Carmen Graauwmans / 16 april 2018

Leidende toezichthouder [blog 9/10]

Op internet vervagen landsgrenzen en kunnen organisaties eenvoudiger actief zijn in meerdere landen. Om efficiënt internationaal te kunnen werken, hoeven organisaties die persoonsgegevens verwerken in meerdere Europese lidstaten rekening te houden met slechts één toezichthouder: de leidende toezichthouder.

Ieder land een eigen toezichthouder

Ieder Europees land heeft een eigen onafhankelijke toezichthouder die toeziet op naleving van de GDPR en bevoegd is om overtreders te beboeten. In Nederland is dat de Autoriteit Persoonsgegevens (AP). Nederlandse organisaties krijgen automatisch te maken met de AP. Organisaties die persoonsgegevens verwerken in verschillende Europese lidstaten moeten een keuze maken met welke toezichthouder ze contact onderhouden.

Wortels

In deze keuze zit een mate van vrijheid, maar het is geen willekeurige keuze. Het meest praktisch is om een leidende toezichthouder te kiezen in het land waar het bedrijf het stevigst geworteld is. Vaak is dit het land waar het hoofdkantoor staat. Het is een pré als de Functionaris voor de Gegevensbescherming (FG) geen taalbarrière ondervindt bij het contact met de toezichthouder.

Eén contactpersoon

Net zoals organisaties met één leidende toezichthouder te maken krijgen, heeft de toezichthouder te maken met één contactpersoon – de eerder besproken FG. Hij zorgt voor een proces waarbij in het geval van een calamiteit de gegevens bij hem worden aangeleverd. Na het ontdekken van een datalek hebben organisaties slechts 72 uur om het datalek te melden bij de toezichthouder. Voor internationaal opererende organisaties is het dus extra belangrijk om dit proces op orde te hebben.

Landen zonder GDPR

De GDPR is een Europese wet die Europese staatsburgers meer privacyrechten geeft. Maar dat is niet in alle landen hetzelfde geregeld. Persoonsgegevens doorgeven vanuit Nederland mag alleen als het ontvangende land voldoende bescherming biedt. Voor het doorgeven van persoonsgegevens buiten de EU – zogenaamde derde partijen – gelden andere regels. De hoofdregel is dat organisaties persoonsgegevens alleen mogen doorgeven aan derde partijen met een passend beschermingsniveau. Doorgifte naar andere landen is alleen toegestaan op basis van een wettelijke uitzondering of met een vergunning van de minister van Veiligheid en Justitie.

Heb je vragen over de leidende toezichthouder?

Xcellent helpt klanten en niet-klanten om zich gereed te maken voor de veranderende wet. Neem bij vragen contact op met onze informatiebeveiligingspecialisten. We helpen je graag.

De volgende en tevens laatste blog van de serie, Toestemming, verschijnt maandag 23 april op onze site.

Carmen Graauwmans
Wil je meer weten over de leidende toezichthouder, stuur mij een bericht en ik neem contact met je op.

Contact

Contact