Vergroot contrast

Doorgifte binnen en buiten de EU

De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag daarom alleen als een land voldoende bescherming biedt. Voor doorgifte van gegevens naar een land binnen de Europese Unie (EU) gelden andere regels dan voor doorgifte naar een land buiten de EU.

Doorgifte binnen de EU

Binnen de EU is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EU-lidstaten hun wetgeving hebben aangepast aan de Europese privacyrichtlijn. De EU is daarom één rechtsgebied bij de bescherming van persoonsgegevens.

Geeft een organisatie gegevens door van Nederland naar een ander EU-land? Dan hoeft die organisatie alleen te voldoen aan de algemene eisen uit de Nederlandse Wet bescherming persoonsgegevens.

Doorgifte buiten de EU

Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de EU, zogeheten derde landen, gelden wél aparte regels. Derde landen zijn alle landen buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte (EER). Dit zijn Noorwegen, Liechtenstein en IJsland.

Deze 3 landen hebben zich verplicht de Europese privacyrichtlijn te implementeren in eigen wetgeving. Ook zij kennen dus een gelijkwaardig niveau van bescherming van persoonsgegevens.

Geeft een organisatie gegevens door vanuit Nederland naar Noorwegen, Liechtenstein en IJsland? Dan hoeft die organisatie alleen te voldoen aan de algemene eisen uit de Nederlandse Wet bescherming persoonsgegevens.

Hoofdregel doorgifte buiten de EU

De hoofdregel is dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau. Buiten die gevallen is doorgifte slechts toegestaan op basis van een wettelijke uitzondering of met een vergunning van de minister van Justitie en Veiligheid.

Nieuws

Alle nieuwsberichten over het onderwerp 'Doorgifte binnen en buiten de EU'

Alle antwoorden op mijn vragenVragen over doorgifte naar derde landen

  • Hoe weet ik of een derde land een passend beschermingsniveau heeft?

    Kijk hiervoor of het betreffende land voorkomt in de lijst van derde landen die de Europese Commissie (EC) heeft goedgekeurd.

    Landenlijst EC

    De EC heeft besloten dat de volgende derde landen een passend beschermingsniveau bieden:

    • Andorra
    • Argentinië
    • Canada
      Let op: dit geldt alleen voor delen van Canada die vallen onder de Canadian Personal Information Protection and Electronic Documents Act. Onder meer Québec valt hier niet onder.
    • Faeröer Eilanden
    • Guernsey
    • Isle of Man
    • Israël
    • Jersey
    • Uruguay
    • Verenigde Staten
      Let op: dit geldt alléén voor doorgifte van gegevens op grond van het door de EC vastgestelde EU-VS privacy shield. Of als het gaat om Passenger Name Records (informatie van vliegtuigpassagiers doorgegeven aan de United States Bureau of Customs and Border Protection). 
    • Zwitserland.

    U vindt de EC-besluiten op de website van de EC.

  • Wanneer mag ik toch persoonsgegevens doorgeven naar een derde land zonder passend beschermingsniveau?

    Op de regel dat u persoonsgegevens alleen mag doorgeven naar een derde land met een passend beschermingsniveau, gelden enkele uitzonderingen. Die staan in artikel 77 van de Wet bescherming persoonsgegevens (Wbp). Voldoet u aan een van deze uitzonderingen én aan de algemene vereisten van de Wbp? Dan mag u toch persoonsgegevens doorgeven.

    De Wbp kent de volgende uitzonderingen:

    Ondubbelzinnige toestemming

    U heeft ondubbelzinnige toestemming gekregen van de betrokkene (degene van wie u persoonsgegevens verwerkt). U moet de betrokkene informeren over wat u van plan bent en het beschermingsniveau in het betreffende derde land. Let op: het is niet voldoende als de betrokkene geen bezwaar heeft gemaakt, u heeft echt toestemming nodig.

    Uitvoering overeenkomst

    Doorgifte is noodzakelijk om een overeenkomst tussen u en de betrokkene uit te voeren. Bijvoorbeeld om een vliegticket te reserveren of om een internationale betaling te doen via bank of creditcard.

    Belang betrokkene

    Doorgifte is noodzakelijk om een overeenkomst uit te voeren waarbij de betrokkene geen partij is, maar waarbij deze wel belang heeft. Bijvoorbeeld: herverzekering van een door de betrokkene in Nederland afgesloten verzekering bij een verzekeringsmaatschappij in een derde land.

    Let op: deze uitzondering geldt niet voor doorgifte met als doel direct marketing, omdat zo’n  doorgifte niet gebeurt in het belang van de betrokkene.

    Zwaarwegend algemeen belang

    Doorgifte is noodzakelijk vanwege een zwaarwegend algemeen belang of voor de vaststelling, uitvoering of verdediging van enig recht. Bijvoorbeeld: doorgifte van persoonsgegevens aan een incassobureau in een derde land voorafgaand aan een mogelijke gerechtelijke procedure.

    Vitaal belang

    Een vitaal belang van de betrokkene is in het geding. Bijvoorbeeld wanneer de betrokkene in het buitenland in het ziekenhuis terecht is gekomen. Het is dan noodzakelijk dat u de persoonsgegevens van de betrokkene zo snel mogelijk aan dit ziekenhuis verstrekt.

    Openbare registers

    Doorgifte gebeurt vanuit een register dat bij wettelijk voorschrift is ingesteld. Het gaat hier om openbare registers als het Kadaster en de handelsregisters.

    Modelcontract

    U maakt gebruik van een ongewijzigd modelcontract zonder aanvullingen als bedoeld in artikel 26, vierde lid, van richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van de Europese Unie.

  • Hoe vraag ik een vergunning aan voor doorgifte naar een derde land zonder passend beschermingsniveau?

    U vraagt een vergunning aan bij de Autoriteit Persoonsgegevens. Maakt u gebruik van een modelcontract voor doorgifte dat is goedgekeurd door de Europese Commissie (EC) zónder aanvullingen of wijzigingen? Dan hoeft u geen vergunning bij de Autoriteit Persoonsgegevens aan te vragen.

    Vergunning aanvragen

    Maakt u geen gebruik van een ongewijzigd modelcontract, dan vraagt u een vergunning aan bij de Autoriteit Persoonsgegevens. Er is een Nederlandstalig en een Engelstalig aanvraagformulier beschikbaar:

    Beoordeling aanvraag

    De Autoriteit Persoonsgegevens beoordeelt uw aanvraag en geeft advies aan de minister van Veiligheid en Justitie. De minister besluit vervolgens of u de vergunning krijgt.

    Besluit de minister de vergunning af te geven, dan stelt de minister daarvan zowel de EC als de andere EU-landen op de hoogte.

  • Welke modelcontracten zijn er voor doorgifte naar een derde land?

    De Europese Commissie (EC) heeft op dit moment 3 modelcontracten (ook wel standard contractual clauses of SCC's genoemd) goedgekeurd. Let op: u vindt de modelcontracten aan het einde van de betreffende beschikkingen of besluiten.

    • Een modelcontract van de EC voor doorgifte tussen 2 verantwoordelijken waarbij de een gevestigd is binnen de Europese Unie (EU) en de ander daarbuiten, zie: Beschikking van de Commissie van 15 juni 2001 (2001/497/EG).
    • Een door het bedrijfsleven opgesteld alternatief modelcontract voor de doorgifte tussen 2 verantwoordelijken waarbij de een gevestigd is binnen de EU en de ander daarbuiten, zie: Beschikking van de Commissie van 27 december 2004 (2004/915/EG).
    • Een modelcontract voor doorgifte van een verantwoordelijke gevestigd binnen de EU naar een bewerker (degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt) in een derde land, zie Besluit van de Commissie van 5 februari 2010 (2010/87/EU).

    Maakt u gebruik van een modelcontract zónder aanvullingen of wijzigingen? Dan hoeft u geen vergunning bij de Autoriteit Persoonsgegevens aan te vragen.

  • Hoe beoordeelt de Autoriteit Persoonsgegevens mijn aanvraag voor een vergunning?

    Maakt u géén gebruik van een ongewijzigd modelcontract, dan moet u een vergunning aanvragen bij de Autoriteit Persoonsgegevens om persoonsgegevens door te mogen geven aan een derde land. Hoe de Autoriteit Persoonsgegevens uw aanvraag beoordeelt, hangt af van de situatie.

    Er zijn 2 situaties mogelijk:

    Modelcontract met aanvullingen

    U gebruikt het modelcontract maar met aanvullingen. De Autoriteit Persoonsgegevens geeft alleen een positief advies als de aanvullende bepalingen niet in tegenspraak zijn met de standaardbepalingen in het modelcontract en/of met de rechten van betrokkenen (degenen van wie u persoonsgegevens verwerkt).

    Zijn de aanvullingen bij uw aanvraag niet in overeenstemming met het modelcontract? Dan krijgt u de mogelijkheid om de bepalingen binnen een bepaalde tijd aan te passen.

    Modelcontract met wijzigingen of eigen contract

    U gebruikt het modelcontract maar met wijzigingen of u heeft zelf een contract opgesteld. Hierin zijn de specifieke omstandigheden van uw doorgifte geregeld.

    De Autoriteit Persoonsgegevens moet in dit geval de bepalingen grondig beoordelen, omdat deze afwijken van het modelcontract. U krijgt bericht van de Autoriteit Persoonsgegevens hoe lang dit gaat duren.

  • Wanneer mag ik persoonsgegevens doorgeven naar de VS?

    In de Verenigde Staten (VS) bestaat geen algemene wetgeving voor de bescherming van persoonsgegevens. De VS hebben daarom geen passend beschermingsniveau. Dat betekent dat u niet zonder meer persoonsgegevens mag doorgeven aan de VS.  

    U mag alleen persoonsgegevens doorgeven aan de VS als:

  • Wat houdt het EU-VS privacyschild in?

    De Europese Commissie (EC) heeft een regeling vastgesteld voor doorgifte van persoonsgegevens aan de Verenigde Staten (VS). Deze regeling heet het EU-VS privacyschild (privacy shield). Het doel van het privacyschild is bij uitwisseling van persoonsgegevens met de VS een beschermingsniveau te bieden dat in grote lijnen overeenkomt met het niveau binnen de Europese Unie (EU).

    Op 12 juli 2016 heeft de EC het privacyschild aangenomen en is op 1 augustus 2016 in werking getreden. Het privacyschild komt in de plaats van de Safe Harbour-overeenkomst, die het Europees Hof van Justitie op 6 oktober 2015 ongeldig verklaarde.

    Organisaties in de VS kunnen een certificaat aanvragen voor het privacyschild. Elke organisatie in de VS die gecertificeerd is bij het privacyschild, heeft een passend beschermingsniveau (voor de duur van de certificatie). Dat betekent dat organisaties vanuit Europa persoonsgegevens mogen doorgeven naar deze organisaties in de VS.

    Het Department of Commerce in de VS houdt toezicht op de certificering van bedrijven voor het privacyschild. Op de website van het Department of Commerce vindt u meer informatie over het privacyschild. Ook vindt u hier een lijst met gecertificeerde bedrijven.

    Oordeel privacytoezichthouders

    De Artikel 29-werkgroep van Europese privacytoezichthouders (WP29) was kritisch over een eerdere versie van het privacyschild. De toezichthouders hebben nu vastgesteld dat het definitieve privacyschild verbeteringen kent, maar zij hebben nog steeds enkele punten van kritiek.

    Tijdens de eerste jaarlijkse gezamenlijke controle van de afspraken zullen vertegenwoordigers van WP29 onder meer beoordelen of de kritiekpunten in de praktijk zijn opgelost.

  • Waar kan ik een klacht indienen over het gebruik van mijn persoonsgegevens door Amerikaanse organisaties?

    Heeft u een vraag of klacht over het gebruik van uw persoonsgegevens door Amerikaanse bedrijven of organisaties? Bijvoorbeeld over het commercieel gebruik van uw gegevens? Neem dan eerst rechtstreeks contact op met de organisatie. Komt u er met de organisatie niet uit? Of wilt u geen contact opnemen? Deel dan uw klacht met de Autoriteit Persoonsgegevens via deze formulieren:

    Klacht over gebruik persoonsgegevens door Amerikaanse inlichtingen- en veiligheidsdiensten

    Heeft u een klacht over het gebruik van uw gegevens door de Amerikaanse inlichtingen- en veiligheidsdiensten? Deel deze dan met ons via onderstaand klachtenformulier. Wij beoordelen uw klacht en zetten deze daarna door naar het EU Centralised Body (EUCB). De EUCB bekijkt uw klacht zet deze door naar de Amerikaanse ombudspersoon.

    Vragen

    Heeft u vragen over het indienen van een klacht? Neem dan contact met ons op via 070-8888 500 en geef aan dat uw vraag het EU-VS privacyschild betreft.

  • Moet ik doorgifte naar een derde land melden bij de Autoriteit Persoonsgegevens?

    Ja. U moet verwerkingen van persoonsgegevens altijd vooraf melden bij de Autoriteit Persoonsgegevens, tenzij er een vrijstelling geldt. Dit geldt óók als u gegevens doorgeeft naar een derde land met een passend beschermingsniveau of als u een vergunning heeft.

  • Is het Vrijstellingsbesluit ook van toepassing op verwerkingen die onder het privacyschild vallen?

    Ja. Geeft u persoonsgegevens door aan een organisatie in de Verenigde Staten die gecertificeerd is voor het privacyschild? En staat deze soort verwerking in het Vrijstellingsbesluit? Dan hoeft u de verwerking niet te melden bij de Autoriteit Persoonsgegevens.

  • Wanneer is doorgifte van persoonsgegevens naar derde landen verboden en wie houdt hier toezicht op?

    Heeft een derde land geen passend beschermingsniveau? En kan er geen beroep worden gedaan op een wettelijke uitzondering of een afgegeven vergunning? Dan is doorgifte naar dat land onrechtmatig en dus niet toegestaan.

    Let op: de Verenigde Staten hebben geen passend beschermingsniveau. Maar doorgeven van persoonsgegevens naar de VS is toch toegestaan als dit gebeurt op grond van het EU-VS privacy shield.

    Toezicht door Autoriteit Persoonsgegevens

    De Autoriteit Persoonsgegevens houdt toezicht op de doorgifte van persoonsgegevens naar derde landen door in Nederland gevestigde organisaties.

    De Autoriteit Persoonsgegevens kan een boete geven aan organisaties die onrechtmatig gegevens aan derde landen doorgeven.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Hulpmiddelen voor professionals