Op 2 september jl. is de nieuwe guidance van de European Data Protection Board over de begrippen ‘verwerkingsverantwoordelijke’ en verwerker’ aangenomen ter consultatie (EDPB 07/2020).2European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, version 1.0 as adopted on 02 September 2020 (hierna: EDPB 07/2020). De publieke consultatie is inmiddels gesloten. Op de daarop gepubliceerde reacties bespreken wij nader in een uitgebreider artikel over de praktische toepassing van de EDPB Guidelines dat verschijnt in TvIR begin 2021; <edpb.europa.eu>, geraadpleegd op 10 november 2020. Aanleiding hiervoor was tweeledig. Ten eerste was het met de komst van de AVG de vraag in hoeverre de eerdere duiding van de begrippen door de Artikel 29-Werkgroep (WP29) – de voorloper van de EDPB – nog actueel was.3Groep Gegevensbescherming Artikel 29, Advies 01/2010 over de begrippen “voor de verwerking verantwoordelijke” en “verwerker”, WP169, 16 februari 2010, p.1; (hierna: WP169). Hoewel WP169 niet officieel wass aangenomen door de EDPB, verwees de EDPB wel in diverse stukken nog naar deze opinie. De EDPB verwijst onder meer naar WP169 in EDPB, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), 16 november 2018, EDPB-EDPS Joint Opinion 1/2019 on the processing of patients’ data and the role of the European Commission within the eHealth Digital Service Infrastructure (eHDSI), 12 July 2019, beschikbaar via www.edpb.europa.eu, geraadpleegd op 19 november 2020. Ten tweede behoeft de concrete toepassing van de begrippen nadere verduidelijking.4Zie EDPB 07/2020, p. 7-8. Helemaal mee eens. Maar is dat gelukt? We nemen de proef op de som.