Vergroot contrast

Doorgifte binnen en buiten de EU

De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag daarom alleen als een land voldoende bescherming biedt. Voor doorgifte van gegevens naar een land binnen de Europese Unie (EU) gelden andere regels dan voor doorgifte naar een land buiten de EU.

Doorgifte binnen de EU

Binnen de EU is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EU lidstaten zich moeten houden aan de Algemene verordening gegevensbescherming (AVG). De EU is daarom één rechtsgebied bij de bescherming van persoonsgegevens.

Geeft een organisatie gegevens door van Nederland naar een ander EU-land? Dan hoeft die organisatie alleen te voldoen aan de algemene eisen uit de AVG.

Doorgifte buiten de EU

Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de EU, zogeheten derde landen, gelden aparte regels.

Derde landen zijn alle landen buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte (EER). Dit zijn Noorwegen, Liechtenstein en IJsland. Deze drie landen kennen een gelijkwaardig niveau van bescherming van persoonsgegevens.

Geeft een organisatie gegevens door vanuit Nederland naar Noorwegen, Liechtenstein en IJsland? Dan hoeft die organisatie alleen te voldoen aan de algemene eisen uit de AVG.

Hoofdregel doorgifte buiten de EU

De hoofdregel is dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau.

Als er geen sprake is van een derde land met een passend beschermingsniveau, is doorgifte slechts toegestaan op grond van een van de wettelijke bepalingen uit de AVG (hoofdstuk V).

Nieuws

Alle nieuwsberichten over het onderwerp 'Doorgifte binnen en buiten de EU'

Alle antwoorden op mijn vragenVragen over doorgifte naar derde landen

  • Wanneer mag ik persoonsgegeven doorgeven naar landen buiten de EU (derde landen)?

    Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag alleen als een land voldoende bescherming biedt. Voor doorgifte naar landen buiten de EU gelden aparte regels.

    In deze gevallen is het mogelijk om persoonsgegevens door te geven aan landen buiten de EU:

    Doorgifte op basis van een adequaatheidsbesluit

    Als een land buiten de EU in de nationale wetgeving een passend niveau van gegevensbescherming biedt, kan de Europese Commissie (EC) een ‘adequaatheidsbeslissing’ nemen (artikel 45 van de AVG). De EC stelt dan vast dat de gegevensbescheming in dat land van een vergelijkbaar niveau is als de AVG.

    Zo’n beslissing kan over een heel land worden genomen, maar ook over een bepaalde sector binnen een land. Bijvoorbeeld in Canada, waar alleen commerciële bedrijven binnen het bereik van de adequaatheidsbeslissing vallen.

    Als er een adequaatheidsbeslissing is genomen, hoeft er voor doorgifte naar dat land of die sector geen aanvullende waarborg te worden getroffen.  

    Het EU-VS privacyschild is een voorbeeld van een adequaatheidsbeslissing met het verschil dat de beslissing alleen geldt voor zover het ontvangende bedrijf zich heeft gecertificeerd en zich houdt aan de principes die zijn vastgelegd in het privacyschild.

    Doorgifte op basis van passende waarborgen

    • Modelcontract
      Als er geen sprake is van een adequaatheidsbeslissing, dan moet er een andere passende waarborg zijn als een organisatie persoonsgegevens wil doorgeven aan een land buiten de EU. Dat kan met een modelcontractbepaling die door de Europese Commissie is vastgesteld (artikel 46 (2) onder b).
    • Gedragscode en certificering
      Twee nieuwe manieren om een passend beschermingsniveau te waarborgen zijn de goedgekeurde gedragscodes (artikel 46 (2) onder e van de AVG) of via een certificeringsmechanisme (artikel 46 (2) onder f van de AVG).
      De AVG stelt wel als voorwaarde dat wanneer een organisatie deze instrumenten wil gebruiken voor doorgifte, dit samen moeten gaan met bindende en afdwingbare toezeggingen van de partij in het derde land om de juiste waarborgen toe te passen.

    Doorgifte op basis van bindende bedrijfsvoorschriften (BCR)

    BCR zijn ‘global privacy policies’ die gelden binnen organisaties voor doorgifte van persoonsgegevens naar landen zonder adequaat beschermingsniveau (derde landen) wereldwijd. Alle werknemers en entiteiten binnen het concern (ook de Nederlandse en Europese vestigingen) moeten zich houden aan de privacy policy.

