Zo verwerk je veilig persoonsgegevens in het buitenland

Wissel jij persoonsgegevens uit met partijen in het buitenland? Weet jij waar je aan moet voldoen om een goed beschermingsniveau te waarborgen? Wij geven je een praktisch overzicht waar dit per land, binnen en buiten de EU, is toegelicht.

Belangrijk uitgangspunt is dat de bescherming van persoonsgegevens niet in alle landen op dezelfde manier geregeld is. Het doorgeven van persoonsgegevens vanuit Nederland naar het buitenland mag alleen als dit land voldoende bescherming biedt.

Binnen EU: Voldoen aan de Avg

Sinds de invoering van de Avg geldt binnen de gehele EU dezelfde privacywetgeving en is het niveau van gegevensbescherming gelijk. Er gelden geen extra regels voor het uitwisselen van gegevens. Zo kan je eenvoudig een klant (verwerkingsverantwoordelijke) hebben die in een ander EU land gevestigd is dan zijn IT-leverancier (verwerker). Klant en leverancier hoeven alleen te voldoen aan de eisen die volgen uit de Avg. Lees onze 10 vragen over de Avg voor uitleg over begrippen als ‘verwerkingsverantwoordelijke’ ‘verwerker’ en ‘persoonsgegeven’.

Buiten EU: ieder land anders

Voor de doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de Europese Unie (EU) / Europese Economische Ruimte (EER) – de zogenoemde ‘derde landen’- gelden andere regels. Er moet een ‘passend beschermingsniveau’ zijn: dat betekent dat het beschermingsniveau van persoonsgegevens in dat derde land gelijkwaardig moet zijn aan dat van Europa.

Er bestaan een aantal opties voor het waarborgen van een passend beschermingsniveau in derde landen. We hebben ze voor je op een rijtje gezet.

Maar let op: alleen het feit dat er een passend beschermingsniveau is in een land betekent niet dat persoonsgegevens doorgegeven mogen worden aan een leverancier in dit land. Aan de andere vereisten van de Avg dient nog steeds te worden voldaan. Denk bijvoorbeeld aan het afsluiten van een verwerkersovereenkomst.

Moet je voldoen aan de Avg?

Zijn er aanvullende eisen?

Waar moet je op letten?

Binnen de EER
Landen die lid zijn van de EU, plus Noorwegen, Liechtenstein en IJsland.
Zie hier een actueel overzicht
JaNeePer 31 januari 2020 is het Verenigd Koninkrijk geen lid meer van de EER door de ‘Brexit’. Zie voor regels voor doorgifte aan het VK de kolom hieronder.
Buiten de EER
Veilige landen
Andorra, Argentinië, (beperkt) Canada, Faeröer Eilanden, Guernsey, Isle of Man, Israël, Japan, Jersey, Nieuw-Zeeland, Uruguay, Verenigd Koninkrijk, (beperkt) Verenigde Staten, Zwitserland en Zuid-Korea.
Zie hier een actueel overzicht
JaVoor deze landen is een adequaatheidsbesluit genomen. Daar kunnen aanvullende eisen in staan.Canada: adequaatheidsbesluit geldt alleen voor commerciële organisaties.

Verenigde Staten: adequaatheidsbesluit geldt alléén als de Amerikaanse partij zich heeft aangesloten bij het EU-US Data Privacy Framework en de betreffende diensten en/of producten heeft aangemeld.
Buiten de EER Op basis van een overeenkomstJaJa, doorgifte kan op basis van een goedgekeurd modelcontract.
Ook wel: Standaard Contractual Clauses (SCC’s)
De Europese Commissie heeft SCC’s opgesteld, deze vind je op de website van de Europese Commissie. De SCC’s bestaan uit een algemeen deel en vier modules:

  • doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke
  • doorgifte van verwerkingsverantwoordelijke naar verwerkerdoorgifte van (sub)verwerker naar (sub)verwerkerdoorgifte van (sub)verwerker naar verwerkingsverantwoordelijke
Gebruik je de SCC’s zoals ze zijn gepubliceerd, dus zonder aanvullingen of wijzigingen? Dan heb je geen toestemming van de Autoriteit Persoonsgegevens nodig voor de doorgifte. Wil je de SCC’s aanvullen of wijzigen? Of gebruik maken van zelf opgestelde standaardbepalingen waarin de specifieke omstandigheden van je doorgifte zijn geregeld? Dan moet je eerst toestemming vragen aan de AP voor de doorgifte. Meer informatie vind je op de website van de AP.
Buiten de EER Op basis van een gedragscode of certificeringJaJa, doorgifte kan op basis van een goedgekeurde gedragscode of goedgekeurde certificering.Onder de Avg kan een organisatie zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurde certificering.

Er zijn op dit moment nog geen voor Europa goedgekeurde gedragscodes en certificeringen specifiek gericht op doorgiften naar derde landen.*
Buiten de EER Geen van bovenstaande waarborgen, wel binnen je eigen organisatie.JaJa, doorgifte kan op basis van goedgekeurde bindende bedrijfsvoorschriften (Binding Corporate Rules, BCR’s) die gelden binnen de diverse onderdelen van de internationale organisatie of multinational.Bij de toezichthouder goedkeuring vragen voor en gebruik maken van BCR’s is een traject dat vooral interessant voor grote corporates die zich daarin goed laten adviseren.
Buiten de EER Geen van bovenstaande waarborgen.JaJaEr zijn uitzonderingssituaties in de Avg. Deze uitzonderingen zijn met name bedoeld voor verwerkingsactiviteiten die incidenteel en niet repetitief zijn.

Bijvoorbeeld: doorgifte op basis van toestemming van de betrokkene, noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is of noodzakelijk voor het instellen van een rechtsvordering.

* Afspraken op basis van een gedragscode of certificering

Onder de Avg kan een organisatie zich aansluiten bij een door een toezichthouder goedgekeurde gedragscode en een door een toezichthouder goedgekeurde certificering.

Op dit moment is het nog niet mogelijk om een Avg-certificaat aan te vragen, omdat er in Nederland nog geen geaccrediteerde certificatie-instellingen voor het afgeven van Avg-certificaten zijn. Er zijn ook nog geen gedragscodes gericht op doorgifte aan derde landen.

NLdigital heeft wel als eerste goedgekeurde Nederlandse gedragscode de Data Pro Code opgesteld, maar let op: deze gedragscode gaat over hoe verwerkers aan hun verplichtingen onder de Avg kunnen voldoen, en ziet niet specifiek op doorgifte aan derde landen.

Wil je individueel advies?

De juristen van NLdigital geven onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy, zoals het op een rechtmatige manier verwerken van persoonsgegevens in het buitenland. Je kunt eenvoudig contact met hen opnemen. Leden van NLdigital kunnen hun vraag ook indienen via het ledenportal.

Ben je nog geen lid? Dan is dit een mooi moment om wel lid te worden! Lees hier meer over het lidmaatschap van NLdigital.


Deel via:

Het laatste nieuws

‘Toezicht door de mens blijft altijd nodig’

Hoe houd je grip op cybersecurity in een tijd waarin AI steeds dominanter wordt? Joost de Bruin, CEO van Sopra...
Cybersecurity

NLdigital roept AP op om handreiking over scraping te schrappen en pleit voor duidelijkheid over het kunnen gebruiken van persoonsgegevens voor AI-modellen 

Er gebeurt een hoop rondom artificial intelligence in privacy-land. Zo heeft de Autoriteit Persoonsgegevens (AP) onder andere een handreiking gepubliceerd...
Politiek & wetgeving

CRA gepubliceerd: cybersecurity vereisten voor alle hard- en software

De langverwachte Cyber Resilience Act (CRA) is vandaag officieel gepubliceerd in het Publicatieblad van de Europese Unie. Hiermee wordt deze...
Cybersecurity

NLdigital pleit samen met partners voor heroverweging EU-aanpak online kindermisbruik

NLdigital pleit samen met partners voor heroverweging EU-aanpak online kindermisbruik
Politiek & wetgeving

‘Alleen met sterke purpose en optimistische boodschap trek je toekomstig talent aan’

Hoe blijf je als technologieleider aantrekkelijk voor talent in een steeds krapper wordende arbeidsmarkt? Jeannine Peek, directeur van Capgemini en...
Opleiding & arbeidsmarkt