Vergroot contrast

Een-loketmechanisme (onestopshop)

Eén organisatie kan persoonsgegevens verwerken in verschillende lidstaten van de Europese Unie (EU). Of in één lidstaat, maar wel van mensen uit meerdere lidstaten. Voorheen kreeg deze organisatie dan te maken met meerdere privacytoezichthouders. Met de komst van de Algemene verordening gegevensbescherming (AVG) is dit veranderd. De AVG kent het een-loketmechanisme (ook wel ‘onestopshop’ genoemd). Dit houdt in dat organisaties die grensoverschrijdende verwerkingen uitvoeren, nog maar met één privacytoezichthouder zaken hoeven te doen. Die wordt de ‘leidende toezichthouder’ genoemd (‘lead supervisory authority’).

Grensoverschrijdende verwerkingen

Onder grensoverschrijdende gegevensverwerkingen wordt verstaan dat een organisatie gegevens verwerkt in verschillende EU-lidstaten. Gegevensverwerking kan ook grensoverschrijdend zijn als de verwerking in één EU-lidstaat gebeurt, maar (waarschijnlijk) wezenlijke gevolgen heeft voor betrokkenen in een andere lidstaat. Betrokkenen zijn de mensen van wie een organisatie persoonsgegevens verwerkt.

Voordelen een-loketmechanisme

Naast dat organisaties die internationaal actief zijn nog maar met één toezichthouder zaken hoeven te doen, heeft het een-loketmechanisme nog een voordeel.

Heeft iemand een klacht over de verwerking van zijn gegevens door een internationaal bedrijf? Dan pakken de samenwerkende Europese privacytoezichthouders deze klacht effectief op. Ook als een organisatie is gevestigd in een andere EU-lidstaat dan degene die de klacht indient.

Zo krijgt ook deze persoon nog maar met één privacytoezichthouder te maken. En krijgen alle EU-inwoners dezelfde privacybescherming.

Leidende toezichthouder

De leidende toezichthouder is als eerste verantwoordelijk voor het toezicht op organisaties met grensoverschrijdende gegevensverwerkingen. De hoofdregel is: de leidende toezichthouder is de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een verwerkingsverantwoordelijke of verwerker is gevestigd.

Maar deze regel geldt niet altijd. Organisaties die willen weten met welke toezichthouder zij te maken krijgen, kunnen het formulier Identificatie leidende toezichthouder invullen om te kijken wie hun leidende toezichthouder is.

Samenwerking met betrokken toezichthouders

De leidende toezichthouder die een grensoverschrijdende zaak behandelt, werkt niet alleen. De leidende toezichthouder werkt samen en stemt zijn optreden af met de privacytoezichthouders van de andere EU-landen waar de gegevensverwerking impact heeft. Deze andere toezichthouders worden de betrokken toezichthouders genoemd.

Guidelines leidende toezichthouder

De Europese privacytoezichthouders hebben Guidelines for identifying a controller or processor’s lead supervisory authority gepubliceerd. Deze guidelines geven uitleg over het bepalen van de leidende toezichthouder en over de toepassing van de onestopshop-regel.

Er is ook een officiële Nederlandse vertaling van de guidelines leidende toezichthouder beschikbaar.

Bekijk binnen het onderwerp Een-loketmechanisme (onestopshop)

Alle antwoorden op mijn vragenVragen over een-loketmechanisme en leidende toezichthouder

  • Wanneer zijn de gegevensverwerkingen van mijn organisatie grensoverschrijdend?

    Er is sprake van grensoverschrijdende gegevensverwerkingen als uw organisatie gegevens verwerkt in EU-landen óf als uw verwerkingen in EU-landen een wezenlijke impact hebben.

    Als organisatie kunt u persoonsgegevens verwerken in meer dan een EU-lidstaat. Bijvoorbeeld als u vestigingen heeft in Nederland en Frankrijk en beide vestigingen persoonsgegevens verwerken.

    Maar ook als u in één lidstaat persoonsgegevens verwerkt, kan er sprake zijn van een grensoverschrijdende gegevensverwerking. Dat is zo wanneer mensen in meer dan een lidstaat wezenlijke gevolgen ondervinden van de gegevensverwerking. Of waarschijnlijk zullen ondervinden.

