Tien dingen die je moet weten over de Privacy-verordening: doorgifte naar landen buiten de EU

Organisaties krijgen tot 25 mei 2018 om de nieuwe regels van de Algemene Verordening Gegevensbescherming (AVG) te implementeren. Dat is volgende week! Dit is deel 8 van onze blogreeks.

Persoonsgegevens mogen niet zomaar naar derde landen worden gestuurd. Daarvoor zijn zogenaamde passende waarborgen vereist. Met derde landen wordt bedoeld alle landen buiten de Europese Economische Ruimte (EER). De EER bestaat uit alle landen van de Europese Unie (EU), Liechtenstein, Noorwegen en IJsland. Deze laatste drie landen hebben zich verplicht om de AVG te implementeren in eigen wetgeving.

Als bepaalde persoonsgegevens worden opgeslagen in een derde land, bijvoorbeeld via een Amerikaanse cloud leverancier, zullen aanvullende maatregelen nodig zijn. Het begrip doorgifte wordt ruim uitgelegd en geldt bijvoorbeeld ook als personen uit een derde land toegang hebben tot de persoonsgegevens die zich in de EU bevinden. Denk aan een systeembeheerder die vanuit India toegang heeft tot de systemen waarin persoonsgegevens staan.

De doorgifte van persoonsgegevens is een verwerking en die zal dus moeten voldoen aan de basisbeginselen uit de AVG. Zo zal voor de doorgifte een gerechtvaardigd doel moeten bestaan en zullen niet meer gegevens mogen worden doorgegeven dan nodig om dat doel te bereiken. Persoonsgegevens mogen alleen zonder aanvullende maatregelen naar landen worden doorgegeven waarvan de Europese Commissie door middel van een zogenaamd ‘adequaatheidsbesluit’ heeft geoordeeld dat daar sprake is van een passend beschermingsniveau. Momenteel zijn dat Andorra, Argentinië, Canada, Faeröer eilanden, Guernsey, Israel, Isle of Man, Jersey, New Zeeland, Zwitserland en Uruguay. Deze landen zijn volgens de Europese Commissie  met de EER vergelijkbaar als het gaat om de bescherming van grondrechten van individuen.

Ook zijn er landen waarvan de Europese Commissie onder bepaalde voorwaarden oordeelt dat sprake is van voldoende waarborgen. De Verenigde Staten zijn daar een voorbeeld van. Doorgifte van persoonsgegevens aan de VS mag indien de persoonsgegevens worden verstrekt aan een bedrijf of organisatie die EU-VS Privacy Shield geregistreerd is. Organisaties in de VS kunnen zich certificeren als zij laten zien dat zij een passend beschermingsniveau hanteren dat overeenkomt met de AVG. Om te weten of jouw Amerikaanse cloud aanbieder of partner EU-VS Privacy Shield geregistreerd is kan opgezocht worden via deze link.

De grote Amerikaanse bedrijven zoals Microsoft, Amazon, Google en Facebook zijn bijvoorbeeld geregistreerde bedrijven. Wel is het belangrijk om na te gaan voor welke persoonsgegevens de certificering geldt, want gegevens van werknemers (HR genoemd in de lijst) vallen hier vaak buiten.

Persoonsgegevens mogen niet worden doorgegeven naar landen zonder passend beschermingsniveau, tenzij een van de wettelijke uitzonderingen geldt. In artikel 49 AVG zijn deze uitzonderingen opgenomen, namelijk:

Als geen beroep kan worden gedaan op één van deze uitzonderingen en het land kent geen passend beschermingsniveau, dan is doorgifte van persoonsgegevens onrechtmatig met alle boete- en reputatierisico’s van dien.

Maak je gebruik van een Amerikaanse cloud leverancier of organiseer je acties via Facebook? Dan zal je dit ook op moeten nemen in jouw register van verwerkingsactiviteiten en in de privacyverklaring op je website!

Heb je hulp nodig met het goed regelen van de doorgifte van persoonsgegevens buiten de EU of heb je andere vragen over de AVG, neem dan contact op met een van onze experts op het gebied van Privacy & IT.