Vergroot contrast

Doorgifte binnen en buiten de EU

De bescherming van persoonsgegevens is niet in alle landen hetzelfde geregeld. Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag daarom alleen als een land voldoende bescherming biedt. Voor doorgifte van gegevens naar een land binnen de Europese Unie (EU) gelden andere regels dan voor doorgifte naar een land buiten de EU.

Doorgifte binnen de EU

Binnen de EU is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EU lidstaten zich moeten houden aan de Algemene verordening gegevensbescherming (AVG). De EU is daarom één rechtsgebied bij de bescherming van persoonsgegevens.

Geeft u als organisatie persoonsgegevens door van Nederland naar een ander EU-land? Dan hoeft u alleen te voldoen aan de algemene eisen uit de AVG.

Doorgifte buiten de EU

Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de EU, zogeheten derde landen, gelden aparte regels. De hoofdregel is dat u persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau.

Heeft een derde land geen passend beschermingsniveau? Dan is doorgifte slechts toegestaan op grond van een van de wettelijke bepalingen uit de AVG (hoofdstuk V).

Zie verder:

Zie ook:

Doorgifte naar VS - Schrems II

Let op: voor doorgifte van persoonsgegevens aan de Verenigde Staten (VS) mag u het EU-VS privacy shield niet meer gebruiken. Het Europese Hof van Justitie heeft dit namelijk nietig verklaard in de zaak Schrems II. Dit betekent dat u aanvullende waarborgen moet treffen als u BCR of een modelcontract gebruikt voor uw doorgifte naar de VS.

Zie verder: Wanneer mag ik persoonsgegevens doorgeven naar de VS?

Nieuws

Alle nieuwsberichten over het onderwerp 'Doorgifte binnen en buiten de EU'

Alle antwoorden op mijn vragenVragen over doorgifte naar derde landen

  • Wanneer mag ik persoonsgegevens doorgeven naar landen buiten de EU (derde landen)?

    Persoonsgegevens doorgeven vanuit Nederland naar het buitenland mag alleen als een land voldoende bescherming biedt. Voor doorgifte naar landen buiten de Europese Unie (EU) gelden aparte regels.

    Let op: kijk voor informatie over doorgifte aan de VS bij: Wanneer mag ik persoonsgegevens doorgeven naar de VS?

    Wat is een derde land precies?

    Derde landen zijn alle landen buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte (EER). Dit zijn Noorwegen, Liechtenstein en IJsland. Deze 3 landen kennen een gelijkwaardig niveau van bescherming van persoonsgegevens.

    Geeft u gegevens door vanuit Nederland naar Noorwegen, Liechtenstein en IJsland? Dan hoeft u alleen te voldoen aan de algemene eisen uit de AVG.

    Doorgifte naar een derde land

    In 4 gevallen is het mogelijk om persoonsgegevens door te geven naar een derde land. U mag dit op basis van:

    • een adequaatheidsbesluit;
    • passende waarborgen;
    • binding corporate rules (BCR);
    • specifieke uitzonderingen.

    Doorgifte op basis van een adequaatheidsbesluit

    Als een derde land in de nationale wetgeving een passend niveau van gegevensbescherming biedt, kan de Europese Commissie (EC) een adequaatheidsbesluit nemen (artikel 45 van de AVG). De EC stelt dan vast dat de gegevensbescherming in dat land van een vergelijkbaar niveau is als de AVG.

    Zo’n besluit kan over een heel land worden genomen, maar ook over een bepaalde sector binnen een land. Bijvoorbeeld in Canada, waar alleen commerciële bedrijven binnen het bereik van het adequaatheidsbesluit vallen.

    Als er een adequaatheidsbesluit is genomen, hoeft u voor doorgifte naar dat land of die sector geen aanvullende waarborg te treffen.

    Zie voor de lijst met landen waarover de EC een adequaatheidsbesluit heeft genomen: Hoe weet ik of een derde land een passend beschermingsniveau heeft?

