• Home |
  • Kennis |
  • Tien dingen die je moet weten over de Privacy-verordening: doorgifte naar landen buiten de EU

Tien dingen die je moet weten over de Privacy-verordening: doorgifte naar landen buiten de EU

Privacy-verordening

Organisaties krijgen tot 25 mei 2018 om de nieuwe regels van de Algemene Verordening Gegevensbescherming (AVG) te implementeren. Dit is deel 8 van onze blogreeks.

Doorgifte naar derde landen

Persoonsgegevens mogen niet zomaar naar derde landen worden gestuurd. Daarvoor zijn zogenaamde passende waarborgen vereist. Met derde landen wordt bedoeld alle landen buiten de Europese Economische Ruimte (EER). De EER bestaat uit alle landen van de Europese Unie (EU), Liechtenstein, Noorwegen en IJsland. Deze laatste drie landen hebben zich verplicht om de AVG te implementeren in eigen wetgeving.

Als bepaalde persoonsgegevens worden opgeslagen in een derde land, bijvoorbeeld via een Amerikaanse cloud leverancier, zullen aanvullende maatregelen nodig zijn. Het begrip doorgifte wordt ruim uitgelegd en geldt bijvoorbeeld ook als personen uit een derde land toegang hebben tot de persoonsgegevens die zich in de EU bevinden. Denk aan een systeembeheerder die vanuit India toegang heeft tot de systemen waarin persoonsgegevens staan.

Passend beschermingsniveau

De doorgifte van persoonsgegevens is een verwerking en die zal dus moeten voldoen aan de basisbeginselen uit de AVG. Zo zal voor de doorgifte een gerechtvaardigd doel moeten bestaan en zullen niet meer gegevens mogen worden doorgegeven dan nodig om dat doel te bereiken. Persoonsgegevens mogen alleen zonder aanvullende maatregelen naar landen worden doorgegeven waarvan de Europese Commissie door middel van een zogenaamd ‘adequaatheidsbesluit’ heeft geoordeeld dat daar sprake is van een passend beschermingsniveau. Momenteel zijn dat Andorra, Argentinië, Canada, Faeröer eilanden, Guernsey, Israel, Isle of Man, Jersey, New Zeeland, Zwitserland en Uruguay. Deze landen zijn volgens de Europese Commissie  met de EER vergelijkbaar als het gaat om de bescherming van grondrechten van individuen.

Ook zijn er landen waarvan de Europese Commissie onder bepaalde voorwaarden oordeelt dat sprake is van voldoende waarborgen. De Verenigde Staten zijn daar een voorbeeld van. Doorgifte van persoonsgegevens aan de VS mag indien de persoonsgegevens worden verstrekt aan een bedrijf of organisatie die EU-VS Privacy Shield geregistreerd is. Organisaties in de VS kunnen zich certificeren als zij laten zien dat zij een passend beschermingsniveau hanteren dat overeenkomt met de AVG. Om te weten of jouw Amerikaanse cloud aanbieder of partner EU-VS Privacy Shield geregistreerd is kan opgezocht worden via deze link.

De grote Amerikaanse bedrijven zoals Microsoft, Amazon, Google en Facebook zijn bijvoorbeeld geregistreerde bedrijven. Wel is het belangrijk om na te gaan voor welke persoonsgegevens de certificering geldt, want gegevens van werknemers (HR genoemd in de lijst) vallen hier vaak buiten.

Geen passende bescherming?

Persoonsgegevens mogen niet worden doorgegeven naar landen zonder passend beschermingsniveau, tenzij een van de wettelijke uitzonderingen geldt. In artikel 49 AVG zijn deze uitzonderingen opgenomen, namelijk:

  • Uitdrukkelijke toestemming van de betrokkene met de doorgifte;
  • Wettelijke verplichting;
  • Uitvoering van een overeenkomst met de betrokkene;
  • Uitvoering van een overeenkomst waarbij betrokkene een belang heeft;
  • Zwaarwegend algemeen belang;
  • Vitaal belang van betrokkene;
  • Wanneer gebruik gemaakt wordt van Europese Modelcontracten;
  • Wanneer je een vergunning hebt verkregen bij de minister van Justitie en Veiligheid.

Als geen beroep kan worden gedaan op één van deze uitzonderingen en het land kent geen passend beschermingsniveau, dan is doorgifte van persoonsgegevens onrechtmatig met alle boete- en reputatierisico’s van dien.

Opnemen in register en informeren

Maak je gebruik van een Amerikaanse cloud leverancier of organiseer je acties via Facebook? Dan zal je dit ook op moeten nemen in jouw register van verwerkingsactiviteiten en in de privacyverklaring op je website!

Stel je vragen aan onze specialisten

“Neem contact met mij op en ontvang antwoord op jouw vragen. Ik ben bereikbaar per mail of telefoon.”
Joost Mosselman