    Doorgifte op basis van specifieke uitzonderingen

    Is het niet mogelijk is om op basis van een van de eerder genoemde waarborgen persoonsgegevens door te geven aan derde landen? Dan is het mogelijk op grond van artikel 49 AVG een beroep te doen op een van deze uitzonderingen:

    • De verwerkingsverantwoordelijke heeft de uitdrukkelijke toestemming van de betrokkene.
      U moet de betrokkene informeren over wat u van plan bent en over het beschermingsniveau in het betreffende derde land. Let op: het is niet voldoende als de betrokkene geen bezwaar heeft gemaakt, u heeft echt toestemming nodig.
    • De doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen.
      Bijvoorbeeld het reserveren van een vliegticket of om een internationale betaling te doen via bank of creditcard.
    • De doorgifte is noodzakelijk voor de sluiting of de uitvoering van een overeenkomst in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke of rechtspersoon.
      Bijvoorbeeld: De herverzekering van een door de betrokkene in Nederland afgesloten verzekering bij een verzekeringsmaatschappij in een derde land. Let op: deze uitzondering geldt niet voor doorgifte met direct marketing als doel, omdat een dergelijke doorgifte niet gebeurt in het belang van de betrokkene.
    • De doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang.
    • De doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
      Bijvoorbeeld de doorgifte van persoonsgegevens aan een incassobureau in een derde land voorafgaand aan een mogelijke gerechtelijke procedure.
    • De doorgifte is van vitaal belang voor de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven. Bijvoorbeeld wanneer de betrokkene in het buitenland in het ziekenhuis terecht is gekomen. Het is dan noodzakelijk dat u de persoonsgegevens van de betrokkene zo snel mogelijk aan dit ziekenhuis verstrekt.
    • De doorgifte is verricht vanuit een bij wet ingesteld register dat bedoeld is om het publiek voor te lichten.
      Een voorbeeld is gegevens uit het Kadaster of Handelsregisters.
  • Hoe weet ik of een derde land een passend beschermingsniveau heeft?

    Kijk hiervoor of het betreffende land voorkomt in de lijst van derde landen die de Europese Commissie (EC) heeft goedgekeurd.

    Landenlijst EC

    De EC heeft besloten dat de volgende derde landen een passend beschermingsniveau bieden:

    • Andorra
    • Argentinië
    • Canada (alleen commerciële organisaties)
    • Faeröer Eilanden
    • Guernsey
    • Isle of Man
    • Israël
    • Jersey
    • Uruguay
    • Verenigde Staten
      Let op: dit geldt alléén voor doorgifte van gegevens op grond van het door de EC vastgestelde EU-VS privacyschild. Of als het gaat om Passenger Name Records (informatie van vliegtuigpassagiers doorgegeven aan de United States Bureau of Customs and Border Protection). 
    • Zwitserland.

    U vindt de EC-besluiten onder Adequacy decisions op de website van de EC.

  • Wanneer mag ik toch persoonsgegevens doorgeven naar een derde land zonder passend beschermingsniveau?

    U mag persoonsgegevens naar derde landen doorgeven ook wanneer niet wordt voldaan aan de uitzonderingen genoemd in artikel 49 AVG alleen wanneer:

    • de doorgifte niet repetitief is;
    • een beperkt aantal betrokkenen betreft;
    • noodzakelijk is voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene en;
    • de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en op basis van die beoordeling passende waarborgen voor de bescherming van persoonsgegevens heeft geboden.
  • Welke modelcontracten zijn er voor doorgifte naar een derde land?

    De Europese Commissie (EC) heeft 3 modelcontracten (ook wel standard contractual clauses of SCC's genoemd) goedgekeurd. Let op: u vindt de modelcontracten aan het einde van de betreffende beschikkingen of besluiten.

    • Een modelcontract van de EC voor doorgifte tussen 2 verantwoordelijken waarbij de een gevestigd is binnen de Europese Unie (EU) en de ander daarbuiten, zie: Beschikking van de Commissie van 15 juni 2001 (2001/497/EG).
    • Een door het bedrijfsleven opgesteld alternatief modelcontract voor de doorgifte tussen 2 verantwoordelijken waarbij de een gevestigd is binnen de EU en de ander daarbuiten, zie: Beschikking van de Commissie van 27 december 2004 (2004/915/EG).
    • Een modelcontract voor doorgifte van een verantwoordelijke gevestigd binnen de EU naar een bewerker (degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt) in een derde land, zie Besluit van de Commissie van 5 februari 2010 (2010/87/EU).
  • Hoe beoordeelt de Autoriteit Persoonsgegevens mijn verzoek om toestemming?

    Als u gebruikt maakt van een modelcontract maar daarin geen wijzigen of aanvullingen aanbrengt, hoeft u voor de doorgifte geen toestemming te vragen aan de Autoriteit Persoonsgegevens (AP).

    Maakt u géén gebruik van een ongewijzigd modelcontract, dan moet u wel om toestemming verzoeken bij de AP om persoonsgegevens door te mogen geven aan een derde land.

    Hoe de AP uw aanvraag beoordeelt, hangt af van de situatie. Er zijn twee situaties mogelijk:

    Modelcontract met aanvullingen

    U gebruikt het modelcontract maar met aanvullingen. De AP geeft alleen een goedkeurende verklaring af als de aanvullende bepalingen niet in tegenspraak zijn met de standaardbepalingen in het modelcontract en/of met de rechten van betrokkenen (degenen van wie u persoonsgegevens verwerkt).

