088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		
Bel ons 088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		

BLOG: Doorgifte van persoonsgegevens aan het buitenland – Op weg naar de AVG

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. De AVG is één wetgeving voor alle lidstaten van de Europese Unie. Daarom spreken we ook wel van de Europese Privacyverordening.

Hoe bereiden organisaties zich het beste voor op de aanstaande Europese Privacyverordening? In onze blogserie nemen wij je mee in de wereld van de AVG. Elke week behandelen wij een relevant AVG onderwerp, dat je helpt goed voorbereid de AVG tegemoet te gaan. Deze week: Doorgifte van gegevens aan het buitenland.

Persoonsgegevens in het buitenland

Stel, u slaat persoonsgegevens op op een server in het buitenland. Bijvoorbeeld, omdat u een clouddienst afneemt bij een provider buiten de EU. Of omdat uw organisatie apps bouwt waarbij de ontwikkelafdeling is gevestigd in bijvoorbeeld India of Oekraïne en uw lokale programmeurs hebben daarbij toegang tot uw productiedata die persoonsgegevens bevat. Mag dat binnen de AVG? Zo ja, welke regels gelden dan? De AVG stelt specifieke voorwaarden aan doorgifte van persoonsgegevens aan “derde landen”.  Hier wordt bedoeld doorgifte aan landen buiten de EU.

Voorwaarden doorgeven persoonsgegevens

Om te voorkomen dat de AVG buiten de EU aan kracht verliest, stelt de AVG voorwaarden aan het doorgeven of laten verwerken van persoonsgegevens buiten de EU. Deze voorwaarden zijn als volgt:

  • Doorgifte is toegestaan aan landen met een adequaat niveau van gegevensbescherming. Dit betekent met de EU vergelijkbaar als het gaat om de bescherming van grondrechten van individuen. Voor een dergelijke doorgifte is geen specifieke toestemming nodig. Dit neemt overigens niet weg dat de verwerkingsverantwoordelijke wel op basis van een geldige grondslag de verwerking in het derde land moet laten plaatsvinden. De AVG spreekt in dit geval over doorgifte op basis van een adequaatheidsbesluit. Bij de beoordeling of het beschermingsniveau van het betreffende derde land adequaat is, kijkt de Europese Commissie onder andere naar de rechtsstatelijkheid, eerbiediging van de mensenrechten, fundamentele vrijheden en de aanwezigheid van toezichthoudende autoriteiten, zoals in Nederland de AP.
  • Wanneer een land als niet adequaat is aangemerkt, dan is doorgifte toegestaan wanneer sprake is van passende waarborgen. Dit zijn waarborgen die de rechten van betrokkenen en de plichten voor verantwoordelijken en verwerkers, afdwingen. Dit kan bijvoorbeeld in de vorm van contractuele waarborgen of via de zgn. Bindende Bedrijfsvoorschriften.
  • Wanneer doorgifte op basis van adequaatheid en op basis van passende waarborgen nog steeds niet mogelijk is, dan zou doorgifte op basis van afwijkende specifieke situaties kunnen plaatsvinden. In een dergelijk geval moeten betrokkenen uitdrukkelijk met de doorgifte van persoonsgegevens instemmen en moeten betrokkenen zijn ingelicht over de risico’s die de betreffende doorgifte van zijn/haar persoonsgegevens inhouden. Doorgifte op basis van afwijkende specifieke situaties is echter slechts in uitzonderlijke gevallen bruikbaar. Deze wijze van doorgifte vormt dan ook geen basis voor een structurele gegevensoverdracht.

Het is van groot belang om te weten waar de persoonsgegevens die je hebt verwerkt naar toe gaan. Vooral bij doorgifte naar landen buiten de EU. Je moet er zeker van zijn dat de landen waar de persoonsgegevens worden ontvangen voldoende zorgvuldig met persoonsgegevens van EU burgers omgaan. Doe je dit niet, dan handel je niet zoals de AVG voorschrijft en riskeer je hoge boetes.

Crowe Horwath Peak
Olympisch Stadion 24-28 1076 DE Amsterdam, Nederland
088 2055 000 info@crowehorwath.nl