Veel bedrijven geven tegenwoordig persoonsgegevens door naar andere landen. Denk bijvoorbeeld aan situaties waarin gebruik wordt gemaakt van Amerikaanse Cloud providers zoals Microsoft of Salesforce. De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. De Algemene Verordening Gegevensbescherming stelt daarom voorwaarden aan de internationale doorgifte van persoonsgegevens. In deze blog zullen we deze bespreken.
Doorgifte binnen de Europese Economische Ruimte (EER)
Binnen de EER (Europese Unie plus Noorwegen, Liechtenstein en IJsland) is het niveau van gegevensbescherming gelijk. Geef je als organisatie persoonsgegevens door naar een van deze landen, dan hoef je alleen te voldoen aan de algemene eisen uit de AVG.
Doorgifte buiten de EER
Voor doorgifte van gegevens naar landen buiten de EER gelden aparte regels. De hoofdregel is dat gegevens alleen doorgegeven mogen worden naar landen met een passend beschermingsniveau. Als er geen passend beschermingsniveau wordt geboden, is doorgifte slechts toegestaan indien op een andere manier voldoende gegevensbescherming wordt geboden.
Naar landen met een passend beschermingsniveau
Er zijn landen buiten de EER waarover de Europese Commissie heeft besloten dat de gegevensbescherming van een vergelijkbaar niveau is als de AVG. De lijst met landen met een passend beschermingsniveau is hier te vinden. Voor de doorgifte naar deze landen hoeven geen aanvullende maatregelen getroffen te worden.
Naar landen zonder een passend beschermingsniveau
Als over het land in kwestie niet is besloten dat het beschermingsniveau vergelijkbaar is met dat van de AVG, moet er op een andere manier voldoende waarborgen worden geboden. Dit kan op de volgende manieren:
- Modelcontract (standard contractual clauses - SCC`s)
Dit contract is vastgesteld door de Europese Commissie. De bepalingen in dit contract kunnen worden gebruikt om een passend beschermingsniveau te borgen. Deze bepalingen moeten ongewijzigd worden overgenomen.
- Gedragscode en certificering
Om bescherming te waarborgen, kan aangesloten worden bij een gedragscode of certificeringsmechanisme. Daarnaast moet de ontvanger dan bindend en afdwingbaar toezeggen om de passende waarborgen toe te passen.
- Binding corporate rules (BCR)
Deze bindende bedrijfsvoorschriften zijn regels voor alle leden van een concern of groep van ondernemingen die een gezamenlijke economische activiteit uitoefenen. De voorschriften moeten zijn goedgekeurd door de bevoegde toezichthouder (dat is afhankelijk van waar de hoofdvestiging van het concern/de groep is, In Nederland is de Autoriteit Persoonsgegevens bevoegd).
Indien het niet mogelijk is om op basis van deze waarborgen gegevens door te geven, dan is het mogelijk om een beroep te doen op een van de specifieke uitzonderingen uit de AVG. Een voorbeeld is het hebben van uitdrukkelijke toestemming van de betrokkene, of de noodzakelijkheid voor de uitvoering van een overeenkomst (bijvoorbeeld een internationale betaling).
Naar de Verenigde Staten
In de VS bestaat geen algemene wetgeving voor gegevensbescherming. Daarom mogen gegevens niet zonder meer door worden gegeven aan de VS. Er moeten sinds een uitspraak van het Europese Hof van Justitie in 2020 aanvullende waarborgen getroffen worden om gegevens door te mogen geven naar de VS.
De European Data Protection Board (EDPB) noemt verschillende mogelijke waarborgen, zoals goede encryptie en pseudonimisering. Per geval moet bekeken worden welke maatregelen nodig zijn om de gegevens goed te beschermen.
Voor doorgifte naar de VS kan er niet snel een beroep worden gedaan op een van de uitzonderingen uit de AVG. Er moet per geval een afweging gemaakt worden en het mag niet gaan om structurele doorgifte.
Conclusie
Al met al is het van groot belang dat bedrijven zich bewust zijn van de eisen die de AVG stelt aan de internationale doorgifte van persoonsgegevens. Doorgifte binnen de EER is relatief eenvoudig, maar doorgifte naar landen buiten de EER vergt meer aandacht en waarborgen om te zorgen voor een adequaat beschermingsniveau. Dit geldt in het bijzonder voor doorgifte naar de Verenigde Staten, waar aanvullende waarborgen nodig zijn. Door de AVG nauwgezet na te leven, kan een organisatie zorgen dat de privacy van haar klanten en medewerkers gewaarborgd blijft, ook bij internationale data transfers.