    Bijvoorbeeld als u in Nederland gevestigd bent maar gegevens verwerkt van consumenten uit andere EU-landen of voor activiteiten die bijvoorbeeld zowel mensen in Nederland als in België betreffen.

  • Wanneer hebben mijn gegevensverwerkingen 'wezenlijke gevolgen' voor mensen?

    De Algemene verordening gegevensbescherming (AVG) geeft geen definitie van ‘wezenlijke gevolgen’. De privacytoezichthouders beoordelen dit per geval.

    Daarbij houden zij rekening met de context waarbinnen u persoonsgegevens verwerkt, het soort gegevens dat u verwerkt en het doel van uw gegevensverwerking.

    Ook beoordelen zij of uw gegevensverwerking bijvoorbeeld kan zorgen voor schade of nadeel voor de mensen van wie u gegevens verwerkt, gevolgen heeft voor hun gezondheid of welzijn of kan leiden tot discriminatie of ongelijke behandeling.

  • Hoe wordt bepaald wie de leidende toezichthouder is voor een organisatie?

    De hoofdregel is dat de leidende toezichthouder de privacytoezichthouder is in de lidstaat waarin de hoofdvestiging van een organisatie is gevestigd. Van deze hoofdregel wordt afgeweken wanneer beslissingen over de doelen en middelen van de verwerking van persoonsgegevens worden genomen in een andere vestiging. In dat geval is de toezichthouder van de EU-lidstaat waar die vestiging staat de leidende toezichthouder.

    Eén vestiging

    Heeft een organisatie één vestiging in de EU (maar zijn de gegevensverwerkingen wel grensoverschrijdend)? Dan is de toezichthouder in het land waar de organisatie is gevestigd de leidende toezichthouder.

    Meerdere vestigingen

    Heeft een organisatie meerdere vestigingen in de EU? Dan wordt de plaats waar de centrale administratie van de organisatie zich bevindt als de hoofdvestiging gezien. Dit kan in de praktijk samenvallen met de vestiging die de organisatie zelf aanwijst als hoofdkantoor.

    Maar worden de beslissingen over het doel en de middelen van de gegevensverwerking in een andere vestiging genomen? Dan zien de toezichthouders die andere vestiging als de hoofdvestiging zoals bedoeld in de Algemene verordening gegevensbescherming (AVG).

    Meerdere toezichthouders

    Voert een organisatie verschillende grensoverschrijdende gegevensverwerkingen uit? En worden de beslissingen daarover in verschillende vestigingen genomen? Dan kunnen er meerdere leidende toezichthouders zijn.

    Dit zijn de toezichthouders in de landen waar de beslissingen over de verschillende grensoverschrijdende gegevensverwerkingen worden genomen.

    Voordeel van een-loketmechanisme

    Om voordeel te hebben van het een-loketmechanisme (onestopshop), waarbij organisaties nog met maar één leidende toezichthouder te maken hebben, is het aan te raden om de besluitvorming over de verwerking van persoonsgegevens te centreren op één locatie.

  • Hoe weet ik wie de leidende toezichthouder is voor mijn organisatie?

    Welke privacytoezichthouder voor uw organisatie de leidende toezichthouder is, hangt af van een aantal voorwaarden uit de Algemene verordening gegevensbescherming (AVG).

    Het kan voor u handig zijn om die voorwaarden vooraf goed te bekijken, zodat u weet met welke toezichthouder u zaken kunt doen. Bijvoorbeeld voor het aanmelden van een functionaris voor de gegevensbescherming (FG), het melden van datalekken of het aanvragen van een voorafgaande raadpleging.

    Het formulier identificatie leidende toezichthouder kan u daarbij helpen. U doorloopt stap voor stap de voorwaarden uit de AVG. Dit maakt het voor u makkelijker om te bepalen welke privacytoezichthouder voor uw organisatie de leidende toezichthouder is.

  • Heb ik als verwerker ook voordeel van het een-loketmechanisme?

    Ja. Ook als verwerker met grensoverschrijdende activiteiten of meerdere vestigingen in de EU kunt u profiteren van het een-loketmechanisme (onestopshop).

    Net als bij de verwerkingsverantwoordelijke wordt bij u de locatie waar uw centrale administratie plaatsvindt als de hoofdvestiging gezien. De toezichthouder in de EU-lidstaat waar uw hoofdvestiging staat, is in principe de leidende toezichthouder.

