Onder de Algemene Verordening Gegevensbescherming (AVG) gelden er bijzondere regels voor het doorgeven van persoonsgegevens naar het buitenland, dus binnen en buiten de Europese Unie (EU). Onder de EU vallen de 27 lidstaten. En daarnaast zijn IJsland, Liechtenstein en Noorwegen onderdeel van de Europese Economische Ruimte (EER) en deze hebben de EU gegevensbeschermingsregels aanvaard.
De regels binnen de EU
Binnen de EU geldt een eenduidig beschermingsniveau voor privacy, op basis van de AVG die sinds 25 mei 2018 van kracht is. De AVG is binnen de gehele EU van toepassing. De doorvoer van persoonsgegevens binnen de EU mag dus, mits volledig is voldaan aan de AVG. Dit geldt tevens voor IJsland, Liechtenstein en Noorwegen als landen van de EER.
De regels buiten de EU
Voor het doorgeven van persoonsgegevens naar derde landen of internationale organisaties geldt de hoofdregel dat sprake moet zijn van ‘een passend beschermingsniveau’. Indien er geen passend beschermingsniveau is, dan is deze doorgifte uitsluitend toegestaan op grond van een van de genoemde wettelijke bepalingen uit hoofdstuk V van de AVG.
Waaruit kan een passend beschermingsniveau blijken?
Een passend beschermingsniveau kan onder meer blijken uit algemene beginselen inzake doorgifte, doorgifte op basis van een adequaatheidsbesluit (door de Europese Commissie worden aan aantal landen ook als veilig aangemerkt), doorgifte op basis van passende waarborgen, binding corporate rules en afwijkingen voor specifieke situaties en internationale verdragen.
Hoe zit het nu precies met doorgifte van persoonsgegevens naar de Verenigde Staten?
Doorgifte van persoonsgegevens aan de VS, dit kan ook bijvoorbeeld al het geval zijn bij clouddiensten waarbij data wordt opgeslagen in de VS, mag sinds de ongeldigheidsverklaring vorig jaar van het EU-Privacy shield door het Europese Hof van Justitie in het Schrems II arrest slechts met aanvullende waarborgen. Aan deze waarborgen kan bijvoorbeeld worden voldaan in de vorm van modelcontracten of in de vorm van binding corporate rules, waarin een bepaalde organisatie de waarborgen vastlegt voor de bescherming van persoonsgegevens in het geval van doorgifte naar landen zonder een passend beschermingsniveau.
Nieuwe modelcontracten
Let goed op, want zeer recentelijk heeft de Europese Commissie nieuwe modelcontracten geïntroduceerd en goedgekeurd voor de doorgifte van persoonsgegevens aan derde landen, waarin een hoog niveau van gegevensbescherming voor burgers verder wordt gewaarborgd en waarbij onder meer ook de impact van de hiervoor genoemde Schrems II zaak van het Europese Hof van Justitie is meegenomen.
Ziet u ook door alle internationale data de details niet meer, neem dan vrijblijvend contact met ons op, wij kijken en denken graag (pro)actief met u mee!
Meer weten? Advies nodig? Neem contact op!
Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!
Blog reactie
"*" geeft vereiste velden aan