    Zijn de aanvullingen bij uw aanvraag niet in overeenstemming met het modelcontract? Dan krijgt u de mogelijkheid om de bepalingen binnen een bepaalde tijd aan te passen.

    Modelcontract met wijzigingen of eigen contract

    U gebruikt het modelcontract maar met wijzigingen of u heeft zelf een contract opgesteld. Hierin zijn de specifieke omstandigheden van uw doorgifte geregeld.

    De AP moet in dit geval de bepalingen grondig beoordelen, omdat deze afwijken van het modelcontract. U krijgt bericht van de AP hoe lang dit gaat duren.

  • Wanneer mag ik persoonsgegevens doorgeven naar de VS?

    In de Verenigde Staten (VS) bestaat geen algemene wetgeving voor de bescherming van persoonsgegevens. De VS hebben daarom geen passend beschermingsniveau. Dat betekent dat u niet zonder meer persoonsgegevens mag doorgeven aan de VS.  

    U mag alleen persoonsgegevens doorgeven aan de VS als:

    • de ontvangende partij zich op grond van het EU-VS privacyschild heeft gecertificeerd;
    • er passende waarborgen zijn getroffen, zoals gebruikmaking van een modelcontract, BCR, goedgekeurde gedragscode of certificeringsmechanisme;
    • er een geslaagd beroep wordt gedaan op de specifieke uitzonderingen.

     

  • Wat houdt het EU-VS privacyschild in?

    De Europese Commissie (EC) heeft een regeling vastgesteld voor doorgifte van persoonsgegevens aan de Verenigde Staten (VS). Deze regeling heet het EU-VS privacyschild (privacy shield). Het doel van het privacyschild is bij uitwisseling van persoonsgegevens met de VS een beschermingsniveau te bieden dat in grote lijnen overeenkomt met het niveau binnen de Europese Unie (EU).

    Op 12 juli 2016 heeft de EC het privacyschild aangenomen en is op 1 augustus 2016 in werking getreden. Het privacyschild komt in de plaats van de Safe Harbour-overeenkomst, die het Europees Hof van Justitie op 6 oktober 2015 ongeldig verklaarde.

    Organisaties in de VS kunnen een certificaat aanvragen voor het privacyschild. Elke organisatie in de VS die gecertificeerd is bij het privacyschild, heeft een passend beschermingsniveau (voor de duur van de certificatie). Dat betekent dat organisaties vanuit Europa persoonsgegevens mogen doorgeven naar deze organisaties in de VS.

    Het Department of Commerce in de VS houdt toezicht op de certificering van bedrijven voor het privacyschild. Op de website van het Department of Commerce vindt u meer informatie over het privacyschild. Ook vindt u hier een lijst met gecertificeerde bedrijven.

  • Waar kan ik een klacht indienen over het gebruik van mijn persoonsgegevens door Amerikaanse organisaties?

    Heeft u een vraag of klacht over het gebruik van uw persoonsgegevens door Amerikaanse bedrijven of organisaties? Bijvoorbeeld over het commercieel gebruik van uw gegevens? Neem dan eerst rechtstreeks contact op met de organisatie. Komt u er met de organisatie niet uit? Of wilt u geen contact opnemen? Deel dan uw klacht met de Autoriteit Persoonsgegevens via deze formulieren:

    Klacht over gebruik persoonsgegevens door Amerikaanse inlichtingen- en veiligheidsdiensten

    Heeft u een klacht over het gebruik van uw gegevens door de Amerikaanse inlichtingen- en veiligheidsdiensten? Deel deze dan met ons via onderstaand klachtenformulier. Wij beoordelen uw klacht en zetten deze daarna door naar het EU Centralised Body (EUCB). De EUCB bekijkt uw klacht zet deze door naar de Amerikaanse ombudspersoon.

    Vragen

    Heeft u vragen over het indienen van een klacht? Neem dan contact met ons op via 070-8888 500 en geef aan dat uw vraag het EU-VS privacyschild betreft.

  • Wanneer is doorgifte van persoonsgegevens naar derde landen verboden en wie houdt hier toezicht op?

    Heeft een derde land geen passend beschermingsniveau? En kan er geen beroep worden gedaan op een wettelijke uitzondering? Dan is doorgifte naar dat land onrechtmatig en dus niet toegestaan.

    Let op: de Verenigde Staten hebben geen passend beschermingsniveau. Maar doorgeven van persoonsgegevens naar de VS is toch toegestaan als dit gebeurt op grond van het EU-VS privacyschild.

    Toezicht door Autoriteit Persoonsgegevens

    De Autoriteit Persoonsgegevens (AP) houdt toezicht op de doorgifte van persoonsgegevens naar derde landen door in Nederland gevestigde organisaties.

    De AP kan een boete geven aan organisaties die onrechtmatig gegevens aan derde landen doorgeven.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden