Home

Internationale doorgifte van gegevens: de belangrijkste zaken op een rij

In de huidige digitale wereld is internationale doorgifte van gegevens (data transfers) voor de meeste bedrijven en organisaties onvermijdelijk. De AVG streeft naar een goed evenwicht tussen de noodzaak van grensoverschrijdend verkeer van gegevens voor de internationale handel en de mate van bescherming die aan natuurlijke personen geboden wordt. De Verordening staat het vrije verkeer van persoonsgegevens tussen lidstaten toe, maar beperkt de doorgifte van gegevens naar landen buiten de Europese Economische Ruimte (EER).

Als aanbieder van AVG-compliance software zet PrivacyPerfect zich ervoor in om organisaties te helpen om gegevens op een veilige en legale manier door te geven. Deze serie blogposts maakt u wegwijs in internationale doorgifte van gegevens onder de AVG. Internationale mechanismes voor doorgifte van gegevens, het huidige beleid van de VS, bindende bedrijfsvoorschriften en standaardbepalingen voor contracten zullen worden toegelicht in de loop van onze serie blogposts over internationale doorgifte van gegevens.

Hoofdstuk 5 van de AVG regelt internationale doorgifte van gegevens. Als uw organisatie persoonsgegevens wil doorgeven buiten de Europese Economische Ruimte, moet uw organisatie aan bepaalde criteria voldoen. Om gegevens internationaal door te mogen geven:

  • moet een passend beschermingsniveau worden geboden door het land waarnaar u gegevens wilt overdragen;
  • of uw organisatie moet zorgen voor passende waarborgen;
  • of een of meer van de uitzonderingen onder Artikel 49 moeten van toepassing zijn op uw organisatie.

Hieronder lichten we deze drie opties kort toe:

Internationale doorgifte kan plaatsvinden als alle betrokken rechtsgebieden een adequaatheidsbesluit hebben (Artikel 45 AVG). Als de Europese Commissie besloten heeft dat een derde land of een bepaalde sector in dat land een passend niveau van bescherming waarborgt, is er geen specifieke toestemming nodig voor doorgifte. Tot nu toe heeft de Commissie vastgesteld dat Andorra, Argentinië, Canada, de Faeröer Eilanden, Guernsey, Israël, Jersey, het eiland Man, Nieuw-Zeeland, Uruguay en Zwitserland passende bescherming bieden. Voor de VS regelt het EU-VS-privacyschild (privacy shield) doorgifte van gegevens tussen de VS en de EU.

Een andere optie is dat uw organisatie, als verwerkingsverantwoordelijke of verwerker, zorgt voor passende waarborgen voor de doorgifte van gegevens (Artikel 46 AVG). Dit kan door middel van:

  • een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties,
  • bindende bedrijfsvoorschriften,
  • standaardcontractbepalingen, die door de Commissie of een toezichthouder (AVG: toezichthoudende autoriteit) zijn vastgesteld en door de Commissie zijn goedgekeurd,
  • een goedgekeurde gedragscode, ofs
  • een goedgekeurd certificeringsmechanisme.

Ten slotte kunnen de uitzonderingen onder Artikel 49 uw doorgifte legitimeren, indien geen van de hierboven genoemde mechanismes door uw organisatie gebruikt kan worden:

  • de betrokkene heeft uitdrukkelijk toestemming gegeven,
  • het is noodzakelijk voor de uitvoering van een overeenkomst,
  • het is noodzakelijk voor het algemeen belang,
  • het is noodzakelijk voor een rechtsvordering,
  • het is noodzakelijk voor het vitaal belang van de betrokkene,
  • de doorgifte is verricht vanuit een register dat is bedoeld om het publiek van informatie te voorzien.

Samenvattend: de AVG beperkt internationale doorgifte van gegevens om de persoonsgegevens van inwoners van de EU te beschermen. De AVG houdt echter ook rekening met de noodzaak van internationale doorgifte van gegevens voor wereldwijde handel en communicatie en streeft naar een goed evenwicht. In de AVG zelf staan verschillende manieren om internationale doorgifte van gegevens te legitimeren. U moet nagaan of de hierboven genoemde mechanismes van toepassing zijn op uw situatie. In de volgende blogposts in deze serie zullen deze mechanismes nader worden toegelicht.

 

Elif Kaya
Juridische Afdeling van PrivacyPerfect