Vergroot contrast

Het een-loketmechanisme

De Algemene verordening gegevensbescherming (AVG) kent het zogeheten een-loketmechanisme (ook wel het onestopshop mechanism). Het een-loketmechanisme houdt in dat organisaties die zogeheten grensoverschrijdende gegevensverwerkingen uitvoeren, in beginsel nog maar met één privacytoezichthouder zaken hoeven te doen. Die wordt de ‘leidende toezichthouder’ genoemd (lead supervisory authority).

Grensoverschrijdende verwerkingen

Onder grensoverschrijdende gegevensverwerkingen wordt verstaan dat een organisatie gegevens verwerkt in verschillende EU-lidstaten. Gegevensverwerking kan ook grensoverschrijdend zijn als de verwerking in één EU-lidstaat gebeurt, maar wezenlijke gevolgen heeft voor betrokkenen in een andere lidstaat of waarschijnlijk wezenlijke gevolgen heeft voor betrokkenen in een andere lidstaat.

Een belangrijk voordeel van het een-loketmechanisme is dat klachten over grensoverschrijdende verwerkingen effectief wordt opgepakt door de samenwerkende Europese privacytoezichthouders. Ook als een organisatie is gevestigd in een andere EU-lidstaat. Op deze manier is de hele EU hetzelfde beschermingsniveau van persoonsgegevens van toepassing. De behandeling van een grensoverschrijdende klacht kan echter wel meer tijd in beslag nemen dan de behandeling van een nationale klacht.

Leidende toezichthouder

De leidende toezichthouder is als eerste verantwoordelijk voor het toezicht op organisaties met grensoverschrijdende gegevensverwerkingen.

De hoofdregel is dat de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een verwerkingsverantwoordelijke is gevestigd, de leidende toezichthouder is. De hoofdvestiging is de plaats van de centrale administratie van de organisatie.

Van deze hoofdregel wordt afgeweken wanneer beslissingen over de doelen en middelen van de verwerking van persoonsgegevens worden genomen in een andere vestiging. In dat geval is de toezichthouder van de EU-lidstaat waar die vestiging staat de leidende toezichthouder.

Ook voor verwerkers geldt de hoofdregel dat de toezichthouder van de EU-lidstaat waar de centrale administratie is gevestigd de leidende toezichthouder is. Wanneer een verwerker geen centrale administratie in de EU heeft, wordt aansluiting gezocht bij de vestiging waar de voornaamste verwerkingsactiviteiten plaatsvinden.

Wanneer zowel de verwerkingsverantwoordelijke als de verwerker bij een concrete zaak betrokken zijn, geldt dat de leidende toezichthouder van de verwerkingsverantwoordelijke in die zaak als enige de leidende toezichthouder is. De leidende toezichthouder van de verwerker is in dat geval een betrokken toezichthouder.

Samenwerking met betrokken toezichthouders

De leidende toezichthouder werkt bij het behandelen van een grensoverschrijdende zaak samen met andere betrokken Europese privacytoezichthouders, om uiteindelijk tot een breed gedragen besluit te komen. De leidende toezichthouder stemt zijn optreden binnen het een-loketmechanisme af met privacytoezichthouders in de andere EU-landen waar de gegevensverwerking impact heeft. Dit zijn de zogenaamde betrokken toezichthouders.

Betrokken toezichthouders zijn:

- de toezichthouders van de EU-lidstaten waar de verwerkingsverantwoordelijke of verwerker een vestiging heeft;
- de toezichthouders van de EU-lidstaten waar betrokkenen wezenlijke gevolgen of waarschijnlijk wezenlijke gevolgen van de grensoverschrijdende verwerking ondervinden;
- de toezichthouders van de EU-lidstaten waar een klacht is ingediend.

De leidende toezichthouder coördineert de activiteiten, betrekt de andere toezichthouders bij de zaak en legt conceptbeslissingen aan de betrokken toezichthouders voor. Ook kunnen toezichthouders gezamenlijk een onderzoek ter plaatse uitvoeren bij vestigingen in één of meerdere EU-lidstaten.

