Leestijd: 3 minuten
Wanneer persoonsgegevens worden doorgegeven buiten de Europese Economische Ruimte (EER), spreken we van doorgifte aan een zogeheten derde land. Voor deze doorgifte gelden strikte regels op grond van de Algemene Verordening Gegevensbescherming (AVG). In deze blog zal deze doorgifte besproken worden.
De AVG en derde landen
Binnen de EER is doorgifte van persoonsgegevens vrij toegestaan, omdat alle landen gebonden zijn aan de AVG. Dit is een relevant onderwerp, want veel bedrijven en organisaties gebruiken bijvoorbeeld clouddiensten waarvan de servers zich buiten de EER bevinden. En zodra via die servers persoonsgegevens worden verwerkt, is er sprake van zo’n doorgifte. Daarmee zijn de rechten en vrijheden van betrokkenen voldoende gewaarborgd. Op grond van artikel 44 AVG en 45 AVG mag doorgifte naar een derde land of internationale organisatie alleen plaatsvinden als het een passend beschermingsniveau waarborgt. Daarmee wordt bedoeld dat het beschermingsniveau in grote lijnen overeenkomt met de waarborgen die de AVG in Europa biedt. Derde landen zijn landen die niet vallen onder de lidstaten van de EU tezamen met IJsland, Noorwegen en Liechtenstein.
Doorgifte persoonsgegevens naar buiten de EER
Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de EER gelden specifieke regels. De belangrijkste is dat persoonsgegevens alleen mogen worden doorgegeven naar derde landen die een passend beschermingsniveau hebben. Als het land dit niet heeft, dan mag doorgifte aan een derde land alleen in de volgende drie gevallen:
1. Een adequaatheidsbesluit
Wanneer een derde land een passend niveau van gegevensbescherming biedt in zijn nationale wetgeving, kan de Europese Commissie een adequaatheidsbesluit nemen (artikel 45 AVG). Daarin stelt de Commissie vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG. Een voorbeeld hiervan is de EU-US Data Privacy Framework. De Commissie heeft bepaald dat aan Amerikaanse bedrijven die aan deze norm voldoen, een passend niveau van gegevensbescherming bieden. De vraag of het wel veilig is om gegevens door te geven aan de VS is steeds onderhevig aan discussie.
2. Passende waarborgen
Door passende waarborgen te treffen, is het ook mogelijk om persoonsgegevens door te geven naar een derde land (artikel 46 AVG). Dit houdt in dat extra actie wordt ondernomen om persoonsgegevens te beschermen door het gebruik van een modelcontract (“Standard Contract Clauses” of “SCC”) dat door de Europese Commissie is vastgesteld, te zorgen voor een goedgekeurde gedragscode of certificering of door intern bindende bedrijfsvoorschriften (“Binding Corporate Rules” of “BCR”) op te stellen.
3. Specifieke uitzonderingen
In bepaalde gevallen kan een beroep worden gedaan op de specifieke uitzonderingen die in artikel 49 AVG staan. Dit zijn situaties waarin doorgifte noodzakelijk is, bijvoorbeeld voor de uitvoering van een overeenkomst, het instellen van een rechtsvordering of het beschermen van vitale belangen. Ook kan doorgifte plaatsvinden met uitdrukkelijke toestemming van de betrokkene, mits deze goed geïnformeerd is over de risico’s. Deze uitzonderingen zijn bedoeld voor incidentele en niet-repetitieve doorgiften.
Conclusie
Doorgifte van persoonsgegevens naar derde landen is alleen toegestaan onder strikte voorwaarden. De AVG vereist dat het beschermingsniveau in het ontvangende land vergelijkbaar is met dat van de EU. Is dat niet het geval, dan moeten aanvullende waarborgen of uitzonderingen worden toegepast. De Schrems-arresten, waarbij eerdere adequaatheidsbesluiten met de VS door het Europese Hof van Justitie ongeldig werden verklaard, bewijzen dat het beschermingsniveau niet zomaar is bereikt. Voor bedrijven en organisaties is het belangrijk om de datastromen van hun cloudoplossingen te (blijven) controleren. Worden daarbij persoonsgegevens naar buiten de EER doorgegeven? Bedrijven dienen er voor te zorgen dat ze voldoen aan de AVG bij het overdragen van gegevens naar andere landen. Dit wordt dan weer genoteerd in het register voor de verwerkingsactiviteiten. NORD Advocaten helpt u graag om hierin privacy compliant te zijn.
