Zo verwerk je veilig persoonsgegevens in het buitenland
Wissel jij persoonsgegevens uit met partijen in het buitenland? Weet jij waar je aan moet voldoen om een goed beschermingsniveau te waarborgen? Wij geven je een praktisch overzicht waar dit per land, binnen en buiten de EU, is toegelicht.
Belangrijk uitgangspunt is dat de bescherming van persoonsgegevens niet in alle landen op dezelfde manier geregeld is. Het doorgeven van persoonsgegevens vanuit Nederland naar het buitenland mag alleen als dit land voldoende bescherming biedt.
Binnen EU: Voldoen aan de Avg
Sinds de invoering van de Avg geldt binnen de gehele EU dezelfde privacywetgeving en is het niveau van gegevensbescherming gelijk. Er gelden geen extra regels voor het uitwisselen van gegevens. Zo kan je eenvoudig een klant (verwerkingsverantwoordelijke) hebben die in een ander EU land gevestigd is dan zijn IT-leverancier (verwerker). Klant en leverancier hoeven alleen te voldoen aan de eisen die volgen uit de Avg. Lees onze 10 vragen over de Avg voor uitleg over begrippen als ‘verwerkingsverantwoordelijke’ ‘verwerker’ en ‘persoonsgegeven’.
Buiten EU: ieder land anders
Voor de doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de Europese Unie (EU) / Europese Economische Ruimte (EER) – de zogenoemde ‘derde landen’- gelden andere regels. Er moet een ‘passend beschermingsniveau’ zijn: dat betekent dat het beschermingsniveau van persoonsgegevens in dat derde land gelijkwaardig moet zijn aan dat van Europa.
Er bestaan een aantal opties voor het waarborgen van een passend beschermingsniveau in derde landen. We hebben ze voor je op een rijtje gezet.
Maar let op: alleen het feit dat er een passend beschermingsniveau is in een land betekent niet dat persoonsgegevens doorgegeven mogen worden aan een leverancier in dit land. Aan de andere vereisten van de Avg dient nog steeds te worden voldaan. Denk bijvoorbeeld aan het afsluiten van een verwerkersovereenkomst.
Moet je voldoen aan de Avg? |
Zijn er aanvullende eisen? |
Waar moet je op letten? | |
Binnen de EER Landen die lid zijn van de EU, plus Noorwegen, Liechtenstein en IJsland. Zie hier een actueel overzicht | Ja | Nee | Per 31 januari 2020 is het Verenigd Koninkrijk geen lid meer van de EER door de ‘Brexit’. Zie voor regels voor doorgifte aan het VK de kolom hieronder. |
Buiten de EER Veilige landen Andorra, Argentinië, (beperkt) Canada, Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw-Zeeland, Uruguay, Verenigd Koninkrijk, (beperkt) Verenigde Staten, Zwitserland en Zuid-Korea. Zie hier een actueel overzicht | Ja | Voor deze landen is een adequaatheidsbesluit genomen. Daar kunnen aanvullende eisen in staan. | Canada: adequaatheidsbesluit geldt alleen voor commerciële organisaties. Verenigde Staten: adequaatheidsbesluit geldt alléén als de Amerikaanse partij zich heeft aangesloten bij het EU-US Data Privacy Framework en de betreffende diensten en/of producten heeft aangemeld. |
Buiten de EER Op basis van een overeenkomst | Ja | Ja, doorgifte kan op basis van een goedgekeurd modelcontract. Ook wel: Standaard Contractual Clauses (SCC’s) | De Europese Commissie heeft SCC’s opgesteld, deze vind je op de website van de Europese Commissie. De SCC’s bestaan uit een algemeen deel en vier modules:
|
Buiten de EER Op basis van een gedragscode of certificering | Ja | Ja, doorgifte kan op basis van een goedgekeurde gedragscode of goedgekeurde certificering. | Onder de Avg kan een organisatie zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurde certificering. Er zijn op dit moment nog geen voor Europa goedgekeurde gedragscodes en certificeringen specifiek gericht op doorgiften naar derde landen.* |
Buiten de EER Geen van bovenstaande waarborgen, wel binnen je eigen organisatie. | Ja | Ja, doorgifte kan op basis van goedgekeurde bindende bedrijfsvoorschriften (Binding Corporate Rules, BCR’s) die gelden binnen de diverse onderdelen van de internationale organisatie of multinational. | Bij de toezichthouder goedkeuring vragen voor en gebruik maken van BCR’s is een traject dat vooral interessant voor grote corporates die zich daarin goed laten adviseren. |
Buiten de EER Geen van bovenstaande waarborgen. | Ja | Ja | Er zijn uitzonderingssituaties in de Avg. Deze uitzonderingen zijn met name bedoeld voor verwerkingsactiviteiten die incidenteel en niet repetitief zijn. Bijvoorbeeld: doorgifte op basis van toestemming van de betrokkene, noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is of noodzakelijk voor het instellen van een rechtsvordering. |
* Afspraken op basis van een gedragscode of certificering
Onder de Avg kan een organisatie zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurde certificering.
Op dit moment is het nog niet mogelijk om een Avg-certificaat aan te vragen, omdat er in Nederland nog geen geaccrediteerde certificatie-instellingen voor het afgeven van Avg-certificaten zijn. Er zijn ook nog geen gedragscodes gericht op doorgifte aan derde landen.
NLdigital heeft wel als eerste goedgekeurde Nederlandse gedragscode de Data Pro Code opgesteld, maar let op: deze gedragscode gaat over hoe verwerkers aan hun verplichtingen onder de Avg kunnen voldoen, en ziet niet specifiek op doorgifte aan derde landen.
Wil je individueel advies?
De juristen van NLdigital geven onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy, zoals het op een rechtmatige manier verwerken van persoonsgegevens in het buitenland. Je kunt eenvoudig contact met hen opnemen. Leden van NLdigital kunnen hun vraag ook indienen via het ledenportal.
Ben je nog geen lid? Dan is dit een mooi moment om wel lid te worden! Lees hier meer over het lidmaatschap van NLdigital.