De leidende toezichthouder en de betrokken toezichthouders delen alle relevante informatie met elkaar en streven ernaar om tot consensus te komen. Wanneer er een verschil van inzicht bestaat tussen de toezichthouders, kan de European Data Protection Board (EDPB) een bindend besluit nemen, dat in acht zal moeten worden genomen door de leidende toezichthouder.

De leidende toezichthouder kan bij uitzondering beslissen dat een grensoverschrijdende zaak feitelijk alleen gevolgen heeft in één lidstaat. In dergelijke gevallen kan de leidende toezichthouder de betrokken toezichthouder van de desbetreffende lidstaat toestemming verlenen om de zaak zelfstandig, buiten het een-loketmechanisme op te pakken.

Guidelines leidende toezichthouder

De Europese privacytoezichthouders hebben in april 2017 de (definitieve) Guidelines for identifying a controller or processor’s lead supervisory authority gepubliceerd. Deze guidelines geven uitleg over het bepalen van de leidende toezichthouder en over de toepassing van de onestopshop-regel.

Er is ook een officiële Nederlandse vertaling van de guidelines leidende toezichthouder beschikbaar.

Bekijk binnen het onderwerp Het een-loketmechanisme

Alle antwoorden op mijn vragenVragen over leidende toezichthouder en een-loketmechanisme

  • Wanneer zijn de gegevensverwerkingen van mijn organisatie grensoverschrijdend?

    Er is sprake van grensoverschrijdende gegevensverwerkingen als uw organisatie gegevens verwerkt in EU-landen óf als uw verwerkingen in EU-landen een wezenlijke impact hebben.

    Als organisatie kunt u persoonsgegevens verwerken in meer dan een EU-lidstaat. Bijvoorbeeld als u vestigingen heeft in Nederland en Frankrijk en beide vestigingen persoonsgegevens verwerken.

    Maar ook als u in één lidstaat persoonsgegevens verwerkt, kan er sprake zijn van een grensoverschrijdende gegevensverwerking. Dat is zo wanneer mensen in meer dan een lidstaat wezenlijke gevolgen ondervinden van de gegevensverwerking. Of waarschijnlijk zullen ondervinden.

    Bijvoorbeeld als u in Nederland gevestigd bent maar gegevens verwerkt van consumenten uit andere EU-landen of voor activiteiten die bijvoorbeeld zowel mensen in Nederland als in België betreffen.

  • Wanneer hebben mijn gegevensverwerkingen 'wezenlijke gevolgen' voor mensen?

    De AVG geeft geen definitie van ‘wezenlijke gevolgen’. De privacytoezichthouders zullen dit per keer beoordelen.

    Daarbij houden zij rekening met de context waarbinnen u persoonsgegevens verwerkt, het soort gegevens dat u verwerkt en het doel van uw gegevensverwerking.

    Ook beoordelen zij of uw gegevensverwerking bijvoorbeeld kan zorgen voor schade of nadeel voor de mensen van uw u gegevens verwerkt, gevolgen heeft voor hun gezondheid of welzijn of kan leiden tot discriminatie of ongelijke behandeling.

  • Hoe wordt bepaald wie de leidende toezichthouder is voor mijn organisatie?

    De leidende toezichthouder is de privacytoezichthouder in de lidstaat waarin de hoofdvestiging van uw organisatie is gevestigd.

    Eén vestiging

    Heeft u één vestiging in de EU (maar zijn uw gegevensverwerkingen wel grensoverschrijdend)? Dan is de toezichthouder in het land waar u bent gevestigd de leidende toezichthouder.

    Meerdere vestigingen

    Heeft u meerdere vestigingen in de EU? Dan wordt de plaats waar de centrale administratie van uw organisatie zich bevindt als uw hoofdvestiging gezien. Dit kan in de praktijk samenvallen met de vestiging die u zelf aanwijst als hoofdkantoor.

