/Blogs en artikelen/Artikel/Privacy basics: Doorgifte persoonsgegevens aan derde landen
Artikel

Privacy basics: Doorgifte persoonsgegevens aan derde landen

Dit artikel is relevant voor iedere organisatie die persoonsgegevens doorgeeft aan een land buiten de Europese Economische Ruimte (EER). Denk hierbij aan doorgiftes aan bekende verwerkers (Microsoft, Google, AWS) en aan buitenlandse autoriteiten, maar ook aan doorgiftes binnen concerns die vestigingen buiten de EER hebben.

De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Persoonsgegevens versturen naar een land buiten de EER (de EU-landen plus Noorwegen, Liechtenstein en IJsland) – een zogenoemd derde land – mag daarom alleen als dat land voldoende bescherming biedt.

Dit artikel biedt een beknopt overzicht van doorgiften van persoonsgegevens aan derde landen: wat onder een doorgifte wordt verstaan, waarom er regels voor doorgiften bestaan en wanneer deze zijn toegestaan.

Verstrekkingen binnen de EER
In elk EER-land is de Algemene verordening gegevensbescherming (AVG) van toepassing. Daardoor is binnen de EER het niveau van gegevensbescherming gelijk, en gelden geen aanvullende vereisten bij het verstrekken van persoonsgegevens tussen EER-landen.

Indien een buitenlandse organisatie een vestiging heeft in de EER en vanwege de activiteiten van die vestiging persoonsgegevens verwerkt, is de AVG van toepassing. Dit is zelfs het geval wanneer die verwerking feitelijk buiten de EER plaatsvindt (art. 3 lid 1 AVG).

Doorgiften aan landen buiten de EER

Bij doorgiften van persoonsgegevens naar derde landen gelden aanvullende vereisten. Daarmee beoogt de EU-wetgever te voorkomen dat verwerkingsverantwoordelijken de AVG omzeilen door persoonsgegevens te verwerken in landen met een lager beschermingsniveau, wat zou leiden tot minder bescherming voor betrokkenen én concurrentienadeel voor organisaties binnen de EER.

Let op: het is niet zo dat alle gevallen waarin persoonsgegevens in een derde land terechtkomen het resultaat zijn van een ‘doorgifte’. Als een verwerkingsverantwoordelijke bijvoorbeeld persoonsgegevens op een internetpagina plaatst, wil het feit dat deze pagina buiten de EER te bezoeken is niet zeggen dat wel sprake geweest moet zijn van een doorgifte.

Doorgiften zijn toegestaan in de volgende gevallen:

AdequaatheidsbesluitDe Europese Commissie heeft besloten dat een bepaald land (, gebied, sector…) voldoende bescherming biedt.
Juridisch bindende regelingEen juridisch bindende regeling tussen de ontvanger en de verstrekker, met goedkeuring van de nationale toezichthouder. Voor een regeling tussen overheidsorganisaties is geen goedkeuring nodig.
Bindende bedrijfsvoorschriften (binding corporate rules; BCR’s)De toezichthouder heeft de BCR’s goedgekeurd die juridisch bindend zijn voor de organisaties binnen een concern.
Standaardcontractbepalingen (standard contractual clauses; SCC’s)De ontvanger is met de verstrekker van de persoonsgegevens standaardcontractbepalingen overeengekomen.
UitzonderingenUitdrukkelijke toestemming, uitvoering overeenkomst, algemeen belang, rechtsvordering, vitaal belang, publieke registers.


Adequaatheidsbesluiten
Doorgifte van persoonsgegevens aan een derde land kan plaatsvinden als de Europese Commissie heeft besloten dat het derde land, een gebied of een of meerdere nader bepaalde sectoren in dat derde land een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen toestemming nodig (art. 45 lid 1 AVG).

Bij de beoordeling van de vraag of het beschermingsniveau adequaat is, houdt de Commissie met name rekening met de rechtsstatelijkheid, de effectiviteit van onafhankelijke toezichthoudende autoriteiten en internationale toezeggingen.

De lijst landen met een adequaat beschermingsniveau kun je hier raadplegen.

Juridisch bindende regeling
Een juridisch bindende regeling zorgt voor ook passende waarborgen. Deze moet dan wel zijn goedgekeurd door de toezichthouder (art. 46 lid 3 AVG), tenzij het gaat om een regeling tussen overheidsorganisaties. Je kunt denken aan een contractbepaling tussen de verwerkingsverantwoordelijke/verwerker en de verwerkingsverantwoordelijke/verwerker/ontvanger van de persoonsgegevens in het derde land.

De overeenkomst moet afdwingbare en effectieve rechten van betrokkenen waarborgen (art. 46 lid 1 AVG). De regeling moet de te verstrekken gegevens specificeren en de verwerking moet adequaat en relevant zijn. Bovendien mag de doorgifte en verwerking niet verder gaan dan het doel hiervan.

Bindende bedrijfsvoorschriften
Bindende bedrijfsvoorschriften (binding corporate rules, BCR’s) zijn voorschriften waarin organisaties waarborgen vastleggen om persoonsgegevens te beschermen. Deze zijn handig voor ondernemingen/concerns die regelmatig gegevens uitwisselen met (dochter)ondernemingen die gevestigd zijn in een derde land waarvoor geen adequaatheidsbesluit geldt.

BCR’s zijn van toepassing op alle ondernemingen binnen een concern, met inbegrip van hun werknemers (art. 46 lid 2 sub b, AVG jo. art. 47 AVG). Deze BCR’s dien je vooraf eerst goed te laten keuren door een bevoegde toezichthouder in de EU, zoals de Autoriteit Persoonsgegevens. Voor interne verwerkers buiten de EER zijn nog steeds interne verwerkersovereenkomsten noodzakelijk. Deze lijken veel op de inhoud van SCC’s. Denk aan ICT-functies buiten de EER, zoals in India of de VS.

Bindende bedrijfsvoorschriften van de ABN-AMRO Bank N.V. en Royal Philips Electronics zijn bijvoorbeeld goedgekeurd. In deze voorschriften zie je onder andere de grondslagen voor verwerking en doorgifte van persoonsgegevens naar landen zonder een adequaat beschermingsniveau.

Het goedkeuringsproces voor BCR’s neemt vaak jaren in beslag.

Standaardcontractbepalingen
Het goedkeuringsproces voor BCR’s is te vermijden door gebruik te maken van de standaardcontractbepalingen (standard contractual classes, SCC’s) die de Europese Commissie heeft opgesteld. Deze zijn hier te vinden.

Let op: je mag de tekst van de SCC’s niet wijzigen of aanvullen, tenzij deze wijzigingen zij goedgekeurd door de Autoriteit Persoonsgegevens (zie art. 46 lid 3 sub a AVG).

Om gebruik te kunnen maken van de SCC’s, moet je een data transfer impact assessment (DTIA) uitvoeren, waarin je de doorgifte, het rechtssysteem van het derde land en de beschermingsmaatregelen onder de SCC’s nader onderzoekt (zie art. 14 van de SCC’s).

Uitzonderingen
Als je geen gebruik kan maken van de hierboven besproken opties, kan de doorgifte alleen plaatsvinden als je aan een van de volgende voorwaarden voldoet:

  • Uitdrukkelijke toestemming: de betrokkene heeft uitdrukkelijk ingestemd met de voorgestelde doorgifte. Voor deze toestemming gelden in ieder geval de vereisten van art. 4 sub 11 en art. 7 AVG, plus dat de betrokkene moet zijn ingelicht over de risico’s van de doorgifte. Overheidsinstanties kunnen van deze route geen gebruik maken.
  • Overeenkomst: de doorgifte is noodzakelijk voor een overeenkomst (ofwel tussen de betrokkene en de verwerkingsverantwoordelijke, ofwel een overeenkomst in het belang van de betrokkene). Overheidsinstanties kunnen ook van deze route geen gebruik maken.
  • Algemeen belang: de doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang. Dit belang moet erkend zijn bij een Unierechtelijke of nationaalrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is.
  • Rechtsvordering: de doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Dit is bijvoorbeeld het geval als een verdachte uit een derde land gegevens doorgestuurd wil krijgen om een boete aan te vechten.
  • Vitaal belang: de doorgifte is noodzakelijk voor de bescherming van vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is toestemming te geven. Denk hierbij aan medische noodsituaties.
  • Register: De doorgifte wordt verricht vanuit een register dat volgens het Unierecht of lidstatelijk recht is bedoeld om het publiek voor te lichten. Voorbeelden zijn (grond)aankoopregisters of openbare voertuigregisters. Iedere persoon die zich op een gerechtvaardigd belang beroept, kan deze gegevens op verzoek raadplegen (art. 49, lid 1, sub g, AVG). Doorgifte vanuit zo’n register mag geen betrekking hebben op alle persoonsgegevens of volledige categorieën van persoonsgegevens. Particuliere registers (die onder de verantwoordelijkheid van particuliere instanties vallen) vallen buiten het toepassingsgebied van deze uitzondering. Zo vallen particuliere registers waarin kredietwaardigheid wordt getaxeerd hier niet onder.

Conclusie

Doorgiften van persoonsgegevens vereisen een zorgvuldige juridische beoordeling. Je dient hierbij goed af te wegen of de doorgifte aan een derde land toegestaan is, en zo ja, op welke grondslag. SCC’s zijn vrij beschikbaar maar bieden beperkte flexibiliteit, terwijl het laten goedkeuren van BCR’s doorgaans veel tijd en inspanning kost. Toestemming van de betrokkene kan een oplossing bieden, maar moet zorgvuldig worden ingericht om aan de vereisten van de AVG te voldoen.

Twijfelt u of binnen uw organisatie sprake is van een doorgifte en/of welke waarborgen vereist zijn? Wij adviseren organisaties dagelijks over internationale gegevensstromen en andere vraagstukken op het gebied van privacy en gegevensbescherming. Neem gerust contact met ons op.

Gerelateerde artikelen

Artikel

Staat de Kadasterwet in de weg van een simpele oplossing voor scheefwonen?

Lees verder
Artikel

Importeur of distributeur onder de AI-verordening: welke rol heeft jouw organisatie?

Lees verder
Artikel

Hoog-risico AI gebruiken: wanneer word je aanbieder onder de AI Act?

Lees verder