Europees Comité voor gegevensbescherming



15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Brussels, 13 March - On March 12th and 13th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their eighth plenary session. During the plenary a wide range of topics were discussed. 
Interplay ePrivacy Directive and GDPR

The EDPB adopted its opinion on the interplay between the ePrivacy Directive and the General Data Protection Regulation. The opinion seeks to provide an answer to the question whether the fact that the processing of personal data triggers the material scope of both the GDPR and the ePrivacy Directive, limits the competences, tasks and powers of data protection authorities under the GDPR. The EDPB opines that data protection authorities are competent to enforce the GDPR. The mere fact that a subset of the processing falls within the scope of the ePrivacy directive, does not limit the competence of data protection authorities under the GDPR.

An infringement of the GDPR may at the same time constitute an infringement of national ePrivacy rules. SAs may take this into consideration when applying the GDPR (e.g. when assessing compliance with the lawfulness or fairness principles).  

Statement on the future ePrivacy Regulation
The EDPB adopted a statement calling upon EU legislators to intensify efforts towards the adoption of the ePrivacy Regulation, which is essential to complete the EU's framework for data protection and the confidentiality of electronic communications.

The future ePrivacy Regulation should under no circumstance lower the level of protection offered by the current ePrivacy Directive and should complement the GDPR by providing additional strong guarantees for all types of electronic communications.

DPIA Lists 

The EDPB adopted two opinions on the Data Protection Impact Assessment (DPIA) lists submitted to the Board by Spain and Iceland. These lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. While in general the data controller needs to assess if a DPIA is required before engaging in the processing activity, national supervisory authorities shall establish and make a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. These two opinions follow the 28 opinions adopted during previous plenary meetings, and will further contribute to establishing common criteria for DPIA lists across the EEA.

Statement on the use of personal data in the course of political campaigns

In light of the upcoming European elections and other elections taking place across the EU and beyond in 2019, the EDPB has adopted a statement on the use of personal data during election campaigns. Data processing techniques for political purposes can pose serious risks, not just with regard to the rights to privacy and data protection, but also to the integrity of the democratic process. In its statement, the EDPB highlights a number of key points which need to be taken into consideration when political parties process personal data in the course of electoral activities.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Brussels, 13 February - On February 12th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their seventh plenary session. During the plenary a wide range of topics were discussed.
EDPB 2019/2020 Work program
The Board adopted its two-year work program for 2019-2020, according to Article 29 of the EDPB Rules of Procedure. The EDPB work program is based on the needs identified by the members as priority for individuals, stakeholders, as well as the EU legislator- planned activities.

Draft administrative arrangement in the field of financial markets supervision

The EDPB adopted its first opinion on an administrative arrangement (AA), based on article 46.3.b of the GDPR, for transfers of personal data between EEA financial supervisory authorities, including the European Securities and Markets Authority (ESMA) and their non-EU counterparts. This arrangement will be submitted to the competent supervisory authorities (SAs) for authorisation at national level. The competent supervisory authorities will monitor the AA and its practical application to ensure that there are in practice effective and enforceable data subject rights and appropriate means of redress and supervision.


The EDPB adopted an information note addressed to commercial entities and public authorities on data transfers under the GDPR in the event of a no-deal Brexit.

Data flows from the EEA to UK

In the absence of an agreement between the EU and the UK (no-deal Brexit), the UK will become a third country from 00.00 am CET on 30 March 2019. As a consequence, the transfer of personal data from the EEA to the UK will have to be based on one of the following instruments: Standard or ad hoc Data Protection Clauses, Binding Corporate Rules, Codes of Conduct and Certification Mechanisms and the specific transfer instruments available to public authorities. In the absence of Standard Data Protection Clauses or other alternative appropriate safeguards, derogations can be used under certain conditions.

Data flows from UK to the EEA

As regards data transfers from the UK to the EEA, according to the UK Government, the current practice, which permits personal data to flow freely from the UK to the EEA, will continue in the event of a no-deal Brexit.


Guidelines on codes of conduct
The EDPB adopted guidelines on codes of conduct. The aim of these guidelines is to provide practical guidance and interpretative assistance in relation to the application of Articles 40 and 41 GDPR. The guidelines intend to help clarify the procedures and the rules involved in the submission, approval and publication of codes of conduct at both the national and the European level. These guidelines should further act as a clear framework for all competent supervisory authorities, the Board and the Commission to evaluate codes of conduct in a consistent manner and to streamline the procedures involved in the assessment process. The guidelines will be subject to public consultation.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary


24 January 2019

Brussel, 24 januari 2019 — De Europese gegevensbeschermingsautoriteiten hebben op 22 en 23 januari hun zesde plenaire vergadering gehouden in het kader van het Europees Comité voor gegevensbescherming (European Data Protection Board, EDPB). Tijdens de plenaire vergadering is een breed scala aan onderwerpen besproken.
De leden van het Comité hebben het verslag van de EDPB over de tweede jaarlijkse evaluatie van het EU-VS-privacyschild goedgekeurd. De EDPB verwelkomt  de inspanningen van de Amerikaanse autoriteiten en de Commissie wat betreft de tenuitvoerlegging van het privacyschild, met name de maatregelen om het initiële certificeringsproces aan te passen en ambtshalve toezicht- en handhavingsmaatregelen in te leiden, alsmede het streven naar bekendmaking van een aantal belangrijke documenten, ten dele door derubricering (zoals bij beslissingen van het FISA-hof), de benoeming van een nieuwe voorzitter en drie nieuwe leden van de Privacy and Civil Liberties Oversight Board (PCLOB) en de onlangs aangekondigde benoeming van een permanente Ombudspersoon.

Gezien de bevindingen van de tweede evaluatie geeft de uitvoering van het privacyschild op een aantal punten nog steeds aanleiding tot zorg. Zo heeft de voorganger van de EDPB, de Artikel 29 Werkgroep, reeds haar bezorgdheid geuit over het ontbreken van concrete garanties dat het ongericht verzamelen en inzien van persoonsgegevens ten behoeve van de nationale veiligheid is uitgesloten. Verder kan de EDPB uit de informatie die tot dusver bekend is gemaakt, niet opmaken dat de Ombudspersoon voldoende bevoegdheden heeft om op te treden tegen inbreuken. Ook wijst de EDPB erop dat de controles op de inhoudelijke naleving van de beginselen van het privacyschild niet grondig genoeg zijn.

Bovendien maakt de EDPB zich zorgen over de controles die noodzakelijk zijn om te voldoen aan de vereisten inzake verdere doorgifte, de reikwijdte van de betekenis van HR-gegevens en het certificeringsproces, alsook de lijst van problemen die bij de eerste evaluatie naar voren zijn gebracht en nog niet zijn opgelost.

De EDPB heeft mogelijke gevolgen van de Brexit op het gebied van gegevensbescherming besproken. De leden hebben afgesproken te zullen samenwerken en informatie te zullen uitwisselen over de voorbereidingen op de Brexit en de instrumenten die ter beschikking staan voor het doorgeven van gegevens naar het Verenigd Koninkrijk nadat het land de EU heeft verlaten.

Vragen en antwoorden over klinische proeven
Op verzoek van de Europese Commissie (DG SANTE) heeft de EDPB advies uitgebracht over de vragen en antwoorden met betrekking tot klinische proeven. Het advies gaat met name over aspecten die verband houden met passende rechtsgrondslagen in de context van klinische proeven en het secundaire gebruik van de bij klinische proeven verkregen gegevens voor wetenschapsdoeleinden. Het advies zal aan de Europese Commissie worden toegezonden.

Lijsten voor gegevensbeschermingseffectbeoordelingen
De EDPB heeft adviezen uitgebracht over de lijsten voor gegevensbeschermingseffectbeoordelingen die door Liechtenstein en Noorwegen bij de EDPB zijn ingediend. Deze lijsten zijn een belangrijk instrument voor een consistente toepassing van de Algemene Verordening Gegevensbescherming in de hele EER. Een gegevensbeschermingseffectbeoordeling is een proces om de risico’s die van invloed kunnen zijn op de rechten en vrijheden van personen in kaart te brengen en binnen de perken te houden. De algemene regel is dat de verwerkingsverantwoordelijke moet beoordelen of een gegevensbeschermingseffectbeoordeling vereist is, voordat hij met de verwerking begint. De nationale toezichthoudende autoriteiten moeten echter een lijst opstellen van het soort verwerkingsactiviteiten waarvoor een gegevensbeschermingseffectbeoordeling verplicht is. Deze twee adviezen volgen op de 22 adviezen die op de plenaire vergadering van september zijn vastgesteld en de vier adviezen die op de plenaire vergadering van december zijn vastgesteld, en leveren opnieuw een bijdrage aan de totstandkoming van gemeenschappelijke criteria die in de hele EER voor gegevensbeschermingseffectbeoordelingen moeten gelden.

Richtsnoeren voor certificering
De EDPB heeft na een openbare raadpleging de definitieve versie van de richtsnoeren voor certificering bekendgemaakt. Daarnaast is ook een nieuwe bijlage vastgesteld. Een ontwerpversie van de richtsnoeren was vastgesteld op de eerste plenaire vergadering van de EDPB, in mei 2018. De richtsnoeren moeten primair fungeren als overkoepelende criteria die relevant kunnen zijn voor alle soorten certificeringsmechanismen die overeenkomstig de artikelen 42 en 43 AVG worden opgesteld. De richtsnoeren geven aan wat de zin van certificering is in verband met de verantwoordingsplicht, geven uitleg over de belangrijkste begrippen die in de bepalingen van de artikelen 42 en 43 worden gebruikt en leggen uit welke zaken kunnen worden gecertificeerd en wat het doel van certificering is. De richtsnoeren bieden lidstaten, toezichthoudende autoriteiten en nationale accreditatie-instanties hulp bij de toetsing en goedkeuring van certificeringscriteria overeenkomstig de artikelen 42 en 43 AVG. De bijlage zal beschikbaar worden gesteld voor publieke consultatie.  

Antwoord aan de Australische toezichthoudende autoriteit over melding van inbreuken in verband met persoonsgegevens
De voorzitter van de EDPB heeft in oktober 2018 een schriftelijk verzoek ontvangen van de Australian Information Commissioner over de publicatie van meldingen van inbreuken in verband met persoonsgegevens door de toezichthoudende autoriteiten. De EDPB is verheugd over de belangstelling van de Australian Information Commissioner voor samenwerking met de EDPB op dit gebied, en benadrukt dat internationale samenwerking belangrijk is. De EDPB verstrekt in zijn antwoord nadere informatie over de wijze waarop toezichthoudende autoriteiten omgaan met de publicatie van informatie over inbreuken in verband met persoonsgegevens.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary