Doorgifte persoonsgegevens buiten de EU (derde landen)

Doorgifte persoonsgegevens buiten de EU (derde landen)

De AVG bevat zonder twijfel de strengste regelgeving wereldwijd op het gebied van bescherming van persoonsgegevens. Om te voorkomen dat deze bescherming aan kracht verliest, heeft de AVG strenge bepalingen opgenomen met betrekking tot het doorgeven van persoonsgegevens naar landen buiten de EU (de AVG spreekt over doorgifte naar derde landen).

Voorbeelden verwerking buiten de EU

Men is snel geneigd te denken dat bedrijven die alleen in Nederland werken geen gegevens naar het buitenland doorgeven. Maar toch kan het zijn dat uw bedrijf dit wel doet. Bijvoorbeeld door uw gegevens op te slaan in de cloud, op een server die zich buiten de EU bevindt. Maar ook door het uitbesteden van handelingen aan een verwerker die zich buiten de EU bevindt. Het geldt ook voor het doorgeven van gegevens aan een moeder- of zustermaatschappij buiten de EU, maar dit zal voor de kleinere organisaties minder snel aan de orde zijn.

Onder welke voorwaarden mag doorgifte buiten de EU wel?

De AVG stelt als voorwaarde voor doorgifte naar landen buiten de EU dat er in ieder geval sprake is van een vergelijkbaar beveiligingsniveau. Om dit te waarborgen bestaan de volgende mogelijkheden:
• Doorgifte op basis van adequaatheidsbesluiten
Een dergelijk besluit wordt genomen door de Europese Commissie (EC). De EC kijkt hierbij onder andere naar de bescherming van mensenrechten in het betreffende land, de aanwezigheid van toezichthoudende autoriteiten (zoals de Autoriteit Persoonsgegevens in Nederland) en eventuele internationale toezeggingen die het land gedaan heeft. Als een land op de lijst van veilige landen bij de EC staat, dan mag doorgifte plaatsvinden.
• Doorgifte op basis van passende waarborgen
Wanneer een land niet als adequaat is aangemerkt, dan is doorgifte alleen toegestaan wanneer sprake is van passende waarborgen. Dit zijn waarborgen die de rechten van betrokkenen en de plichten voor verantwoordelijken en verwerkers, afdwingen. Dit kan bijvoorbeeld in de vorm van contractuele waarborgen of via Binding Corporate Rules (Bindende Bedrijfsvoorschriften). Dit zal echter voor de meeste kleine organisaties niet aan de orde zijn.
• Doorgifte in afwijkende situaties
Maar ook als er geen sprake is van een adequaatheidsbesluit of passende waarborgen, dan zou doorgifte op basis van afwijkende specifieke situaties kunnen plaatsvinden. Bijvoorbeeld wanneer betrokkenen uitdrukkelijk toestemming geven voor de doorgifte van persoonsgegevens en alleen na adequate uitleg over de risico’s, of wanneer de doorgifte noodzakelijk is voor de uitvoering van een met betrokkene gesloten overeenkomst.

Wanneer geen van deze uitzonderingen van toepassing zijn, kan eventueel nog toestemming worden gevraagd aan de toezichthoudende autoriteit.

Al met al geen simpele kost, maar het is goed om na te gaan of uw organisaties voor de gegevensverwerking gebruikmaakt van bedrijven die buiten de EU gevestigd zijn. Is dit het geval, ga dan na of dit bedrijf aan bovenstaande criteria voldoet.

Een checklist ‘doorgifte gegevens naar landen buiten de EU’ maakt onderdeel uit van het doehetzelf-pakket.

Terug naar inleiding

Lees ook: gegevens buiten EU brengen

Bent u nog niet klaar voor de AVG? Bestel dan snel ons doehetzelf-pakket: functioneel, praktisch en betaalbaar

Print Friendly, PDF & Email
Reageren is niet mogelijk.