    Doorgifte op basis van passende waarborgen

    • Modelcontract
      Is er geen sprake van een adequaatheidsbeslissing? Dan moet er een andere passende waarborg zijn als u persoonsgegevens wilt doorgeven aan een derde land. Dat kan met een modelcontract (ook wel standard contractual clauses of SCC's genoemd) dat door de EC is vastgesteld (artikel 46 (2) onder c van de AVG).
    • Gedragscode en certificering
      Andere manieren om een passend beschermingsniveau te waarborgen zijn een goedgekeurde gedragscode (artikel 46 (2) onder e van de AVG) of via een certificeringsmechanisme (artikel 46 (2) onder f van de AVG).
      Let op: wilt u deze instrumenten gebruiken voor doorgifte? Dan stelt de AVG wel als voorwaarde dat u bindende en afdwingbare toezeggingen heeft van de partij in het derde land dat deze de juiste waarborgen toepast.
      Voor meer informatie over gedragscodes als doorgifte-instrument, zie: EDPB Guidelines on codes of conduct as tools for transfers.

    Doorgifte op basis van binding corporate rules (BCR)

    Binding corporate rules (BCR) zijn ‘global privacy policies’ die gelden binnen organisaties voor doorgifte van persoonsgegevens naar derde landen wereldwijd. Alle werknemers en entiteiten binnen het concern (ook de Nederlandse en Europese vestigingen) moeten zich houden aan de privacy policy.

    Doorgifte op basis van specifieke uitzonderingen

    Is het niet mogelijk is om op basis van een van de eerder genoemde waarborgen persoonsgegevens door te geven aan derde landen? Dan is het mogelijk op grond van artikel 49 AVG een beroep te doen op een van deze uitzonderingen:

    • U heeft de uitdrukkelijke toestemming van de betrokkene.
      U moet de betrokkene informeren over wat u van plan bent en over het beschermingsniveau in het betreffende derde land. Let op: het is niet voldoende als de betrokkene geen bezwaar heeft gemaakt, u heeft echt toestemming nodig.
    • De doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en u of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen.
      Bijvoorbeeld het reserveren van een vliegticket of om een internationale betaling te doen via bank of creditcard.
    • De doorgifte is noodzakelijk voor de sluiting of de uitvoering van een overeenkomst in het belang van de betrokkene tussen u en een andere natuurlijke of rechtspersoon.
      Bijvoorbeeld: de herverzekering van een door de betrokkene in Nederland afgesloten verzekering bij een verzekeringsmaatschappij in een derde land. Let op: deze uitzondering geldt niet voor doorgifte met direct marketing als doel, omdat een dergelijke doorgifte niet gebeurt in het belang van de betrokkene.
    • De doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang.
    • De doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
      Bijvoorbeeld de doorgifte van persoonsgegevens aan een incassobureau in een derde land voorafgaand aan een mogelijke gerechtelijke procedure.
    • De doorgifte is van vitaal belang voor de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven.
      Bijvoorbeeld wanneer de betrokkene in het buitenland in het ziekenhuis terecht is gekomen. Het is dan noodzakelijk dat u de persoonsgegevens van de betrokkene zo snel mogelijk aan dit ziekenhuis verstrekt.
    • De doorgifte is verricht vanuit een bij wet ingesteld register dat bedoeld is om het publiek voor te lichten.
      Een voorbeeld is gegevens uit het Kadaster of Handelsregisters.

    Valt uw doorgifte niet onder een van deze uitzonderingen? Dan mag u in een paar gevallen toch persoonsgegevens naar derde landen doorgeven. Zie: Wanneer mag ik toch persoonsgegevens doorgeven naar een derde land zonder passend beschermingsniveau?

  • Wanneer mag ik persoonsgegevens doorgeven naar de VS?

    In de Verenigde Staten (VS) bestaat geen algemene wetgeving voor de bescherming van persoonsgegevens. De VS hebben daarom geen passend beschermingsniveau. Dat betekent dat u niet zonder meer persoonsgegevens mag doorgeven aan de VS. 

    Privacy shield ongeldig

    Tot voor kort was doorgifte naar de VS mogelijk op grond van het EU-VS privacy shield. Het Europese Hof van Justitie heeft echter op 16 juli 2020 het EU-VS privacy shield nietig verklaard in de zaak Schrems II.

