisering is een nuttige beveiligingstechniek om het identificeren van personen te bemoeilijken.
Gepseudonimiseerde gegevens, soms ook wel gecodeerde gegevens genoemd, zijn persoonsgegevens die gewijzigd zijn om te voorkomen dat iemand eenvoudig geïdentificeerd kan worden zonder bijkomende informatie. Namen kunnen bijvoorbeeld vervangen zijn door een alias, adressen door regio’s, geboortedata door leeftijdscategorieën, enz. Deze wijzigingen dienen echter niet allemaal uitgevoerd te zijn om gegevens als gepseudonimiseerd te kunnen beschouwen. Dit zal van de specifieke database afhangen. Alle gegevens die betrekking kunnen hebben op een bepaalde persoon moeten, indien noodzakelijk, gewijzigd worden.
Bijvoorbeeld: Een life-sciences organisatie in de VS is sponsor van een klinische studie in de EU. De gegevens van de deelnemers aan het onderzoek worden om veiligheidsredenen gepseudonimiseerd. Omdat er persoonsgegevens van EU-inwoners verwerkt worden, moet de sponsor de AVG naleven. Binnen de AVG verandert pseudonimisering niets aan de status van persoonsgegevens, omdat deze ‘onrechtstreeks identificeerbaar’ blijven.
Aangezien het onderzoek specifiek ontworpen is voor gegevens van deelnemers uit de EU en de gegevens verwerkt zullen worden buiten de EU, moet de organisatie een EU AVG-Vertegenwoordiger aanstellen, tenzij ze beschikt over een geschikte vestiging in de EU. Zelfs als de organisatie beschikt over een Functionaris Gegevensbescherming (FG), heeft ze nog steeds een AVG-Vertegenwoordiger nodig, aangezien de rollen verschillende functies omvatten (zoals hierna uitgelegd in vraag 7).
Vraag 4: Onze organisatie verwerkt persoonsgegevens uit zowel de EU als het VK. Hebben we zowel een AVG-Vertegenwoordiger nodig voor zowel de EU als het VK?
Als uw organisatie persoonsgegevens uit zowel de EU als het VK verwerkt en geen filiaal, kantoor of andere vestiging heeft in een regio binnen de EU, EER of het VK, dan kan het zijn dat u zowel een EU als een VK AVG-Vertegenwoordiger moet aanstellen.
Bijvoorbeeld: Een lead-generatiebedrijf in Singapore richt zich met een aantal digitale marketingcampagnes op inwoners van de EU én van het VK. Ze verzamelen, gebruiken en verwerken verschillende soorten persoonsgegevens, met inbegrip van namen, e-mails, telefoonnummers en adressen.
Omdat het bedrijf noch in de EU, noch in het VK over een geschikte vestiging beschikt die voldoet aan de AVG, moet het zowel een EU als een VK AVG-Vertegenwoordiger aanstellen als aanspreekpunt.
Het is belangrijk om op te merken dat het VK zich volledig heeft afgescheiden van de EU en dus beschouwd wordt als een ander rechtsgebied voor gegevensverwerking.
Organisaties uit het VK zonder kantoor of filiaal in de EU dat de persoonsgegevens van inwoners van de EU verwerkt, zullen een EU AVG-Vertegenwoordiger moeten aanstellen.
Evenzo moeten organisaties uit de EU die geen kantoor of filiaal in het VK hebben en persoonsgegevens van inwoners van het VK verwerken een VK AVG-Vertegenwoordiger aanstellen.
Vraag 5: Ons bedrijf is een klein familiebedrijf. Hoe komen we erachter of we een AVG-Vertegenwoordiger nodig hebben?
De belangrijkste factor om te bepalen of een AVG-Vertegenwoordiger vereist is, is of het bedrijf persoonsgegevens verwerkt van inwoners van de EU of het VK en of het buiten deze gebieden gevestigd is.
Andere factoren omvatten het type van verwerking, het volume van de gegevens en of dit beschouwd wordt als grootschalig. De grootte van het bedrijf is niet het belangrijkste, maar het volume en het type gegevensverwerking zijn dat wel.
Er is geen specifiek gegevensvolume dat de noodzaak van een AVG-vertegenwoordiger bepaalt. Het gaat eerder om het volume ten opzichte van de normale verwerkingshoeveelheid. Dit kan variëren, afhankelijk van de industriesector.
Bijvoorbeeld: Een klein technologiebedrijf in China verkoopt verschillende apps aan hun belangrijkste klantenbestand in het VK. Ze willen de Europese markt betreden en hebben verschillende online marketingcampagnes om meer klanten aan te trekken. Het bedrijf verwerkt namen, adressen en betalingsgegevens. Omdat dit een trainingsapp is, verzamelt de app ook gezondheidsinformatie en slaat deze op.
Het bedrijf heeft geen kantoor of filiaal in de EU of het VK, maar ze hebben op dit ogenblik een VK AVG-Vertegenwoordiger. Ze zullen nu ook een EU AVG-Vertegenwoordiger moeten aanstellen als aanspreekpunt voor EU-autoriteiten en klanten.
Overwegingen met betrekkingen tot bijzondere gegevenscategorieën:
Bijzondere gegevenscategorieën verwijzen naar een bepaald type persoonsgegevens dat als gevoeliger beschouwd wordt en een hoger beveiligingsniveau vereist.
Het is belangrijk om op te merken dat het, wanneer het gaat om het verwerken van gegevens uit bijzondere gegevenscategorieën, zoals medische dossiers of informatie over klinische studies, vaak noodzakelijk is om een AVG-Vertegenwoordiger aan te stellen. Dit komt gewoonlijk omdat bij de verwerking grote hoeveelheden gevoelige informatie betrokken zijn.
Volgens Artikel 27 (2)(a) van de AVG, is het bedrijf echter niet verplicht om een AVG-vertegenwoordiger aan te stellen als een niet-EU/VK bedrijf niet vaak persoonsgegevens van EU/VK-inwoners verwerkt, deze verwerking geen grote volumes gevoelige gegevens omvat en het weinig waarschijnlijk is dat dit een risico inhoudt voor de rechten en vrijheden van personen. Deze bepaling is belangrijk voor kleinere of minder gegevensintensieve niet-EU/VK organisaties, omdat dit hun lasten met betrekking tot de naleving van de AVG beperkt.
Vraag 6: Wij huren een extern bedrijf in om sommige van onze activiteiten voor gegevensverwerking die betrekking hebben op EU-inwoners af te handelen. Moeten we allebei een EU AVG-Vertegenwoordiger aanstellen?
Verwerkingsverantwoordelijken en verwerkers moeten een AVG-Vertegenwoordiger aanstellen als ze buiten deze regio’s gelokaliseerd zijn en persoonsgegevens van inwoners van de EU of het VK verwerken.
Als zowel de verwerkingsverantwoordelijke als de verwerker zich buiten de EU of het VK bevinden, moeten ze allebei een passende AVG-Vertegenwoordiger aanstellen.
Bijvoorbeeld: Een technologiebedrijf in de VS verzorgt de gegevensanalyse van een ander technologiebedrijf in de VS, dat marketingdiensten verkoopt aan een verzekeringsbedrijf in Nederland.
Beide technologiebedrijven verwerken gegevens van inwoners van de EU. Daarom moeten beide bedrijven, volgens de AVG, een EU AVG-Vertegenwoordiger aanstellen. Aangezien het verzekeringsbedrijf in de EU gevestigd is, hoeven zij er geen aan te stellen.
Het is belangrijk om op te merken dat een mechanisme zoals standaardcontractbepalingen (SCB’s) vereist is voor internationale gegevensoverdrachten tussen verwerkingsverantwoordelijken en verwerkers, naast de noodzakelijke overdrachtsrisico-evaluatie (ORE) of overdrachtsimpact-evaluatie (OIE).
Vraag 7: Hoe werkt een AVG-Vertegenwoordiger met een Functionaris Gegevensbescherming (FG)?
Een AVG-Vertegenwoordiger en een FG hebben verschillende rollen.
FG’s werken intern binnen organisaties om informatie te geven, te adviseren en de nalevering van de AVG te bewaken.
AVG-Vertegenwoordigers werken uit naam van bedrijven die niet in de EU of het VK gevestigd zijn en faciliteren indien nodig de externe communicatie. Ze zijn het officiële aanspreekpunt voor gegevenssubjecten en toezichthoudende autoriteiten en dienen in de taal van de vraag te communiceren.
