Vergroot contrast
  1. Internationaal
  2. Een-loketmechanisme

Een-loketmechanisme

Eén organisatie kan persoonsgegevens verwerken in verschillende lidstaten van de Europese Unie (EU). Of in één lidstaat, maar wel van mensen uit meerdere lidstaten. Voorheen kreeg deze organisatie dan te maken met meerdere privacytoezichthouders. Met de komst van de Algemene verordening gegevensbescherming (AVG) is dit veranderd. De AVG kent het een-loketmechanisme (ook wel ‘onestopshop’ genoemd). Dit houdt in dat organisaties die grensoverschrijdende verwerkingen uitvoeren, nog maar met één privacytoezichthouder zaken hoeven te doen. Die wordt de ‘leidende toezichthouder’ genoemd (‘lead supervisory authority’).

Grensoverschrijdende verwerkingen

Onder grensoverschrijdende gegevensverwerkingen wordt verstaan dat een organisatie gegevens verwerkt in verschillende EU-lidstaten. Gegevensverwerking kan ook grensoverschrijdend zijn als de verwerking in één EU-lidstaat gebeurt, maar (waarschijnlijk) wezenlijke gevolgen heeft voor betrokkenen in een andere lidstaat. Betrokkenen zijn de mensen van wie een organisatie persoonsgegevens verwerkt.

Leidende toezichthouder

De leidende toezichthouder is als eerste verantwoordelijk voor het toezicht op organisaties met grensoverschrijdende gegevensverwerkingen. De hoofdregel is: de leidende toezichthouder is de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een verwerkingsverantwoordelijke of verwerker is gevestigd.

Wie is mijn leidende toezichthouder?

Wilt u als organisatie een indicatie van wie uw leidende toezichthouder is? Zie dan het stroomschema 'Bepaal wie uw leidende toezichthouder is'.

Betrokken toezichthouders

De leidende toezichthouder die een grensoverschrijdende zaak behandelt, werkt niet alleen. De leidende toezichthouder werkt samen en stemt zijn optreden af met de privacytoezichthouders van de andere EU-landen waar de gegevensverwerking impact heeft. Deze andere toezichthouders worden de betrokken toezichthouders genoemd.

Uitzonderingen leidende toezichthouder

In de AVG staan 2 uitzonderingen op de regel van de leidende toezichthouder. Die houden in dat de toezichthouder van een ander land bevoegd is om onderzoek te doen naar een organisatie - ook al is de hoofdvesting van deze organisatie niet in dit land gevestigd - in de volgende 2 situaties:

  • Het is een lokale zaak, waarbij bijvoorbeeld alleen de inwoners van één bepaald land getroffen zijn.
  • Het gaat om een spoedsituatie. Dat houdt in dat er dringend moet worden opgetreden om de rechten en vrijheden van de betrokkenen te beschermen. In dat geval kan een niet-leidende toezichthouder toch ingrijpen, bijvoorbeeld door een verwerkingsverbod op te leggen.

Een toezichthouder mag echter niet zomaar een beroep doen op zo’n uitzondering. De toezichthouder moet altijd eerst met de leidende toezichthouder overleggen en vragen of die de zaak wil onderzoeken. Als die besluit dat niet te doen, kan de niet-leidende toezichthouder zelf een onderzoek starten.

Als een toezichthouder zich wil beroepen op een spoedsituatie, moet de toezichthouder dit zo snel mogelijk voorleggen aan de rest van de Europese toezichthouders, verenigd in de European Data Protection Board (EDPB).

Guidelines leidende toezichthouder

De Europese privacytoezichthouders hebben Guidelines for identifying a controller or processor’s lead supervisory authority gepubliceerd.

Deze guidelines geven uitleg over het bepalen van de leidende toezichthouder en over de toepassing van de onestopshop-regel. Er is ook een officiële Nederlandse vertaling van de guidelines leidende toezichthouder beschikbaar.

Voordelen een-loketmechanisme

Naast dat organisaties die internationaal actief zijn nog maar met één toezichthouder zaken hoeven te doen, heeft het een-loketmechanisme nog een voordeel.

Heeft iemand een klacht over de verwerking van een internationaal bedrijf? Dan pakken de samenwerkende Europese privacytoezichthouders deze klacht effectief op. Ook als een organisatie is gevestigd in een andere EU-lidstaat dan degene die de klacht indient.

Zo krijgt ook deze persoon nog maar met één privacytoezichthouder te maken. En krijgen alle EU-inwoners dezelfde privacybescherming.

Nieuws

Alle nieuwsberichten over het onderwerp 'Een-loketmechanisme'

Alle antwoorden op mijn vragenVragen over een-loketmechanisme en leidende toezichthouder

  • Wanneer zijn de gegevensverwerkingen van mijn organisatie grensoverschrijdend?

    Er is sprake van grensoverschrijdende gegevensverwerkingen als uw organisatie gegevens verwerkt in EU-landen óf als uw verwerkingen in EU-landen een wezenlijke impact hebben.

    Als organisatie kunt u persoonsgegevens verwerken in meer dan een EU-lidstaat. Bijvoorbeeld als u vestigingen heeft in Nederland en Frankrijk en beide vestigingen persoonsgegevens verwerken.

    Maar ook als u in één lidstaat persoonsgegevens verwerkt, kan er sprake zijn van een grensoverschrijdende gegevensverwerking. Dat is zo wanneer mensen in meer dan een lidstaat wezenlijke gevolgen ondervinden van de gegevensverwerking. Of waarschijnlijk zullen ondervinden.

    Bijvoorbeeld als u in Nederland gevestigd bent maar gegevens verwerkt van consumenten uit andere EU-landen of voor activiteiten die bijvoorbeeld zowel mensen in Nederland als in België betreffen.

  • Wanneer hebben mijn gegevensverwerkingen 'wezenlijke gevolgen' voor mensen?

    De Algemene verordening gegevensbescherming (AVG) geeft geen definitie van ‘wezenlijke gevolgen’. De privacytoezichthouders beoordelen dit per geval.

    Daarbij houden zij rekening met de context waarbinnen u persoonsgegevens verwerkt, het soort gegevens dat u verwerkt en het doel van uw gegevensverwerking.

    Ook beoordelen zij of uw gegevensverwerking bijvoorbeeld kan zorgen voor schade of nadeel voor de mensen van wie u gegevens verwerkt, gevolgen heeft voor hun gezondheid of welzijn of kan leiden tot discriminatie of ongelijke behandeling.

  • Hoe wordt bepaald wie de leidende toezichthouder is voor een organisatie?

    De hoofdregel is dat de leidende toezichthouder de privacytoezichthouder is in de lidstaat waarin de hoofdvestiging van een organisatie is gevestigd. Van deze hoofdregel wordt afgeweken wanneer beslissingen over de doelen en middelen van de verwerking van persoonsgegevens worden genomen in een andere vestiging. En die andere vestiging ook gemachtigd is om die beslissingen uit te voeren. In dat geval is de toezichthouder van de EU-lidstaat waar die vestiging staat de leidende toezichthouder.

    Eén vestiging

    Heeft een organisatie één vestiging in de EU (maar zijn de gegevensverwerkingen wel grensoverschrijdend)? Dan is de toezichthouder in het land waar de organisatie is gevestigd de leidende toezichthouder.

    Meerdere vestigingen

    Heeft een organisatie meerdere vestigingen in de EU? Dan wordt de plaats waar de centrale administratie van de organisatie zich bevindt als de hoofdvestiging gezien. Dit kan in de praktijk samenvallen met de vestiging die de organisatie zelf aanwijst als hoofdkantoor.

    Maar worden de beslissingen over het doel en de middelen van de gegevensverwerking in een andere vestiging genomen? Dan zien de toezichthouders die andere vestiging als de hoofdvestiging zoals bedoeld in de Algemene verordening gegevensbescherming (AVG).

    Meerdere toezichthouders

    Voert een organisatie verschillende grensoverschrijdende gegevensverwerkingen uit? En worden de beslissingen daarover in verschillende vestigingen genomen? Dan kunnen er meerdere leidende toezichthouders zijn.

    Dit zijn de toezichthouders in de landen waar de beslissingen over de verschillende grensoverschrijdende gegevensverwerkingen worden genomen.

    Voordeel van een-loketmechanisme

    Om voordeel te hebben van het een-loketmechanisme (onestopshop), waarbij organisaties nog met maar één leidende toezichthouder te maken hebben, is het aan te raden om de besluitvorming over de verwerking van persoonsgegevens te centreren op één locatie.

    Bepaal wie uw leidende toezichthouder is

    Wilt u als organisatie een indicatie van wie uw leidende toezichthouder is? Zie dan het stroomschema 'Bepaal wie uw leidende toezichthouder is'.

  • Moet ik de FG ook bij andere Europese toezichthouders aanmelden?

    Dit hoeft niet als de Autoriteit Persoonsgegevens (AP) de ‘leidende toezichthouder’ van uw organisatie is. U hoeft uw Functionaris gegevensbescherming (FG) dan alleen bij de AP te aan te melden.

    Leidende toezichthouder

    Is uw enige vestiging of uw Europese hoofdvestiging in Nederland gesitueerd? Dan is de AP uw leidende toezichthouder.

    Zie ook: Hoe wordt bepaald wie de leidende toezichthouder is voor een organisatie?

    Een-loketmechanisme

    Het principe van de leidende toezichthouder maakt deel uit van het een-loketmechanisme. Dit wordt ook wel ‘onestopshop’ genoemd.

    Het een-loketmechanisme geldt wanneer een organisatie persoonsgegevens verwerkt in meerdere lidstaten van de EU of in één lidstaat persoonsgegevens verwerkt van mensen uit meerdere lidstaten.

    Aanmelden andere betrokken toezichthouders

    Bij de leidende toezichthouder moet u de contactgegevens van de FG bekendmaken.

    Het aanmelden van uw FG bij betrokken toezichthouders in andere lidstaten mag, maar is niet verplicht. De AP raadt dit wel aan. Op die manier bevordert u het contact met andere betrokken toezichthouders. 

    Weet u niet zeker welke toezichthouder de leidende toezichthouder is? Dan kunt u uw FG aanmelden bij de veronderstelde leidende toezichthouder en de andere betrokken toezichthouders.

  • Heb ik als verwerker ook voordeel van het een-loketmechanisme?

    Ja. Ook als verwerker met grensoverschrijdende activiteiten of meerdere vestigingen in de EU kunt u profiteren van het een-loketmechanisme (onestopshop).

    Net als bij de verwerkingsverantwoordelijke wordt bij u de locatie waar uw centrale administratie plaatsvindt als de hoofdvestiging gezien. De toezichthouder in de EU-lidstaat waar uw hoofdvestiging staat, is in principe de leidende toezichthouder.

    Ook voor verwerkers is het een-loketmechanisme het uitgangspunt. Dat betekent dat de leidende toezichthouder de enige privacytoezichthouder in de EU is waarmee u te maken krijgt.

    Hoofdvestiging buiten EU

    Staat uw hoofdvestiging niet in de EU? Dan is de leidende toezichthouder de privacytoezichthouder uit het land waar de vestiging staat waar de belangrijkste gegevensverwerkingen in de EU plaatsvinden.

    Verwerkingsverantwoordelijke en verwerker

    Bent u als verwerker bij een concrete zaak betrokken, maar is de verwerkingsverantwoordelijke dat ook? Dan geldt dat de leidende toezichthouder van de verwerkingsverantwoordelijke als enige de leidende toezichthouder is in die zaak.

    De toezichthouder uit het land waar u als verwerker uw hoofdvestiging heeft, wordt dan een betrokken toezichthouder en werkt samen met de andere betrokken toezichthouders.

    Nooit alleen verwerker

    Let op: u bent eigenlijk nooit alleen maar een verwerker. Ook als u alleen als verwerker persoonsgegevens verwerkt voor anderen, bent u in ieder geval de verwerkingsverantwoordelijke voor de gegevens van uw eigen personeel.

  • Wat zijn de betrokken toezichthouders?

    De leidende toezichthouder die een grensoverschrijdende zaak behandelt, werkt niet alleen. De leidende toezichthouder werkt samen met de privacytoezichthouders van de andere EU-landen waar de gegevensverwerking impact heeft. Deze andere toezichthouders worden de betrokken toezichthouders genoemd.

    Betrokken toezichthouders zijn:

    • de toezichthouders van de EU-lidstaten waar de verwerkingsverantwoordelijke of verwerker een vestiging heeft;
    • de toezichthouders van de EU-lidstaten waar betrokkenen (waarschijnlijk) wezenlijke gevolgen van de grensoverschrijdende verwerking ondervinden;
    • de toezichthouders van de EU-lidstaten waar een klacht is ingediend.

    Samenwerking

    De leidende toezichthouder coördineert de werkzaamheden, betrekt de andere toezichthouders bij de zaak en legt conceptbeslissingen aan de betrokken toezichthouders voor. Ook kunnen toezichthouders gezamenlijk een onderzoek ter plaatse uitvoeren bij vestigingen in een of meerdere EU-lidstaten.

    Verschil van mening

    De leidende toezichthouder en de betrokken toezichthouders delen alle relevante informatie met elkaar en streven ernaar om tot consensus te komen. Verschillen de toezichthouders van mening? Dan kan de European Data Protection Board (EDPB) een bindend besluit nemen. De leidende toezichthouder moet zich daaraan houden.

    Zelfstandig zaak behandelen

    De leidende toezichthouder kan bij uitzondering beslissen dat een grensoverschrijdende zaak feitelijk alleen gevolgen heeft in één lidstaat. De leidende toezichthouder kan de betrokken toezichthouder van deze lidstaat dan toestemming geven om de zaak zelfstandig, buiten het een-loketmechanisme, op te pakken.

  • Wat doe ik als burger met mijn klacht over een grensoverschrijdende verwerking?

    Heeft u een klacht over de verwerking van uw persoonsgegevens? En is die verwerking (mogelijk) grensoverschrijdend? Dan kunt u uw klacht indienen bij de Autoriteit Persoonsgegevens (AP).

    Klacht naar juiste toezichthouder

    De AP kijkt vervolgens of er sprake is van een grensoverschrijdende verwerking. Zo ja, dan kan het zijn dat de AP niet de aangewezen toezichthouder is om uw klacht te behandelen.

    De AP geeft uw klacht dan door aan de Europese collega-toezichthouder die erover gaat. U hoeft hiervoor zelf niets te doen.

    De collega-toezichthouder behandelt uw klacht in nauw overleg met de AP en eventuele andere betrokken toezichthouders.

    Informatie over behandeling klacht

    Heeft u vragen? Dan kunt u altijd terecht bij de AP. Ook geeft de AP u informatie over de behandeling van uw klacht en laat de AP u weten wat de uiteindelijke uitkomst is van uw klacht.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Hulpmiddelen voor professionals

Publicaties

Guidelines