Vergroot contrast

Leidende toezichthouder

De Algemene verordening gegevensbescherming (AVG) gaat uit van de zogeheten onestopshop-regel. Onestopshop houdt in dat organisaties die zogeheten grensoverschrijdende gegevensverwerkingen uitvoeren, nog maar met één privacytoezichthouder zaken hoeven te doen. Dit wordt de ‘leidende toezichthouder’ genoemd (lead supervisory authority).

Grensoverschrijdend

Onder grensoverschrijdende gegevensverwerkingen wordt verstaan dat een organisatie gegevens verwerkt in verschillende EU-lidstaten óf dat de verwerkingen in meerdere lidstaten impact hebben.

Leidende toezichthouder

De leidende toezichthouder is als eerste verantwoordelijk voor het toezicht op organisaties met grensoverschrijdende gegevensverwerkingen.

De hoofdregel is dat de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is.

Samenwerking

De leidende toezichthouder stemt zijn optreden af met privacytoezichthouders in de andere EU-landen waar de gegevensverwerking impact heeft. De leidende toezichthouder coördineert de activiteiten, betrekt de andere toezichthouders bij de zaak en legt conceptbeslissingen aan hen voor.

Guidelines leidende toezichthouder

De Europese privacytoezichthouders hebben in april 2017 de (definitieve) Guidelines for identifying a controller or processor’s lead supervisory authority gepubliceerd. Deze guidelines geven uitleg over het bepalen van de leidende toezichthouder en over de toepassing van de onestopshop-regel.

Er is ook een officiële Nederlandse vertaling van de guidelines leidende toezichthouder beschikbaar.

Bekijk binnen het onderwerp Leidende toezichthouder

Alle antwoorden op mijn vragenVragen over leidende toezichthouder en onestopshop

  • Wanneer zijn de gegevensverwerkingen van mijn organisatie grensoverschrijdend?

    Er is sprake van grensoverschrijdende gegevensverwerkingen als uw organisatie gegevens verwerkt in verschillende landen óf als uw verwerkingen in meerdere landen impact hebben.

    Als organisatie kunt u persoonsgegevens verwerken in meer dan een EU-lidstaat. Bijvoorbeeld als u vestigingen heeft in Nederland en Frankrijk en beide vestigingen persoonsgegevens verwerken.

    Maar ook als u in één lidstaat persoonsgegevens verwerkt, kan er sprake zijn van een grensoverschrijdende gegevensverwerking. Dat is zo wanneer mensen in meer dan een lidstaat wezenlijke gevolgen ondervinden van de gegevensverwerking. Of waarschijnlijk zullen ondervinden.

    Bijvoorbeeld als u in Nederland gevestigd bent maar gegevens verwerkt van consumenten uit andere EU-landen of voor activiteiten die bijvoorbeeld zowel mensen in Nederland als in België betreffen.

  • Wanneer hebben mijn gegevensverwerkingen 'wezenlijke gevolgen' voor mensen?

    De AVG geeft geen definitie van ‘wezenlijke gevolgen’. De privacytoezichthouders zullen dit per keer beoordelen.

    Daarbij houden zij rekening met de context waarbinnen u persoonsgegevens verwerkt, het soort gegevens dat u verwerkt en het doel van uw gegevensverwerking.

    Ook beoordelen zij of uw gegevensverwerking bijvoorbeeld kan zorgen voor schade of nadeel voor de mensen van uw u gegevens verwerkt, gevolgen heeft voor hun gezondheid of welzijn of kan leiden tot discriminatie of ongelijke behandeling.

  • Hoe wordt bepaald wie de leidende toezichthouder is voor mijn organisatie?

    De leidende toezichthouder is de privacytoezichthouder in de lidstaat waarin de hoofdvestiging van uw organisatie is gevestigd.

    Eén vestiging

    Heeft u één vestiging in de EU (maar zijn uw gegevensverwerkingen wel grensoverschrijdend)? Dan is de toezichthouder in het land waar u bent gevestigd de leidende toezichthouder.

    Meerdere vestigingen

    Heeft u meerdere vestigingen in de EU? Dan wordt de plaats waar de centrale administratie van uw organisatie zich bevindt als uw hoofdvestiging gezien. Dit kan in de praktijk samenvallen met de vestiging die u zelf aanwijst als hoofdkantoor.

    Maar worden de beslissingen over het doel en de middelen van de gegevensverwerking in een andere vestiging genomen? Dan zien de toezichthouders die andere vestiging als de hoofdvestiging zoals bedoeld in de AVG.

    Meerdere toezichthouders

    Let op: voert u verschillende grensoverschrijdende gegevensverwerkingen uit? En worden de beslissingen daarover in verschillende vestigingen genomen? Dan kunnen er meerdere leidende toezichthouders zijn.

    Dit zijn de toezichthouders in de landen waar de beslissingen over de verschillende grensoverschrijdende gegevensverwerkingen worden genomen.

    Voordeel van onestopshop

    Wilt u voordeel hebben van de onestopshop-regel, waarbij u dus nog met maar één leidende toezichthouder te maken heeft? Overweeg dan om de besluitvorming over de verwerking van persoonsgegevens te centreren op één locatie.

  • Heb ik als bewerker ook voordeel van de onestopshop-regel?

    Ja. Ook als bewerker (in de AVG 'verwerker' genoemd) met grensoverschrijdende activiteiten of meerdere vestigingen in de EU kunt u profiteren van onestopshop.

    Net als bij de verantwoordelijke wordt bij u de locatie waar uw centrale administratie plaatsvindt als de hoofdvestiging gezien. De toezichthouder in de EU-lidstaat waar uw hoofdvestiging staat, is in principe de leidende toezichthouder.

    Ook voor verwerkers is het uitgangspunt de onestopshop-regel: de leidende toezichthouder is de enige privacytoezichthouder in de EU waarmee u te maken krijgt.

    Hoofdvestiging buiten EU

    Is uw hoofdvestiging niet in de EU? Dan is de leidende toezichthouder de privacytoezichthouder uit het land waar de vestiging staat waar de belangrijkste gegevensverwerkingen in de EU plaatsvinden.

    Verantwoordelijke en verwerker

    Wanneer zowel een verantwoordelijke als een verwerker een rol spelen in een bepaalde zaak, is de leidende toezichthouder de privacytoezichthouder uit de lidstaat waar de verantwoordelijke de hoofdvestiging heeft.

    De toezichthouder uit het land waar u als verwerker uw hoofdvestiging heeft, wordt dan een betrokken toezichthouder en neemt deel aan de samenwerking met de andere betrokken toezichthouders.

    Let op: u bent eigenlijk nooit alleen maar een verwerker. Ook als u alleen als verwerker persoonsgegevens verwerkt voor anderen, bent u in ieder geval de verantwoordelijke voor de gegevens van uw eigen personeel.