Europese organisaties ontvangen geregeld verzoeken van niet-Europese autoriteiten om data met hen te delen. Bijvoorbeeld op het gebied van strafrecht, de controle van financiële transacties of de goedkeuring van nieuwe medicatie. De European Data Protection Board heeft nu guidelines opgesteld om aan te geven hoe organisaties met dergelijke verzoeken om moeten gaan. Bottom line? Als er persoonsgegevens bij betrokken zijn, mag data alleen onder hele strenge voorwaarden de EU uit.

De AVG en dataverzoeken van landen buiten Europa

Binnen de Europese Economische Ruimte (EER) mogen persoonsgegevens probleemloos worden doorgegeven. Daar gelden namelijk de regels van de GDPR, in Nederland de AVG.

Buiten de EER zijn er landen, waarover de Europese Commissie een adequaatheidsbesluit heeft genomen. De Europese Commissie stelt bij zo’n beslissing vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG. Doorgifte mag dan plaatsvinden zonder dat er verdere waarborgen of machtigingen voor nodig zijn.

Landen waarmee een adequaatheidsbesluit is gesloten, zijn onder meer Argentinië, Verenigd Koninkrijk, Japan, Zwitserland en de Verenigde Staten. Voor de laatste genoemde geldt dit besluit alleen voor organisaties die meedoen aan het Data Privacy Framework.

Is er geen adequaatheidsbesluit met een land genomen?

Dan spreken we in AVG-termen van een zogenaamd ‘derde land’.

De AVG zegt in artikel 48 over verzoeken van autoriteiten van derde landen het volgende:

“Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde land en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.”

EDPB verduidelijkt de AVG met guidelines

De European Data Protection Board (EDPB) heeft guidelines opgesteld met aanbevelingen voor verwerkingsverantwoordelijken en verwerkers in de EU die verzoeken van autoriteiten van derde landen ontvangen om persoonsgegevens openbaar te maken of over te dragen.

Overheidsinstanties uit derde landen kunnen Europese organisaties bijvoorbeeld benaderen om bewijs van een misdrijf te verzamelen, financiële transacties te controleren of nieuwe medicijnen goed te keuren.

De guidelines die de EDPB nu heeft opgesteld, gaan met name in op verzoeken die ontstaan uit een gerechtelijke uitspraak of besluit. Uitspraken of besluiten van autoriteiten uit derde landen worden in Europa niet automatisch erkend of uitgevoerd.

Waarom niet?

Omdat de AVG daar een stokje voor steekt. Bij de overdracht van persoonsgegevens moet aan de regels van de AVG worden voldaan. Zo moet er een rechtsgrondslag zijn om die gegevens over te dragen.

Een internationale overeenkomst kan zowel een rechtsgrondslag als een grond voor overdracht bieden.

Bestaat er geen internationale overeenkomst met het derde land? Of voorziet de overeenkomst niet in een passende rechtsgrondslag of waarborgen?

Dan kunnen andere rechtsgrondslagen of andere gronden voor overdracht worden overwogen, in uitzonderlijke omstandigheden en van geval tot geval.

Meer weten?

Lees dan de guidelines van de EDPB.

Meer weten over het delen van persoonsgegevens met derde landen?

Lees hierover onze blog ‘persoonsgegevens doorgeven buiten de EU? Dit zijn de regels.’

Zeker weten dat u niks mist?

Abonneert u zich dan op onze nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.