    Volgens deze hoogste Europese rechter bieden de VS geen beschermingsniveau dat gelijkwaardig is aan het niveau in de EU. Dit betekent dat u sinds 16 juli 2020 het privacy shield niet meer mag gebruiken om persoonsgegevens door te geven naar de VS.

    BCR en modelcontracten

    Voor doorgifte naar derde landen (landen buiten de EU) kunt u normaliter gebruikmaken van binding corporate rules (BCR) of een modelcontract (ook wel standard contractual clauses of SCC genoemd), mits het betreffende derde land een gelijkwaardig beschermingsniveau kent.

    Omdat het Hof nu heeft bepaald dat de VS dit niveau niet hebben, moet u aanvullende waarborgen treffen als u BCR of een modelcontract gebruikt voor uw doorgifte naar de VS.

    Aanvullende waarborgen

    De European Data Protection Board (EDPB) heeft aanbevelingen gepubliceerd voor deze aanvullende waarborgen. De EDPB noemt verschillende waarborgen die u kunt overwegen, zoals goede encryptie en pseudonimisering.

    U moet per geval bekijken welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.

    Lees de aanbevelingen van de EDPB:

    Uitzonderingen (artikel 49 AVG)

    Er is een aantal specifieke uitzonderingen op het verbod op doorgifte naar een derde land. Deze uitzonderingen staan in artikel 49 van de AVG.

    U kunt zich echter niet snel beroepen op zo’n uitzondering voor doorgifte naar de VS. U moet per geval een afweging maken. Ook mag het niet gaan om structurele doorgifte.

    Zie ook

  • Hoe weet ik of een derde land een passend beschermingsniveau heeft?

    Kijk hiervoor of het betreffende land voorkomt in de lijst van derde landen die de Europese Commissie (EC) heeft goedgekeurd.

    Landenlijst EC

    De EC heeft besloten dat de volgende derde landen een passend beschermingsniveau bieden:

    Meer informatie

    Voor meer informatie over adequaatheidsbesluiten, zie Adequacy decisions op de website van de EC.

  • Wanneer mag ik toch persoonsgegevens doorgeven naar een derde land zonder passend beschermingsniveau?

    Valt uw doorgifte van gegevens niet onder een van de uitzonderingen genoemd in artikel 49 AVG? Dan mag u toch persoonsgegevens naar derde landen doorgeven als:

    • de doorgifte niet repetitief is;
    • de doorgifte een beperkt aantal betrokkenen betreft;
    • de doorgifte noodzakelijk is voor uw dwingende, gerechtvaardigde belangen, die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkenen;
    • u alle omstandigheden van de doorgifte heeft beoordeeld en op basis daarvan passende waarborgen heeft geboden voor de bescherming van persoonsgegevens.
  • Welk modelcontract kan ik gebruiken voor doorgifte naar een derde land?

    De Europese Commissie (EC) heeft een nieuw modelcontract goedgekeurd om veilig persoonsgegevens door te geven naar een derde land. Dit modelcontract geldt vanaf 27 juni 2021. U heeft 18 maanden de tijd om uw huidige modelcontract(en) aan te passen.

    Nieuw modelcontract

    Dit nieuwe modelcontract vervangt de 3 modelcontracten die de EC eerder heeft vastgesteld. U vindt het modelcontract aan het einde van het Uitvoeringsbesluit (EU) 2021/914 van de EC.

    Let op: aanpassen binnen 18 maanden

    Gebruikt u nu al een (of meerdere) modelcontract(en) als doorgifte-instrument? Dan krijgt u 18 maanden de tijd om uw huidige contract(en) in lijn te brengen met het nieuwe modelcontract.

    Modules in nieuw modelcontract

    Het nieuwe modelcontract is flexibeler dan de oude modelcontracten en bestrijkt meerdere situaties. Daarom zijn in het document verschillende modules opgenomen.