    Maar worden de beslissingen over het doel en de middelen van de gegevensverwerking in een andere vestiging genomen? Dan zien de toezichthouders die andere vestiging als de hoofdvestiging zoals bedoeld in de AVG.

    Meerdere toezichthouders

    Let op: voert u verschillende grensoverschrijdende gegevensverwerkingen uit? En worden de beslissingen daarover in verschillende vestigingen genomen? Dan kunnen er meerdere leidende toezichthouders zijn.

    Dit zijn de toezichthouders in de landen waar de beslissingen over de verschillende grensoverschrijdende gegevensverwerkingen worden genomen.

    Voordeel van een-loketmechanisme

    Wilt u voordeel hebben van het een-loketmechanisme, waarbij u dus nog met maar één leidende toezichthouder te maken heeft? Overweeg dan om de besluitvorming over de verwerking van persoonsgegevens te centreren op één locatie.

  • Heb ik als verwerker ook voordeel van het een-loketmechanisme?

    Ja. Ook als verwerker met grensoverschrijdende activiteiten of meerdere vestigingen in de EU kunt u profiteren het een-loketmechanisme.

    Net als bij de verwerkingsverantwoordelijke wordt bij u de locatie waar uw centrale administratie plaatsvindt als de hoofdvestiging gezien. De toezichthouder in de EU-lidstaat waar uw hoofdvestiging staat, is in principe de leidende toezichthouder.

    Ook voor verwerkers is het een-loketmechanisme het uitgangspunt: de leidende toezichthouder is de enige privacytoezichthouder in de EU waarmee u te maken krijgt.

    Hoofdvestiging buiten EU

    Is uw hoofdvestiging niet in de EU? Dan is de leidende toezichthouder de privacytoezichthouder uit het land waar de vestiging staat waar de belangrijkste gegevensverwerkingen in de EU plaatsvinden.

    Verwerkingsverantwoordelijke en verwerker

    Wanneer zowel een verwerkingsverantwoordelijke als een verwerker een rol spelen in een bepaalde zaak, is de leidende toezichthouder de privacytoezichthouder uit de lidstaat waar de verwerkingsverantwoordelijke de hoofdvestiging heeft.

    De toezichthouder uit het land waar u als verwerker uw hoofdvestiging heeft, wordt dan een betrokken toezichthouder en neemt deel aan de samenwerking met de andere betrokken toezichthouders.

    Let op: u bent eigenlijk nooit alleen maar een verwerker. Ook als u alleen als verwerker persoonsgegevens verwerkt voor anderen, bent u in ieder geval de verwekingsverantwoordelijke voor de gegevens van uw eigen personeel.

  • Wat doe ik met mijn klacht over een grensoverschrijdende verwerking?

    Wanneer u een klacht heeft over de verwerking van uw persoonsgegevens en die verwerking (mogelijk) grensoverschrijdend is, kunt u deze klacht indienen bij de Autoriteit Persoonsgegevens (AP). De AP zal kijken of er sprake is van een grensoverschrijdende verwerking en of het een-loketmechanisme van toepassing is.

    Als uw klacht te maken heeft met een grensoverschrijdende verwerking, kan het zijn dat de AP  voor de behandeling van uw klacht niet de leidende toezichthouder is. Dit betekent dat uw klacht door de AP zal worden doorgezet naar de Europese collega-toezichthouder die in dat geval de leidende toezichthouder is. U hoeft hiervoor zelf geen actie te ondernemen.

    In zo’n geval zal de leidende toezichthouder uw zaak in nauw overleg met de AP en eventuele andere betrokken toezichthouders oppakken. U kunt echter altijd terecht bij de AP voor eventuele vragen. Ook zal de AP  u informatie geven over de behandeling van uw klacht en u op de hoogte brengen van de uiteindelijke uitkomst van uw klacht.