    Ook voor verwerkers is het een-loketmechanisme het uitgangspunt. Dat betekent dat de leidende toezichthouder de enige privacytoezichthouder in de EU is waarmee u te maken krijgt.

    Hoofdvestiging buiten EU

    Staat uw hoofdvestiging niet in de EU? Dan is de leidende toezichthouder de privacytoezichthouder uit het land waar de vestiging staat waar de belangrijkste gegevensverwerkingen in de EU plaatsvinden.

    Verwerkingsverantwoordelijke en verwerker

    Bent u als verwerker bij een concrete zaak betrokken, maar is de verwerkingsverantwoordelijke dat ook? Dan geldt dat de leidende toezichthouder van de verwerkingsverantwoordelijke als enige de leidende toezichthouder is in die zaak.

    De toezichthouder uit het land waar u als verwerker uw hoofdvestiging heeft, wordt dan een betrokken toezichthouder en werkt samen met de andere betrokken toezichthouders.

    Nooit alleen verwerker

    Let op: u bent eigenlijk nooit alleen maar een verwerker. Ook als u alleen als verwerker persoonsgegevens verwerkt voor anderen, bent u in ieder geval de verwerkingsverantwoordelijke voor de gegevens van uw eigen personeel.

  • Wat zijn de betrokken toezichthouders?

    De leidende toezichthouder die een grensoverschrijdende zaak behandelt, werkt niet alleen. De leidende toezichthouder werkt samen met de privacytoezichthouders van de andere EU-landen waar de gegevensverwerking impact heeft. Deze andere toezichthouders worden de betrokken toezichthouders genoemd.

    Betrokken toezichthouders zijn:

    • de toezichthouders van de EU-lidstaten waar de verwerkingsverantwoordelijke of verwerker een vestiging heeft;
    • de toezichthouders van de EU-lidstaten waar betrokkenen (waarschijnlijk) wezenlijke gevolgen van de grensoverschrijdende verwerking ondervinden;
    • de toezichthouders van de EU-lidstaten waar een klacht is ingediend.

    Samenwerking

    De leidende toezichthouder coördineert de werkzaamheden, betrekt de andere toezichthouders bij de zaak en legt conceptbeslissingen aan de betrokken toezichthouders voor. Ook kunnen toezichthouders gezamenlijk een onderzoek ter plaatse uitvoeren bij vestigingen in een of meerdere EU-lidstaten.

    Verschil van mening

    De leidende toezichthouder en de betrokken toezichthouders delen alle relevante informatie met elkaar en streven ernaar om tot consensus te komen. Verschillen de toezichthouders van mening? Dan kan de European Data Protection Board (EDPB) een bindend besluit nemen. De leidende toezichthouder moet zich daaraan houden.

    Zelfstandig zaak behandelen

    De leidende toezichthouder kan bij uitzondering beslissen dat een grensoverschrijdende zaak feitelijk alleen gevolgen heeft in één lidstaat. De leidende toezichthouder kan de betrokken toezichthouder van deze lidstaat dan toestemming geven om de zaak zelfstandig, buiten het een-loketmechanisme, op te pakken.

  • Wat doe ik als burger met mijn klacht over een grensoverschrijdende verwerking?

    Heeft u een klacht over de verwerking van uw persoonsgegevens? En is die verwerking (mogelijk) grensoverschrijdend? Dan kunt u uw klacht indienen bij de Autoriteit Persoonsgegevens (AP).

    Klacht naar juiste toezichthouder

    De AP kijkt vervolgens of er sprake is van een grensoverschrijdende verwerking. Zo ja, dan kan het zijn dat de AP niet de aangewezen toezichthouder is om uw klacht te behandelen.

    De AP geeft uw klacht dan door aan de Europese collega-toezichthouder die erover gaat. U hoeft hiervoor zelf niets te doen.

    De collega-toezichthouder behandelt uw klacht in nauw overleg met de AP en eventuele andere betrokken toezichthouders.

    Informatie over behandeling klacht

    Heeft u vragen? Dan kunt u altijd terecht bij de AP. Ook geeft de AP u informatie over de behandeling van uw klacht en laat de AP u weten wat de uiteindelijke uitkomst is van uw klacht.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden