Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening: Deel 8: doorgifte naar landen buiten de EU

Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening: Deel 8: doorgifte naar landen buiten de EU

Thema's: Privacy, Privacy en werk, Privacy compliance, Privacy en overheid

18 mei 2018

Organisaties krijgen tot 25 mei 2018 om de nieuwe regels van de Algemene Verordening Gegevensbescherming (AVG) te implementeren. Dat is volgende week! Dit is deel 8 van onze blogreeks.

Deel 1 ging over het verplichte register van verwerkingsactiviteiten, deel 2 over doelbinding en grondslag en deel 3 over het al dan niet verplicht moeten aanstellen van een Functionaris voor de Gegevensbescherming. In deel 4 behandelen we het beveiligingsbeleid en in het vijfde deel de meldplicht datalekken. Over de afspraken met verwerkers schreven we in deel 6 en in het zevende deel over de privacyverklaring. Hieronder gaan we in op de doorgifte van persoonsgegevens naar landen buiten de EU.

Doorgifte naar derde landen

Persoonsgegevens mogen niet zomaar naar derde landen worden gestuurd. Daarvoor zijn zogenaamde passende waarborgen vereist. Met derde landen wordt bedoeld alle landen buiten de Europese Economische Ruimte (EER). De EER bestaat uit alle landen van de Europese Unie (EU), Liechtenstein, Noorwegen en IJsland. Deze laatste drie landen hebben zich verplicht om de AVG te implementeren in eigen wetgeving.

Als bepaalde persoonsgegevens worden opgeslagen in een derde land, bijvoorbeeld via een Amerikaanse cloud leverancier, zullen aanvullende maatregelen nodig zijn. Het begrip doorgifte wordt ruim uitgelegd en geldt bijvoorbeeld ook als personen uit een derde land toegang hebben tot de persoonsgegevens die zich in de EU bevinden. Denk aan een systeembeheerder die vanuit India toegang heeft tot de systemen waarin persoonsgegevens staan.

Passend beschermingsniveau

De doorgifte van persoonsgegevens is een verwerking en die zal dus moeten voldoen aan de basisbeginselen uit de AVG. Zo zal voor de doorgifte een gerechtvaardigd doel moeten bestaan en zullen niet meer gegevens mogen worden doorgegeven dan nodig om dat doel te bereiken. Persoonsgegevens mogen alleen zonder aanvullende maatregelen naar landen worden doorgegeven waarvan de Europese Commissie door middel van een zogenaamd 'adequaatheidsbesluit' heeft geoordeeld dat daar sprake is van een passend beschermingsniveau. Momenteel zijn dat Andorra, Argentinië, Canada, Faeröer eilanden, Guernsey, Israel, Isle of Man, Jersey, New Zeeland, Zwitserland en Uruguay. Deze landen zijn volgens de Europese Commissie  met de EER vergelijkbaar als het gaat om de bescherming van grondrechten van individuen.

Ook zijn er landen waarvan de Europese Commissie onder bepaalde voorwaarden oordeelt dat sprake is van voldoende waarborgen. De Verenigde Staten zijn daar een voorbeeld van. Doorgifte van persoonsgegevens aan de VS mag indien de persoonsgegevens worden verstrekt aan een bedrijf of organisatie die EU-VS Privacy Shield geregistreerd is. Organisaties in de VS kunnen zich certificeren als zij laten zien dat zij een passend beschermingsniveau hanteren dat overeenkomt met de AVG. Om te weten of uw Amerikaanse cloud aanbieder of partner EU-VS Privacy Shield geregistreerd is kan opgezocht worden via deze link.

De grote Amerikaanse bedrijven zoals Microsoft, Amazon, Google en Facebook zijn bijvoorbeeld geregistreerde bedrijven. Wel is het belangrijk om na te gaan voor welke persoonsgegevens de certificering geldt, want gegevens van werknemers (HR genoemd in de lijst) vallen hier vaak buiten.

Geen passende bescherming?

Persoonsgegevens mogen niet worden doorgegeven naar landen zonder passend beschermingsniveau, tenzij een van de wettelijke uitzonderingen geldt. In artikel 49 AVG zijn deze uitzonderingen opgenomen, namelijk:

  • Uitdrukkelijke toestemming van de betrokkene met de doorgifte;
  • Wettelijke verplichting;
  • Uitvoering van een overeenkomst met de betrokkene;
  • Uitvoering van een overeenkomst waarbij betrokkene een belang heeft;
  • Zwaarwegend algemeen belang;
  • Vitaal belang van betrokkene;
  • Wanneer gebruik gemaakt wordt van Europese Modelcontracten;
  • Wanneer je een vergunning hebt verkregen bij de minister van Justitie en Veiligheid.

Als geen beroep kan worden gedaan op één van deze uitzonderingen en het land kent geen passend beschermingsniveau, dan is doorgifte van persoonsgegevens onrechtmatig met alle boete- en reputatierisico’s van dien.

Opnemen in register en informeren

Maakt u gebruik van een Amerikaanse cloud leverancier of organiseert u acties via Facebook? Dan zal u dit ook op moeten nemen in uw register van verwerkingsactiviteiten en in de privacyverklaring op uw website! 

Heeft u hulp nodig met het goed regelen van de doorgifte van persoonsgegevens buiten de EU of heeft u andere vragen over de AVG, neem dan contact op met Monique Hennekens.