Na vrij verkeer van personen, goederen, diensten en kapitaal krijgt de Europese Unie een ‘vijfde vrijheid’: vrij verkeer van data. De Algemene Verordening Gegevensbescherming (ook wel bekend als GDPR of, in het Nederlands, de AVG), die op 25 mei 2018 van kracht werd, harmoniseert de Europese regelgeving op het gebied van persoonsgegevens. Met de nieuwe Verordening voor vrij verkeer van niet-persoonlijke data stelt Europa regels voor het vrij verkeer van niet-persoonlijke data. Bij niet-persoonlijke data kun je denken aan datastromen tussen apparaten, geanonimiseerde statistieken en onderhoudsdata van machines. Ovidius licht kort de belangrijkste veranderingen toe.
Waarom een nieuwe verordening?
De moderne maatschappij is sterk digitaal georiënteerd. De digitale interne markt maakt een grote groei door en data maken hier een fundamenteel deel van uit. Data, of het verspreiden van data, is niet langer een bijvangst, maar een product of dienst op zich. Onder de huidige regelgeving kan iedere lidstaat de verwerking en opslag van niet-persoonlijke data echter aan beperkingen onderwerpen. Zo kan een lidstaat bepalen dat dit alleen op het grondgebied van de lidstaat zelf mag. Dit soort nationale regels ondermijnen de werking van de interne markt. De Verordening, die begin oktober 2018 door het Europese Parlement is aangenomen, heeft tot doel de nationale obstakels voor vrij verkeer van niet-persoonlijke data weg te nemen.
Wat verandert er?
De belangrijkste wijziging uit de Verordening ziet op de datalocatie-eisen. Onder de Verordening zijn nationale beperkingen aan het verkeer van niet-persoonlijke gegevens niet langer toegestaan behalve wanneer een dergelijke beperking noodzakelijk is met het oog op de openbare veiligheid. Bovendien zijn lidstaten verplicht om hun nationale datalocatie-eisen te melden bij de Europese Commissie, die de eisen ook zal publiceren. Dit draagt bij aan de transparantie tussen lidstaten over de geldende regelgeving.
Daarnaast regelt de Verordening dat de autoriteiten van de ene lidstaat, in het kader van toezicht of handhaving, toegang kunnen krijgen tot gegevens die in een andere lidstaat worden verwerkt. Ook voorziet de Verordening in de mogelijkheid dat in de markt gedragscodes worden ontwikkeld, zodat professionele gebruikers eenvoudiger kunnen switchen tussen verschillende cloudservice aanbieders.
Verschil met AVG
De AVG en deze nieuwe verordening maken deel uit van de Digital Single Market-strategie, maar dienen een ander doel. De AVG heeft betrekking op persoonsgegevens, en de nieuwe verordening ziet op vrij verkeer van niet-persoonlijke data. Om te bepalen welk regime van toepassing is, moet goed worden gekeken of de data onder de ruime definitie van persoonsgegevens vallen. Als onduidelijk is of iets een persoonsgegeven of een niet-persoonlijk gegeven is, kan je beter de strengere regels van de Algemene Verordening Gegevensbescherming aanhouden; wees ‘better safe, than sorry’.