Het doorgeven van persoonsgegevens naar landen buiten de Europese Unie is complex. Door de ongeldig verklaring van het Privacy Shield afgelopen zomer zelfs complexer dan ooit. Wij zetten de ‘veilige’ landen voor doorgifte voor u op een rij en bespreken de mogelijkheden om ook daarbuiten persoonsgegevens uit te wisselen.

Voor de doorgifte van persoonsgegevens naar landen buiten de EU gelden aparte regels. Het gaat om alle landen buiten de EU, met uitzondering van Noorwegen, Liechtenstein en IJsland. Deze drie bevinden zich namelijk in de Europese Economische Ruimte (EER) en kennen een gelijkwaardig beschermingsniveau aangaande persoonsgegevens. In het geval van doorgifte naar deze drie landen, hoeft er slechts te worden voldaan aan de algemene AVG-regels.

De hoofdregel is dat een organisatie persoonsgegevens alleen mag doorgeven naar landen buiten de EER met een passend beschermingsniveau. Dan komen we automatisch op de volgende vraag:

Zijn er landen buiten de EER waar we persoonsgegevens mee mogen uitwisselen?

Buiten de EER zijn er landen, waarover de Europese Commissie een adequaatheidsbesluit heeft genomen. De Europese Commissie stelt bij zo’n beslissing vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG. Het kan om gehele landen gaan, maar ook over bepaalde delen of sectoren (zoals bij Canada het geval is). Het gaat om:

Doorgifte persoonsgegevens buiten de EU

  • Andorra

  • Argentinië

  • Canada (alleen commerciële organisaties)

  • Faeröer Eilanden

  • Guernsey

  • Isle of Man

  • Israël

  • Japan

  • Jersey

  • Nieuw Zeeland

  • Zwitserland

  • Uruguay

Deze landen bieden een passend beschermingsniveau. De privacyregels in deze landen zijn niet exact hetzelfde als die van de AVG, maar bieden wel een vergelijkbaar niveau van gegevensbescherming waardoor er geen aanvullende waarborgen hoeven te worden getroffen.

Bij de bepaling of een land voldoet aan de eisen van gegevensbescherming, wordt onder meer gekeken naar de mate van overheidsinmenging, de eerbiediging van mensenrechten en de werking van onafhankelijke toezichthouders.

Bij de uitwisseling van persoonsgegevens met deze landen gelden de regels van het betreffende adequaatheidsbesluit.

Overigens kunnen deze besluiten altijd weer ingetrokken of ongeldig verklaard worden. Zo ook in het geval van het Privacy Shield.

Privacy Shield EU

Privacy Shield van de baan

Eerder berichtten we al dat het Privacy Shield ongeldig is verklaard. Het adequaatheidsbesluit met Amerika is dus niet langer van toepassing.

Hierdoor zijn de Verenigde Staten in het rijtje met landen beland die geen passend beschermingsniveau bieden.

Welke opties zijn er om gegevens uit te wisselen met deze landen?

Gegevensdoorgifte met landen zonder adequaatheidsbesluit

Er blijven wereldwijd nog vele landen over die niet binnen de EER vallen en waarovergeen adequaatheidsbeslissing is genomen.

Gegevens uitwisselen met die landen is vele malen complexer. Een passend beschermingsniveau is in de meeste gevallen een vereiste. Welke tools kunt u inzetten om gegevens met dit type landen uit te wisselen?

Standard Contractual Clauses (SCC)

De Europese Commissie heeft drie modelcontractbepalingen (SCC) opgesteld, die voldoende waarborgen bieden op het gebied van gegevensbescherming.

Voor het gebruik van de Standard Contractual Clauses zult u in ieder geval moeten kunnen aantonen dat u heeft geverifieerd of het beschermingsniveau in het land van ontvangst gewaarborgd wordt.

Zo niet, dan moet u passende waarborgen treffen om dit niveau wel te behalen.

In het geval van Amerika is gebleken dat Amerikaanse inlichtingen- en veiligheidsdiensten rechten hebben om alle gegevens van EU-burgers in te zien en te gebruiken. Uitgebreide encryptie zonder sleutel lijkt dan nog de enige optie om passende waarborgen te kunnen bieden.

Binding Corporate Rules (BCR)

Deze zijn er voor interne gegevensuitwisseling binnen een internationale organisatie of multinational. Vooral interessant voor grote organisaties. De BCR moeten goedgekeurd worden door de toezichthouder (Autoriteit Persoonsgegevens in Nederland).

internationaal contracteren.jpg

Gedragscodes goedgekeurd door de toezichthouder en certificering

Het is ook mogelijk een gedragscode voor de gegevensuitwisseling met een bepaald land te laten goedkeuren door de toezichthouder of een passend beschermingsniveau te bewerkstelligen via een certificeringsmechanisme. Dit is echter een tijdrovende en intensieve klus.

Overige mogelijkheden

Er zijn ook nog een paar uitzonderingssituaties. Deze zijn met name bedoeld voor verwerkingsactiviteiten die incidenteel zijn.

Denk aan de doorgifte van persoonsgegevens met toestemming van de betrokkene en waarbij de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke.

Zeker weten dat u niks mist?

Abonneert u zich dan nu op onze maandelijkse nieuwsbrief. U ontvangt al onze blogs dan automatisch 1 keer per maand in uw mailbox.