De twee rollen kunnen samenwerken om ervoor te zorgen dat de gegevensbeschermingspraktijken doeltreffend zijn en overeenstemmen met de wettelijke vereisten.
Bijvoorbeeld: Een verzekeringsbedrijf uit het VK verkoopt producten aan klanten in het VK en de EU. Het bedrijf beschikt over een FG en een EU AVG-Vertegenwoordiger. De FG is verantwoordelijk voor het opvolgen en beheren van de conformiteit met de VK en EU-AVG, geeft advies over de verplichtingen voor gegevensbescherming en doet dienst als aanspreekpunt voor datasubjecten uit het VK en voor het Information Commissioner’s Office (ICO) in het VK.
De EU AVG-Vertegenwoordiger is het lokale aanspreekpunt voor datasubjecten uit de EU en elk van de toezichthoudende autoriteiten van de EU. Zij behandelen alle vragen of klachten van klanten uit de EU en van de autoriteiten voor gegevensbescherming uit de EU, geven deze door aan de FG en overleggen met hem indien nodig.
De FG adviseert het bedrijf over hoe vragen uit de EU behandeld moeten worden zodat deze conform zijn met de AVG in de EU.
De twee rollen zijn verschillend en gescheiden, hoewel ze wanneer nodig samenwerken om ervoor te zorgen dat het bedrijf de wetgeving naleeft bij het verwerken van persoonsgegevens uit de EU en dat er geen belangenvermenging ontstaat.
In dit voorbeeld heeft het bedrijf zowel een FG als een AVG-Vertegenwoordiger. Voor bedrijven die geen FG hebben, zou de AVG-Vertegenwoordiger alle vragen of klachten van klanten en gegevensbeschermingsautoriteiten rechtstreeks aan het bedrijf doorgeven.
Samenvatting
Een AVG-Vertegenwoordiger doet dienst als een aanspreekpunt voor gegevenssubjecten gegevensbeschermingsautoriteiten. Er zijn twee types: een EU AVG-Vertegenwoordiger en een VK AVG-Vertegenwoordiger.
De vereiste voor een EU- of VK AVG-Vertegenwoordiger is hetzelfde voor zowel gegevensbeheerders als gegevensverwerkers die persoonsgegevens van inwoners van respectievelijk de EU of het VK behandelen en is niet afhankelijk van de omvang van de organisatie, maar meer van het volume van te verwerken gegevens.
Samengevat is een AVG-Vertegenwoordiger vereist indien:
- Een organisatie buiten de EU/VK gevestigd is en niet over een lokaal kantoor beschikt
- De persoonsgegevens van inwoners uit de EU of het VK worden verzameld, opgeslagen of verwerkt
- De gegevensverwerking niet incidenteel is en deel uitmaakt van de werking van het bedrijf
- De gegevensverwerking verbonden is aan de levering van goederen of diensten, ongeacht of er een betaling uitgevoerd werd
- De gegevensverwerking betrekking heeft op het monitoren van het gedrag van EU/VK-inwoners
- Een organisatie gegevens van een bijzondere categorie verwerkt, zelfs indien dit af en toe is
Als de onderneming buiten de EU gevestigd is en u gegevens van EU-inwoners verwerkt, hebt u een EU AVG-Vertegenwoordiger nodig, tenzij u beschikt over een lokale vestiging. Hetzelfde geldt als uw bedrijf buiten het VK gevestigd is en u gegevens verwerkt van inwoners uit het VK. U heeft dan een VK AVG-Vertegenwoordiger nodig.
DPO Centre kan helpen met zowel EU als VK-Vertegenwoordiging
- Dekking in alle 27 EU-lidstaten en het VK
- Toegang tot een van de grootste teams van ervaren professionals op het gebied van gegevensbescherming
- Gespecialiseerde advieslijn, het bieden van hulp, aanbevolen acties en passende antwoorden
- Zeer kosteneffectieve oplossing
Wij hebben wereldwijd met meer dan 850 klanten samengewerkt in alle industriesectoren; we ondersteunen hen bij de naleving van de gegevensbescherming en om gemoedsrust te brengen.
Aarzel niet om contact op te nemen door het onderstaande formulier in te vullen als u graag wil bespreken hoe we uw bedrijf kunnen helpen.
Volg DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming