{{messages[0][0]}}

Checklist Data-uitwisseling



Als je data gaat uitwisselen met een ander bedrijf, je data extern opslaat of je data door een ander bedrijf laat beheren, wil je er wel zeker van zijn dat dat bedrijf zorgvuldig met jouw data omgaat en dat de dataverwerking voldoet aan de Europese privacyregels. Maar waar begin je? Na deze checklist weet je waar je op moet letten.

 

  1. Persoonsgegevens of niet?

Check eerst of de data die je wilt uitwisselen wel persoonsgegevens zijn. Alleen dan heb je namelijk te maken met privacygevoelige informatie en alleen dan heb je dus te maken met privacyregelgeving. Persoonsgegevens zijn alle gegevens die (direct of indirect) te herleiden zijn tot identificeerbare personen, zoals iemands naam, (email)adres, of telefoonnummer. Ook iemands IP-nummer of koop- of surfgedrag op internet is een persoonsgegeven. Gegevens die niet tot personen te herleiden zijn of gegevens over bedrijven, vallen niet onder het begrip ‘persoonsgegeven’.

 

  1. Bewerkersovereenkomst

Zorg voor een bewerkersovereenkomst tussen jou en het bedrijf waaraan je persoonsgegevens doorgeeft. In een bewerkersovereenkomst is vastgelegd op welke wijze het bedrijf waaraan je persoonsgegevens doorgeeft (de bewerker) met de persoonsgegevens dient om te gaan. Het sluiten van een bewerkersovereenkomst is wettelijk verplicht, zodra je het verwerken van persoonsgegevens uitbesteedt aan een derde.

 

  1. Binnen of buiten de EU?

Controleer of het bedrijf waar je persoonsgegevens aan doorgeeft gevestigd is in een EU-lidstaat. Voor de uitwisseling van persoonsgegevens naar een EU-land gelden namelijk andere regels dan voor uitwisseling naar een niet-EU-land. Is het bedrijf in de EU gevestigd, dan hoeven jij en dat bedrijf alleen te voldoen aan de Nederlandse Wet bescherming persoonsgegevens (deze wet is namelijk een uitwerking van de Europese privacyrichtlijn). Dit geldt ook als het bedrijf gevestigd is in Noorwegen, Liechtenstein of IJsland. Deze landen zijn weliswaar geen lid van de EU, maar hebben zich wel verbonden aan de Europese privacyrichtlijn.

 

  1. Uitwisseling aan de VS? Check Privacy Shield List

Als het bedrijf waarmee je gegevens uitwisselt in de VS gevestigd is, controleer dan of het bedrijf op de Privacy Shield List staat. Op deze lijst staan alle bedrijven die voldoen aan de privacybeschermingsregels uit het EU-US Privacy Shield dat sinds 1 augustus 2016 van kracht is geworden. Het EU-US Privacy Shield is een overeenkomst tussen Amerika en de EU en bevat regels over de manier waarop de privacy van Europese persoonsgegevens door Amerikaanse bedrijven beschermd moeten worden. Staat een bedrijf op deze lijst, dan kun je ervan uitgaan dat het niveau van privacybescherming voldoet aan de Europese maatstaven.

 

  1. Bedrijf buiten de EU of niet op Privacy Shield List?

Als een bedrijf niet in de EU is gevestigd en ook niet op de Privacy Shield List staat heb je niet de zekerheid dat het privacybeschermingsniveau van dat bedrijf voldoende is. Wil je die zekerheid wel, dan kun je ook gebruik maken van de modelcontracten die de Europese Commissie heeft opgesteld. Als je op basis van zo’n modelcontract persoonsgegevens uitwisselt met een ander bedrijf, ben je ervan verzekerd dat het niveau van privacybescherming gewaarborgd en voldoet aan Europese regelgeving.

 

Over de auteur:

Yonie Scheijde is als advocaat werkzaam bij De Roos Advocatuur. Yonie is gespecialiseerd in het intellectuele eigendomsrecht en privacyrecht en schrijft voor Legalloyd op toegankelijke wijze over deze onderwerpen. Lekker leesbaar en direct te gebruiken. 

MEER BERICHTEN