Persoonsgegevens en ‘derde landen’: Doorgifte van persoonsgegevens onder de privacyverordening
Persoonsgegevens doorgeven aan organisaties in andere landen is op technisch niveau niet heel lastig, maar op juridisch gebied is dit niet altijd eenvoudig. De overdracht van gegevens binnen de EU is nog redelijk overzichtelijk; op het moment dat het betreffende land binnen de EU ligt moet op het gebied van persoonsgegevens immers aan vergelijkbare regels worden voldaan als in Nederland. Als het betreffende land echter buiten de EU ligt, een zogenaamd ‘derde land’, dan wordt het een ingewikkelder verhaal. De Wet bescherming persoonsgegevens biedt verschillende manieren om hiermee om te gaan en ook de Algemene Verordening Gegevensbescherming (AVG of privacyverordening) geeft gelukkig verscheidene mogelijkheden. In deze blogpost zullen we ingaan op doorgifte op basis van adequaatheidsbesluiten, doorgifte op basis van passende waarborgen en doorgifte in afwijkende situaties. Deze informatie is te vinden in hoofdstuk 5 van de privacyverordening.
Bij doorgifte van persoonsgegevens naar derde landen staat in de AVG de beveiliging van persoonsgegevens centraal. Als persoonsgegevens al worden doorgegeven aan derde landen moet daarbij in ieder geval sprake zijn van een beveiligingsniveau dat vergelijkbaar is met dat in de EU, dit om er voor te zorgen dat het beveiligingsniveau in Europa niet wordt ondermijnd. Om dit te waarborgen zijn er de volgende mogelijkheden:
Doorgifte op basis van adequaatheidsbesluiten
Het doorgeven van persoonsgegevens naar een derde land is onder de AVG ten eerste mogelijk als de Europese Commissie een zogenaamd adequaatheidsbesluit heeft aangenomen. In deze besluiten stelt de Commissie dat een derde land, een gebied, of zelfs een organisatie een passend beschermingsniveau biedt voor de doorgifte van persoonsgegevens. Bij het vaststellen van dit niveau kijkt de Commissie o.a. naar de bescherming van mensenrechten in het land, de aanwezigheid van toezichthoudende autoriteiten (zoals de Autoriteit Persoonsgegevens) en eventuele internationale toezeggingen die het land gedaan heeft. Als een dergelijk adequaatheidsbesluit is genomen dan mag doorgifte van persoonsgegevens plaatsvinden.
Doorgifte op basis van passende waarborgen
Op het moment dat er geen adequaatheidsbesluit ligt is echter nog niet alles verloren. Door als verwerker van persoonsgegevens bepaalde ‘passende waarborgen’ te bieden, kan toch nog bewerkstelligd worden dat een doorgifte mag plaatsvinden. Deze passende waarborgen worden genoemd in de privacyverordening en betreffen manieren om aan te tonen dat de regels tot op zekere hoogte gevolgd worden. Ook hierbij staat dus centraal dat persoonsgegevens een vergelijkbare bescherming als in de EU genieten.
Doorgifte in afwijkende situaties
Zelfs als er geen adequaatheidsbesluit is genomen en er ook geen passende waarborgen kunnen worden aangetoond, heeft de privacyverordening nog een aantal restmogelijkheden om doorgifte in bepaalde gevallen toch te faciliteren. Deze mogelijkheden zijn echter slechts in uitzonderlijke situaties toepasbaar en kunnen dus nooit de basis vormen voor structurele gegevensoverdracht.
Hierbij moet gebruik gemaakt worden van uitdrukkelijke toestemming van de betrokkene, waarbij de betrokkene wordt ingelicht over de risico’s die gepaard gaan met de doorgifte van zijn of haar gegevens of er moet sprake zijn van een situatie van noodzaak. Als zelfs deze uitzonderingen niet van toepassing zijn kan er eventueel nog toestemming worden gevraagd aan de toezichthoudende autoriteit.
Al met al is het zaak om je als organisatie goed te beseffen waar de persoonsgegevens die je hebt allemaal precies heen gaan. Worden persoonsgegevens bijvoorbeeld opgeslagen op een server in het buitenland? Met name als dit een land buiten de EU is moet je jezelf ervan verzekeren dat ook het ontvangende land zorgvuldig zal omgaan met de persoonsgegevens van jouw klanten als je geen risico wil lopen op hoge boetes.