    Het nieuwe modelcontract bestaat uit een algemeen gedeelte en de volgende 4 modules:

    • doorgifte van verwerkingsverantwoordelijke naar verwerkingsverantwoordelijke;
    • doorgifte van verwerkingsverantwoordelijke naar verwerker;
    • doorgifte van (sub)verwerker naar (sub)verwerker;
    • doorgifte van (sub)verwerker naar verwerkingsverantwoordelijke.

    Wat is een modelcontract?

    Wilt u als bedrijf persoonsgegevens doorgeven vanuit de EU naar een derde land, dan is een van de mogelijkheden hiervoor het gebruik van een contract. Door een modelcontract te gebruiken, hoeft u zo’n contract niet volledig zelf op te stellen.

    Een andere naam voor een modelcontract is standard contractual clauses (SCC’s) of standaardcontractbepalingen.

    Ongewijzigd modelcontract

    Gebruikt u een ongewijzigd modelcontract, dus zonder aanvullingen of wijzigingen? Dan heeft u geen toestemming van de Autoriteit Persoonsgegevens (AP) nodig.

    Gewijzigd modelcontract of eigen contract

    Wilt u een modelcontract met aanvullingen of wijzigingen gebruiken? Of een eigen contract? Dan moet u eerst toestemming vragen aan de AP.

    Zie verder: Hoe beoordeelt de Autoriteit Persoonsgegevens mijn verzoek om toestemming?

    Gebruik modelcontract voor doorgifte naar VS

    Let op: wilt u een modelcontract gebruiken om persoonsgegevens door te geven naar de Verenigde Staten? Dan moet u aanvullende maatregelen nemen. 

    Zie verder: Wanneer mag ik persoonsgegevens doorgeven naar de VS?

  • Hoe beoordeelt de Autoriteit Persoonsgegevens mijn verzoek om toestemming?

    Als u gebruikt maakt van een modelcontract maar daarin geen wijzigingen of aanvullingen aanbrengt, hoeft u voor de doorgifte geen toestemming te vragen aan de Autoriteit Persoonsgegevens (AP).

    Maakt u géén gebruik van een ongewijzigd modelcontract, dan moet u wel om toestemming verzoeken bij de AP om persoonsgegevens door te mogen geven aan een derde land.

    Hoe de AP uw aanvraag beoordeelt, hangt af van de situatie. Er zijn twee situaties mogelijk:

    Modelcontract met aanvullingen

    U gebruikt het modelcontract maar met aanvullingen. De AP geeft alleen een goedkeurende verklaring af als de aanvullende bepalingen niet in tegenspraak zijn met de standaardbepalingen in het modelcontract en/of met de rechten van betrokkenen (degenen van wie u persoonsgegevens verwerkt).

    Zijn de aanvullingen bij uw aanvraag niet in overeenstemming met het modelcontract? Dan krijgt u de mogelijkheid om de bepalingen binnen een bepaalde tijd aan te passen.

    Modelcontract met wijzigingen of eigen contract

    U gebruikt het modelcontract maar met wijzigingen of u heeft zelf een contract opgesteld. Hierin zijn de specifieke omstandigheden van uw doorgifte geregeld.

    De AP moet in dit geval de bepalingen grondig beoordelen, omdat deze afwijken van het modelcontract. U krijgt bericht van de AP hoe lang dit gaat duren.

    Privacyverklaring AP

    Hoe de AP omgaat met uw persoonsgegevens als u toestemming vraagt voor internationale doorgifte, leest u in de Privacyverklaring voorafgaande raadpleging, vergunning, gedragscode of internationale doorgifte

  • Wanneer is doorgifte van persoonsgegevens naar derde landen verboden en wie houdt hier toezicht op?

    Heeft een derde land geen passend beschermingsniveau? En kan er geen beroep worden gedaan op een wettelijke uitzondering? Dan is doorgifte naar dat land onrechtmatig en dus niet toegestaan.

    Toezicht door Autoriteit Persoonsgegevens

    De Autoriteit Persoonsgegevens (AP) houdt toezicht op de doorgifte van persoonsgegevens naar derde landen door in Nederland gevestigde organisaties.

    De AP kan een boete geven aan organisaties die onrechtmatig gegevens aan derde landen doorgeven.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden